zadzwoń:

22 455 56 01

Jeżeli potrzebujesz pomocy odwiedź nasze:

Centrum Wiedzy

lub

Zadzwoń 

Jeśli masz pytanie

zadzwoń:

22 455 56 00

lub

Wypełnij formularz kontaktowy

Oddzwonimy do Ciebie 

 

Każdego roku ustawodawca przygotowuje ponad

25 000 stron aktów prawnych

Podpowiemy Ci, jak poradzić sobie w gąszczu tak często zmieniających się przepisów. 

Zapisz się na Newsletter Prawny Sage

23 marca 2018



konkres

Jak biuro rachunkowe może pomóc swoim klientom przygotować się do RODO?

Wejście w życie ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) to dla biur rachunkowych dobra okazja do umocnienia ich roli doradcy i eksperta. Warto przekazać klientom listę kontrolną, dzięki której firmy łatwiej przeprowadzą prostą autoanalizę.

Rozpoczęcie obowiązywania regulacji RODO 25 maja br. oznacza kolejną zmianę prawną, wobec której klienci biur rachunkowych mogą poczuć się zagubieni. Biura rachunkowe mogą pomóc i swoim  klientom odnaleźć się w nowej rzeczywistości, przekazując garść wskazówek i porad, jak zapewnić zgodność działań firmy z RODO.

Gdzie szukać wartości dodanej?

Zgodnie z RODO firmy muszą we własnym zakresie wdrażać techniczne i organizacyjne środki bezpieczeństwa na podstawie własnej analizy ryzyka związanego z przetwarzaniem posiadanych i pozyskiwanych danych osobowych. Taka analiza wymaga m.in. przeprowadzenia inwentaryzacji posiadanych danych i praktyk w całym obszarze pozyskiwania, przechowywania i przetwarzania danych osobowych. Ponieważ każda firma ma swoją specyfikę, trudno mówić o standardowym działaniu w zakresie dostosowywania się do RODO.

e_learning

Niezależnie od skali i rodzaju działalności, każda firma może przeprowadzić prostą autoanalizę, na podstawie której łatwiej będzie jej wdrożyć odpowiednie środki bezpieczeństwa i zmiany organizacyjne.

Check-lista RODO

Oto podstawowe pytania, na które powinien odpowiedzieć każdy przedsiębiorca przygotowujący swoją firmę do RODO:

  1. Jakie kategorie danych przechowywane są w firmie? Chodzi nie tylko o dane przechowywane w bazach danych, ale również o te znajdujące się w różnych systemach informatycznych, na wszystkich nośnikach, komputerach, dyskach przenośnych, serwerach poczty e-mail, telefonach pracowników, a także w archiwach wydruków i notatkach.
  2. Czy firma potrafi udowodnić, że posiadane dane pozyskała w sposób legalny; czy może wykazać, że uzyskała na ich przetwarzanie odpowiednie zgody?
  3. Czy firma przy okazji pozyskiwania danych oraz zgód na ich przetwarzanie stosuje klauzule informacyjne zgodne z RODO? Osoby wyrażające zgodę muszą być poinformowane o konkretnym uzasadnionym prawnie celu przetwarzania danych, firma musi także poinformować o przysługujących osobie fizycznej prawach, m.in. do dostępu do danych, sprostowania, przeniesienia do innego podmiotu lub wykasowania danych (tzw. prawie do bycia zapomnianym).
  4. Czy firma potrafi kontrolować posiadane dane zależnie od celu, w jakim zostały pozyskane? W myśl RODO po osiągnięciu celu, w jakim dane pozyskano i przetwarzano, powinno się je usunąć.
  5. Czy danym przetwarzanym w firmie zapewniono odpowiedni poziom bezpieczeństwa adekwatnie do zidentyfikowanego ryzyka? Wymaga to analizy kilku obszarów: czy i w jakich sytuacjach konieczne jest szyfrowanie danych lub ich pseudonimizacja? Czy obecna polityka bezpieczeństwa i poziom świadomości zagrożeń wśród pracowników są wystarczające, by zapewnić danym należytą ochronę? Czy w firmie obowiązują odpowiednie zasady dostępu do danych, tak aby pracownicy korzystali jedynie z tych informacji, które są niezbędne do realizacji konkretnego celu? Czy jako firma jesteśmy w stanie udowodnić, że przyjęte środki bezpieczeństwa są adekwatne do występującego ryzyka naruszeń danych?
  6. Czy ze względu na charakter przetwarzania danych oraz specyfikę przedsiębiorstwa w firmie powinno się powołać Inspektora Danych Osobowych (art. 37 ust.1 RODO)?
  7. Czy w firmie przetwarzane są dane wrażliwe (tzw. szczególne kategorie danych – art. 9 ust. 1/art. 4 pkt. 13, 14 i 15/motyw 35 RODO). Jeśli tak, należy upewnić się, czy firma powinna realizować obowiązek oceny skutków dla ochrony danych.
  8. Czy firma zobowiązana jest do prowadzenia rejestru czynności przetwarzania danych (patrz art. 30 RODO)?
  9. Czy dane osobowe są w jakikolwiek sposób przesyłane lub udostępniane poza granicami UE? Jeśli tak, należy bezwzględnie sprawdzić, jaki poziom bezpieczeństwa oferują podmioty, którym dane są powierzane.
  10. Czy używane w firmie narzędzia informatyczne pozwalają w łatwy sposób obsłużyć żądania osób fizycznych do sprostowania, przeniesienia lub wykasowania ich danych z zasobów informacyjnych? W przypadku uruchomienia prawa do bycia zapomnianym, jakie możliwości kontroli ma firma, by upewnić się, że usunięto wszystkie informacje o danej osobie?
  11. Czy wdrożone w firmie procedury i narzędzia informatyczne pozwalają kontrolować zarządzanie zgodami w taki sposób, by dane osobowe wykorzystywać wyłącznie do takiej formy przetwarzania i takiego celu, na jaki osoby fizyczne wyraziły zgodę?
  12. Czy w firmie wdrożono procedurę powiadamiania organu nadzorczego w terminie 72 godzin od każdego stwierdzenia naruszenia danych?
  13. Czy wszyscy pracownicy mający dostęp do danych osobowych zostali odpowiednio przygotowani do pełnienia swoich obowiązków w granicach RODO?
  14. Czy w firmie istnieje polityka bezpieczeństwa i czy jest ona zgodna z RODO? W przypadku kontroli administrator powinien udowodnić, że czynności związane z przetwarzaniem danych osobowych znajdują się pod odpowiednią kontrolą, są dokumentowane i mają podstawę prawną.
Więcej informacji znajdziesz w strefie FAQ poświęconej tematyce RODO



Sage

Spełniasz
wymogi
RODO?

Sprawdź



/*gatedcontent/