Dominika Kucharczyk

Dominika Kucharczyk Ceny transferowe

Temat: Kancelaria Podatkowa - powierzenie a może upoważnienie?

Dzień dobry, napotkałam na następujący przypadek, z którym nie jestem w stanie sobie poradzić, bo im dłużej go analizuję, tym bardziej się gubię.
Sprawa wygląda następująco:

Czy Kancelaria Podatkowo-Prawna, otrzymująca od Klientów dane osobowe, w związku z realizacją zlecenia, musi posiadać Instrukcję Bezpieczeństwa?
Zakładam (mam nadzieję, że poprawnie, że Kancelaria nie jest ADO)

Kancelaria nie zawsze realizuje zadania zlecone na podstawie umowy pisemnej, z dosłownym zaznaczeniem, iż Klient dokonał powierzenia danych osobowych.
Nie zawsze mamy więc do czynienia z umową powierzenia.

Czy Kancelaria musi więc posiadać Instrukcję Bezpieczeństwa?
Czy poprawnie rozumiem, że nie jest administratorem danych?
Czy można tutaj ewentualnie zastosować upoważnienie do przetwarzania danych (art. 37 uodo)?

Nie używamy też żadnych programów komputerowych, "przetwarzanie" danych polega głównie na tym że posiadamy dane klientów takie jak imię, nazwisko, pesel, numer dowodu osobistego, imię ojca itd.

Z góry dziękuję za odpowiedźTen post został edytowany przez Autora dnia 23.06.15 o godzinie 11:53
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Kancelaria Podatkowa - powierzenie a może upoważnienie?

Zacznijmy od tego, że kancelarie również są zobowiązane do przestrzegania ustawy o ochronie danych osobowych.
Problem w tym, że wielu właścicieli kancelarii zajmujących prawem ... nie zna obowiązującego ich prawa.
Z ciekawszych artykułów na ten temat - polecam:
https://www.portalodo.com/entry/sprawdz-jak-twoj-prawni...
http://prawo.gazetaprawna.pl/artykuly/721357,giodo-zap...
http://prawo.gazetaprawna.pl/artykuly/727276,prawnicy-...

Wracając do Pani pytania, a w zasadzie pytań:
Jeżeli kancelaria zbiera dane osobowe swoich klientów (a nie wyobrażam sobie, że może bez tego funkcjonować)
to siłą rzeczy JEST administratorem danych osobowych.
Forma przechowywania i w ogóle przetwarzania tych danych (czy elektronicznie czy papierowo) nie ma tu znaczenia.
W związku z tym, że kancelaria jest administratorem danych to powinna spełniać szereg wymogów wynikających z przepisów dotyczących o.d.o..
Jedynym zwolnieniem jest zwolnienie z rejestrowania w GIODO zbioru danych osobowych klientów, którzy zawarli z nimi umowę o świadczenie obsługi prawnej.
Wszystkie inne wymogi, w tym konieczność posiadania Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym muszą być spełnione.

W opisanym przez Panią przypadku nie mają zastosowania ani udostępnienie ani powierzenie danych.
Kancelaria po prostu zbiera dane dotyczące swoich klientów,
udostępnić lub powierzyć dane mógłby jej inny podmiot będący administratorem danych.
Dominika Kucharczyk

Dominika Kucharczyk Ceny transferowe

Temat: Kancelaria Podatkowa - powierzenie a może upoważnienie?

Dziękuję za odpowiedź, wydawało mi się jednak, że w tej sytuacji znajdują zastosowanie przepisy art. 31 ustawy o ochronie danych osobowych.
Kancelaria podatkowa występuje wtedy jedynie w kategorii podmiotu, któremu powierzono dane osobowe w celu przeprowadzenia określonych operacji, np. gdy dane osobowe udostępniane są przez administratora innemu podmiotowi w związku z umową cywilnoprawną zawieraną pomiędzy administratorem a przetwarzającym (więc gdy np. klient kancelarii przekazuje dane dotyczące kontrahnetów).
Ten tok myślenia jest zły tak?
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Kancelaria Podatkowa - powierzenie a może upoważnienie?

W ochronie danych osobowych powierzenie a udostępnienie to dwie nieco się różniące sytuacje,
proszę nie interpretować tych słów w sensie potocznym i proszę nie używać ich zamiennie.

