rachunkowość finansowa, sprawozdanie finansowe, rachunkowość budżetowa, rozliczenia międzyokresowe
lupa
2 października 2017 r. (poniedziałek) mija termin złożenia do US zeznań PIT-CFC oraz CIT-CFC za 2016 r.
Zamknij
A A A

Gazeta Podatkowa nr 38 (1392) z dnia 11.05.2017

Ochrona danych osobowych i przeciwdziałanie praniu pieniędzy w biurze rachunkowym


1) Otwieram własne biuro rachunkowe. Jakie obowiązki obciążają mnie wobec Generalnego Inspektora Ochrony Danych Osobowych?

Przede wszystkim biura rachunkowe obciążają obowiązki wynikające z ustawy o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922).

Otrzymując dane osobowe od swoich klientów w celu świadczenia usług, biura rachunkowe nie stają się administratorami tych danych, pod warunkiem, że wykonują czynności na nich, na podstawie zawartej umowy o powierzenie danych osobowych. Administrator danych (np. spółka, osoba fizyczna prowadząca działalność gospodarczą) powierza biuru rachunkowemu przetwarzanie danych na podstawie art. 31 ustawy o ochronie danych osobowych. Taka umowa musi być bezwzględnie zawarta na piśmie. Brak umowy powoduje, że w zakresie przekazanych danych biuro rachunkowe staje się ich administratorem, a co za tym idzie - obciążają je dużo szersze obowiązki niż przy przetwarzaniu, takie jak np. obowiązek zgłoszenia zbiorów przetwarzanych danych do rejestracji u GIODO.

Jeżeli zaś w zakresie przekazanych danych zostaje zawarta na piśmie umowa, biuro rachunkowe obciążają obowiązki określone w art. 31 ust. 3 powołanej ustawy, nie zaś obowiązki rejestracyjne względem GIODO. Podmiot, któremu dane zostały przekazane, jest zobowiązany przed rozpoczęciem ich przetwarzania podjąć środki zabezpieczające zbiór danych. Chodzi tu o zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. W szczególności musi zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Oprócz tego wszystkie osoby, które będą miały do czynienia z przekazanymi danymi osobowymi, muszą posiadać stosowne upoważnienia do ich przetwarzania. Biuro musi również zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo są do zbioru wprowadzane oraz komu są przekazywane. Należy prowadzić ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:

  • imię i nazwisko osoby upoważnionej;
     
  • datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych;
     
  • identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Ponadto biuro musi przygotować i stosować się do dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, określonej w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji (Dz. U. z 2004 r. nr 100, poz. 1024).

Podmiot, któremu przekazano dane (tu: biuro rachunkowe), może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.

W przypadku przekazania biuru rachunkowemu danych osobowych odpowiedzialność za przestrzeganie przepisów ustawy o ochronie danych osobowych nadal spoczywa na podmiocie przekazującym (administratorze danych), co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

W zakresie, w którym powierzane dane nie pochodzą od innego podmiotu (np. klienta biura) i nie są wyłącznie powierzone celem wykonania na nich określonych czynności, biuro rachunkowe samodzielnie pełni rolę administratora tych danych, np. w odniesieniu do zbiorów danych, które tworzy samodzielnie (przetwarzając dane swoich klientów, pracowników, kontrahentów). W takich przypadkach biuro może być zobowiązane do zgłoszenia zbiorów przetwarzanych danych do rejestracji u GIODO. Ustawa o ochronie danych osobowych w art. 43 zawiera katalog wyłączeń z obowiązku tej rejestracji. Z takiego obowiązku zwolnieni są m.in. administratorzy danych: w stosunku do danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta. Biuro rachunkowe w zakresie przetwarzanych danych, które zostały mu powierzone przez klienta, nie ma obowiązku zgłaszania ich do rejestracji u GIODO. Przykładowo biuro nie ma obowiązku zgłaszania do rejestracji u GIODO zbiorów danych powierzonych mu przez klienta obejmujących dane niezbędne do sporządzenia jego pracownikom deklaracji podatkowych. Również dane pracodawcy służące wyłącznie dla celów sporządzenia faktury, a także dane pracowników, które zostają powierzone biuru, nie podlegają takiej rejestracji.

