sobota, 28 lutego 2026

Procedura bezpiecznego przetwarzania danych osobowych w trakcie pracy zdalnej (dla działu księgowości / biura rachunkowego)


 

Procedura bezpiecznego przetwarzania danych osobowych w trakcie pracy zdalnej

(dla działu księgowości / biura rachunkowego)

1. Cel procedury

Celem niniejszej procedury jest określenie zasad bezpiecznego przetwarzania danych osobowych w trakcie wykonywania pracy zdalnej w obszarze księgowości, w sposób zapewniający zgodność z RODO oraz szczególny poziom ochrony danych finansowych, kadrowych i podatkowych.

Procedura uwzględnia podwyższone ryzyko związane z przetwarzaniem m.in. danych identyfikacyjnych, płacowych, bankowych oraz danych szczególnych kategorii (np. dane o zdrowiu zawarte w dokumentacji kadrowo-płacowej).

2. Zakres procedury

Procedura ma zastosowanie do wszystkich osób wykonujących pracę zdalną w obszarze księgowości, w szczególności: - pracowników działu księgowości, - pracowników biur rachunkowych, - współpracowników B2B, - osób prowadzących obsługę kadrowo-płacową, - innych osób upoważnionych do przetwarzania danych w systemach finansowo-księgowych.

3. Definicje

·       ADO – Administrator Danych Osobowych,

·       praca zdalna – wykonywanie czynności księgowych poza siedzibą ADO,

·       dane osobowe – dane w rozumieniu art. 4 pkt 1 RODO, w tym dane pracownicze, kontrahentów i klientów,

·       dane wrażliwe – dane szczególnych kategorii przetwarzane w ramach dokumentacji kadrowej.

4. Odpowiedzialność

1.       ADO odpowiada za wdrożenie, nadzór i aktualizację procedury.

2.       Osoby wykonujące pracę zdalną odpowiadają za zgodne z procedurą przetwarzanie danych oraz zachowanie tajemnicy księgowej i zawodowej.

5. Zakres i zasady przetwarzania danych w księgowości zdalnej

1.       Dane osobowe mogą być przetwarzane wyłącznie w zakresie niezbędnym do realizacji:

o   obowiązków księgowych i podatkowych,

o   obsługi kadrowo-płacowej,

o   obowiązków sprawozdawczych.

2.       Zabronione jest kopiowanie danych „na zapas” oraz tworzenie prywatnych archiwów dokumentów.

3.       Każda osoba przetwarzająca dane musi posiadać imienne upoważnienie.

6. Organizacja stanowiska pracy zdalnej

1.       Praca zdalna musi być wykonywana w miejscu:

o   zapewniającym poufność danych finansowych,

o   uniemożliwiającym wgląd osób trzecich w dokumenty księgowe.

2.       Zabronione jest przetwarzanie danych księgowych w miejscach publicznych.

3.       Dokumenty papierowe (faktury, listy płac, umowy) należy przechowywać w zamkniętych szafach lub pojemnikach.

7. Zasady korzystania ze sprzętu i systemów księgowych

1.       Dane osobowe mogą być przetwarzane wyłącznie na sprzęcie zatwierdzonym przez ADO.

2.       Systemy finansowo-księgowe muszą:

o   posiadać indywidualne konta użytkowników,

o   rejestrować logi dostępu,

o   być regularnie aktualizowane.

3.       Zabronione jest eksportowanie danych do plików lokalnych bez zgody ADO.

4.       Nośniki danych muszą być szyfrowane.

8. Bezpieczeństwo połączeń i transmisji danych

8A. Szczególne zasady bezpieczeństwa w związku z korzystaniem z KSeF

  1. Dostęp do Krajowego Systemu e-Faktur (KSeF) w ramach pracy zdalnej może odbywać się wyłącznie:

o   z wykorzystaniem kont i uprawnień nadanych zgodnie z zasadami określonymi przez ADO,

o   z użyciem sprzętu zatwierdzonego przez ADO.

  1. Zabronione jest korzystanie z KSeF z prywatnych urządzeń lub kont niezarejestrowanych w systemach ADO.
  2. Dane uwierzytelniające do KSeF (tokeny, certyfikaty, dane dostępowe) podlegają szczególnej ochronie i nie mogą być:

o   udostępniane osobom trzecim,

o   przechowywane w formie jawnej,

o   przesyłane za pośrednictwem niezabezpieczonych kanałów komunikacji.

  1. Uprawnienia w KSeF powinny być nadawane zgodnie z zasadą minimalizacji i okresowo weryfikowane.
  2. Dostęp do systemów księgowych musi odbywać się z wykorzystaniem:

o   VPN lub innych bezpiecznych połączeń,

o   uwierzytelniania wieloskładnikowego (jeśli dostępne).