Art. 31 dotyczy powierzenia danych przez jeden podmiot, który jest administratorom danych drugiemu podmiotowi.
Ma to zastosowanie np. w takiej sytuacji:
Jeżeli kancelaria chciałaby podzlecić wykonanie jakiejś pracy i w ramach tego przekazywała dane osobowe klientów innej kancelarii - to wtedy należałoby pomyśleć o umowie powierzenia pomiędzy kancelariami.

W przypadku jeżeli dane pozyskujemy od klienta to jest to zbieranie danych, a nie powierzenie.
Klient nie jest administratorem swoich danych, on jest ich właścicielem.
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Kancelaria Podatkowa - powierzenie a może upoważnienie?

Przepraszam, ale chyba źle Panią zrozumiałem.

Chodzi Pani o sytuację kiedy klient ma swoich kontrahentów i przekazuje ich dane Państwa kancelarii?
W tej sytuacji można zastosowac powierzenie.
Administratorem tych danych w dalszym ciągu jest wtedy Państwa klient.

Ale kancelaria zobowiązana jest przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36–39 ustawy, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a.
Między innymi kancelaria musi mieć Politykę Bezpieczeństwa Informacji i Instrukcję Zarządzania Systemem Informatycznym.
Dominika Kucharczyk

Dominika Kucharczyk Ceny transferowe

Temat: Kancelaria Podatkowa - powierzenie a może upoważnienie?

tak, chodzi o sytuację gdy mówiąc kolokwialnie przychodzi klient do Kancelarii i przynosi w segregatorze dokumenty (założmy: faktury, raporty z posiedzenia rady nadzorczej) i prosi o sporządzenie np. jakiejś analizy.)

Wówczas w polityce bezpieczeństwa jako administratora danych należy oznaczyć klienta tak?
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Kancelaria Podatkowa - powierzenie a może upoważnienie?

Ja bym to raczej widział jako element umowy powierzenia.
Zwykle w takich umowie wskazuje się kto jest administratorem danych, a kto podmiotem któremu dane powierzono.

W polityce kancelarii nie ma obowiązku wymieniania zbiorów, których kancelaria nie jest administratorem.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Kancelaria Podatkowa - powierzenie a może upoważnienie?

A kancelaria nie posiada jeszcze PBDO i Instrukcji? Przecież przetwarza dane swoich pracowników, współpracowników czy kontrahentów - z których kolokwialnie mówić - jeśli tylko jeden jest jednoosobową działalnością to już tworzy zbiór (tak w uproszczeniu).

Jak dla mnie nie spotkałem jeszcze kancelarii w której nie są przetwarzane dane osobowe. Więc formalnie, nawet bez tego casusu powinna mieć spełnione wymagania.

Art 31 mówi tylko o powierzeniu pewnego zbioru (czy jego części) do przetwarzania w celu uzyskania jakiejś informacji. Ale to tylko inny zbiór, bedący czyjąś własnością. Natomiast dane osobowe nadal są dane osobowe. I nadal nimi będą niezależnie, czy kancelaria będzie je sobie sama gromadzić, czy będzie je dostawać lub mieć powierzone.
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Kancelaria Podatkowa - powierzenie a może upoważnienie?

Marek P.:
http://prawo.gazetaprawna.pl/artykuly/721357,giodo-zap...
http://prawo.gazetaprawna.pl/artykuly/727276,prawnicy-...

Nasz były GIODO jak zwykle dużo gadał, a chyba niewiele w tej sprawie zrobił.
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: Kancelaria Podatkowa - powierzenie a może upoważnienie?

Grzegorz K.:
Jak dla mnie nie spotkałem jeszcze kancelarii w której nie są przetwarzane dane osobowe. Więc formalnie, nawet bez tego casusu powinna mieć spełnione wymagania.

Ja za to spotkałem kancelarie, które nie mają ani polityki, ani instrukcji, ani upoważnień. Dlaczego nie? Bo nie. Bo są ponad i nikt im nie będzie mówił, jak chronić tajemnice klienta i nikt ich nie będzie kontrolował... Takie tam wylewam dziś frustracje...
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Kancelaria Podatkowa - powierzenie a może upoważnienie?

Ja dodam, że większość z tych, jakie spotkałem tak mają. Taka nieco samozajefajność wynikająca z tego, że sa ostrzem skarbówki (czasem - mówię o tym obowiązku meldowania transakcji i innych, co księgowi na szkoleniach mają). I potem już zostaje,... że nie trzeba.



Wyślij zaproszenie do