O Firmie

Blisko potrzeb Klienta

Ochrona danych osobowych w kancelariach podatkowo-księgowych

Wraz z rozwojem technologii informatycznych, coraz chętniej podmioty gospodarcze korzystają z outsourcingu usług podatkowo-księgowych czy kadrowo-płacowych.  Pojawia się problem zapewnienia bezpieczeństwa oraz kontroli dostępu do informacji wrażliwych nie tylko z punktu widzenia prawa, ale również z punktu widzenia biznesu. Informacje będące w posiadaniu Kancelarii podatkowych realizujących działalność usługową na rzecz innych podmiotów posiadają ogromną wartość i mogą być podatne na zagrożenia takie jak: kradzież, zniszczenie czy zafałszowanie. Informacje przetwarzane przez każdą kancelarię podlegają prawnej ochronie, a to oznacza, że należy je w sposób szczególny zabezpieczać, zarówno w trakcie przetwarzania, jak i przechowywania oraz archiwizowania.

WARTOŚĆ INFORMACJI

Patrząc przez pryzmat zasad budowania relacji Doradca – Klient oraz znając wartość ekonomiczną zaufania Klienta do Doradcy, informacje przetwarzane przez Kancelarie podatkowo-księgowe wymagają zabezpieczenia z zachowaniem najwyższej staranności a często udzielenia nawet gwarancji ich ochrony.

Informacje chronione obejmują, ale nie ograniczają się do danych osobowych. Dane osobowe – to termin prawny, który w prawie polskim został zdefiniowany w ustawie z dnia 29 sierpnia 1997 roku o ochronie danych osobowych /tekst pierwotny Dz. U. 1997 Nr 133 poz. 883/ /tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926/

Ustawa o ochronie danych osobowych, która weszła w życie z dniem 29 sierpnia 1997 roku, przyznaje każdemu prawo do ochrony dotyczących go danych osobowych. W rozumieniu ustawy /Art. 6/ za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osoba możliwa do zidentyfikowania jest osobą, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Z wieloma przykładami danych osobowych mamy do czynienia w każdej instytucji. Właściciel Kancelarii podatkowej, jako Administrator Danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem /Art. 36 ust. 1/.

Administrator Danych w myśli ustawy /Art. 36 ust 3/ może przekazać część zadań, na powołanego przez siebie pisemnie, Administratora Bezpieczeństwa Informacji (ABI). Administrator danych nie ma obowiązku powoływania ABI tylko, gdy sam pełni takie obowiązki. Administrator Bezpieczeństwa Informacji odpowiada za nadzorowanie przestrzegania zasad zabezpieczenia technicznego i organizacyjnego zapewniających ochronę przetwarzanych danych osobowych.

Do podstawowych obowiązków organizacyjnych każdego Administratora Danych należy opracowanie dokumentacji wymaganej Ustawą, czyli:

  • Polityki bezpieczeństwa
  • Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Wymogiem jest też, aby każda z osoba przetwarzająca dane osobowe w Kancelarii posiadała stosowne „Upoważnienie do przetwarzania danych osobowych” i aby Administrator Danych prowadził „Ewidencję upoważnień”.

Powyższe dokumenty dają gwarancję Klientom Kancelarii podatkowych, że przetwarzane dane osobowe, które powierzają są w sposób prawidłowy zabezpieczane. Co ważne, kiedy otrzymujecie Państwo zestaw informacji o charakterze osobowym od swoich partnerów biznesowych, posiadając zestaw dokumentacji z zakresu ochrony danych osobowych, możecie Państwo podpisać Umowę o powierzaniu przetwarzania danych osobowych, dając swoim Klientom gwarancję prawidłowego zabezpieczania ich danych.