  1. Przesyłanie dokumentów księgowych odbywa się wyłącznie za pośrednictwem zatwierdzonych kanałów komunikacji.
  2. Zabronione jest korzystanie z prywatnych skrzynek e-mail i prywatnych chmur.

9. Przetwarzanie dokumentów księgowych i faktur w KSeF

1.       Faktury ustrukturyzowane przetwarzane w KSeF stanowią dokumentację zawierającą dane osobowe kontrahentów i osób fizycznych.

2.       Zabronione jest pobieranie faktur z KSeF na lokalne nośniki, o ile nie jest to niezbędne do realizacji obowiązków księgowych.

3.       W przypadku pobrania dokumentu z KSeF, pliki muszą:

o   być przechowywane wyłącznie tymczasowo,

o   zostać usunięte po wprowadzeniu danych do systemu księgowego.

4.       Eksport danych z KSeF do systemów finansowo-księgowych musi odbywać się z użyciem narzędzi zatwierdzonych przez ADO.

5.       Zabronione jest przekazywanie faktur pobranych z KSeF klientom lub kontrahentom z wykorzystaniem prywatnych skrzynek e-mail.

10. Przetwarzanie dokumentacji kadrowo-płacowej

1.       Dokumentacja kadrowo-płacowa podlega szczególnej ochronie.

2.       Zabronione jest drukowanie list płac i dokumentów kadrowych bez uzasadnionej potrzeby.

3.       Dane kadrowe nie mogą być przechowywane lokalnie po zakończeniu pracy.

11. Usuwanie i archiwizacja danych

1.       Dane osobowe należy archiwizować wyłącznie w systemach ADO.

2.       Po zakończeniu pracy zdalnej wszelkie lokalne kopie danych muszą zostać usunięte.

3.       Niszczenie dokumentów papierowych odbywa się zgodnie z obowiązującą procedurą archiwizacji.

12. Naruszenia ochrony danych osobowych (w tym KSeF)

  1. Za naruszenie ochrony danych w kontekście KSeF uznaje się w szczególności:

o   nieuprawniony dostęp do konta KSeF,

o   utratę tokenu lub certyfikatu,

o   błędne nadanie uprawnień w KSeF,

o   pobranie lub udostępnienie faktur osobom nieuprawnionym.

  1. Każde podejrzenie naruszenia należy niezwłocznie zgłosić ADO.
  2. Osoby wykonujące pracę zdalną są zobowiązane do natychmiastowego podjęcia działań ograniczających skutki incydentu.
  3. Każde podejrzenie naruszenia (np. wysłanie faktury do błędnego odbiorcy, utrata laptopa, nieuprawniony dostęp do systemu) należy niezwłocznie zgłosić.
  4. Osoby wykonujące pracę zdalną są zobowiązane do współpracy przy analizie incydentu.

13. Szkolenia i poufność

1.       Przed dopuszczeniem do pracy zdalnej osoby przetwarzające dane księgowe muszą odbyć szkolenie z RODO i bezpieczeństwa informacji.

2.       Obowiązek zachowania poufności obowiązuje również po zakończeniu współpracy.

14. Postanowienia końcowe

1.       Procedura wchodzi w życie z dniem zatwierdzenia przez ADO.

2.       Naruszenie procedury może skutkować odpowiedzialnością porządkową, cywilną lub umowną.

3.       Procedura podlega okresowym przeglądom, nie rzadziej niż raz w roku.

at
Labels:
Location: Jaworzno, Polska

Brak komentarzy:

Prześlij komentarz

Subskrybuj: Komentarze do posta (Atom)

Post Polecany

Narzędzia do RODO

  Kurs RODO dla JDG Prowadzisz jednoosobową działalność gospodarczą i zastanawiasz się, czy RODO dotyczy także Ciebie? Tak – nawet JDG musi ...

Popularne Posty

  • Narzędzia do RODO
      Kurs RODO dla JDG Prowadzisz jednoosobową działalność gospodarczą i zastanawiasz się, czy RODO dotyczy także Ciebie? Tak – nawet JDG musi ...
  • Firma kontra właściciel danych osobowych
      Spółka XYZ przetwarza dane osobowe Jana Kowalskiego, ale sam zainteresowany ma wątpliwości czy mogą a ich postepowanie jest nachalne i iry...
  • Kompendium - Analiza Ryzyka
    Kompendium - Analiza Ryzyka 1. Analiza ryzyka RODO w księgowości Matryca zagrożeń i podatności jakie tam mogą wystąpić https://zas...