Mówiąc o bezpieczeństwie informacji w kontekście szeroko rozwiniętej i skomplikowanej teleinformatyki nie można pominąć tak istotnego aspektu jakim jest bezpieczeństwo infrastruktury teleinformatycznej. Ochrona infrastruktury teleinformatycznej jest procesem ciągłym podlegającym nieustannym iteracjom uwzględniającym coraz to nowsze zagrożenia. W dobie globalizacji czas reakcji infrastruktury teleinformatycznej, a zwłaszcza narzędzi programowych, jak i sprzętowych mających za zadanie ochronę przed zagrożeniem, zarówno wewnętrznym, jak i zewnętrznym, znacznie się skraca. W obecnej sytuacji rynkowej,  praktycznie nie ma takiej Kancelarii podatkowej, która  nie wykorzystywałaby  infrastruktury do prowadzenia swojej działalności; począwszy od telefonów komórkowych, poprzez komputery stacjonarne i mobilne, a na drukarkach kończąc.

BEZPIECZEŃSTWO TO PROCES

Bezpieczeństwo informacji oznacza, że informacja  jest chroniona przed wieloma różnymi zagrożeniami w taki sposób, aby zapewnić ciągłość prowadzenia działalności oraz zminimalizować straty spowodowane zniszczeniem, utratą bądź „wyciekiem” informacji do osób i instytucji nieuprawnionych.

Bezpieczeństwo informacji oznacza zachowanie:

  • poufności: zapewnienie dostępu do informacji tylko osobom upoważnionym;
  • integralności: zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania;
  • dostępności: zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią aktywów wtedy, gdy jest to potrzebne.

Wartym rozważenia przez każdą Kancelarię podatkową jest przygotowanie i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji zgodnym z wytycznymi norm ISO 27000. System Zarządzania Bezpieczeństwem Informacji to element kompleksowego systemu zarządzania organizacją, oparty na podejściu wynikającym z ryzyka biznesowego, odnoszący się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji w organizacji.

Przygotowanie i wdrożenie dokumentacji wymaganej zapisami Ustawy o ochronie danych osobowych, może być dla Kancelarii podatkowej znakomitym rozpoczęciem prac z zakresu szeroko rozumianego bezpieczeństwa informacji. Pamiętajmy, wdrażając dokumentację wymaganą prawem, dajecie Państwo swoim Klientom wartość dodaną i wskazujecie, iż informacje Waszych Klientów są nie mniej ważne od informacji własnych.

STUDIUM PRZYPADKU

Kancelarii Doradztwa Podatkowego Adama Pankowskiego projekt w zakresie budowy polityki bezpieczeństwa i ochrony danych osobowych zajął kilka dni. Z pomocą przyszła doświadczona ogólnopolska firma informatyczna Proximus, mająca główną siedzibę w Katowicach.  W ramach zadania eksperci  dokonali oceny stosowanej polityki na zgodność z zapisami Ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych oraz z wytycznymi normy PN-ISO/IEC 27001:2007, zaimplementowanych w Kancelarii rozwiązań.

Audyt był prowadzony zgodnie z wytycznymi normy PN-EN/ISO 19011:2010 „Wytyczne dotyczące audytowania systemów zarządzania jakością i zarządzania środowiskiem”.  W wyniku prac audytoryjnych opracowano dokumentację wymaganą zapisami w/w Ustawy, w tym  Politykę Bezpieczeństwa i  Instrukcję Zarządzania Systemem Informatycznym, służącym do przetwarzania danych osobowych wraz z niezbędnymi załącznikami. Przygotowano zalecenia dla dalszego doskonalenia bezpieczeństwo informacji w Kancelarii oraz przeprowadzono niezbędne warsztaty dla pracowników. Jednym z filarów działalności integratora Proximus jest świadczenie usług podnoszących bezpieczeństwo danych oraz infrastruktury IT. Firma świadczy usługi audytu i kontroli z zakresu polityki bezpieczeństwa i ochrony danych osobowych, zapewnia przeglądy zgodności posiadanych licencji oraz wdraża narzędzia bezpieczeństwa infrastruktury IT m.in.: opcje bezpieczeństwa baz danych, aplikacji, systemów, serwerów, zarządzanie tożsamością.

Źródło: Doradca Podatkowy ♦ Nr 1/2014 ♦ www.kidp.pl