Podstawowe dokumenty w zakresie ochrony danych osobowych w firmie

Instrukcja zarządzania systemem informatycznym powinna określać:

» procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
» stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
» procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
» procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, 
» sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe i kopii zapasowych, 
» sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, 
» sposób realizacji wymogów związanych z przetwarzaniem danych osobowych polegającym na odnotowaniu informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, 
» procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Polityka bezpieczeństwa powinna zawierać w szczególności:

» wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, 
» wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, 
» opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi, 
» sposób przepływu danych pomiędzy poszczególnymi systemami, 
» określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.


2) Jakie obowiązki na biuro rachunkowe nakłada ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu?

Podmioty wykonujące działalność w zakresie usługowego prowadzenia ksiąg rachunkowych należą do tzw. instytucji obowiązanych, na których ciążą obowiązki określone w ustawie o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2016 r. poz. 299 ze zm.), zwanej dalej ustawą, co wynika z jej art. 2 pkt 1 lit. o). Chodzi tu o podmioty, o których mówi art. 76a ust. 1 ustawy o rachunkowości (Dz. U. z 2016 r. poz. 1047 ze zm.). Obowiązki takich podmiotów wynikające z ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu sprowadzają się głównie do rejestracji i przekazywania informacji do Generalnego Inspektora Informacji Finansowej (GIIF) na temat transakcji:

1) przeprowadzanej przez instytucję obowiązaną, której równowartość przekracza 15.000 euro (art. 8 ust. 1 ustawy) - przy czym podmioty usługowo prowadzące księgi rachunkowe są obecnie zwolnione z obowiązku rejestracji i przekazywania do GIIF tych transakcji (z zasady zresztą nie będą one występować w biurach rachunkowych, bo biura nie przeprowadzają transakcji, tylko je ewidencjonują),

2) której okoliczności wskazują, że może ona mieć związek z praniem pieniędzy lub finansowaniem terroryzmu, bez względu na jej wartość i charakter - dotyczy to zarówno sytuacji, gdy transakcja taka jest przeprowadzana przez instytucję obowiązaną, jak i gdy wie ona lub przy zachowaniu należytej staranności powinna wiedzieć o takiej transakcji w związku z wykonaniem umowy z klientem (art. 8 ust. 3 i 3a ustawy); takie właśnie informacje mogą pojawić się w biurze rachunkowym.

Największy problem jest z oceną, czy transakcja może mieć związek z praniem pieniędzy lub finansowaniem terroryzmu. W ustawie o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu wprowadzono regulacje dotyczące tego, co brać pod uwagę przy tej ocenie. Zgodnie z art. 8b ust. 1 tej ustawy instytucje obowiązane stosują wobec swoich klientów środki bezpieczeństwa finansowego. Zakres ich stosowania jest określany na podstawie oceny ryzyka prania pieniędzy i finansowania terroryzmu, dokonanej w wyniku analizy, z uwzględnieniem w szczególności rodzaju klienta, stosunków gospodarczych, produktów lub transakcji. Przy dokonywaniu analizy w celu określenia wysokości ryzyka instytucja obowiązana powinna uwzględnić w szczególności kryteria wskazane w art. 10a ust. 3 omawianej ustawy. Kiedy stosować środki bezpieczeństwa finansowego i na czym one polegają, mówi art. 8b ust. 3-5 oraz art. 9, 9d i 9e ww. ustawy. O tym, jak przykładowo zorganizować w biurze rachunkowym dokumentację związaną z obowiązkami wobec GIIF, pisaliśmy m.in. w GP nr 85 z 2016 r., na str. 20.


Treść ujednoliconych przepisów prawnych dostępna jest w serwisie www.przepisy.gofin.pl.


Biura rachunkowe muszą wyznaczyć osoby odpowiedzialne za wykonanie obowiązków w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. W przypadku instytucji obowiązanych będących kapitałowymi spółkami handlowymi osobą odpowiedzialną za wykonanie tych obowiązków jest członek zarządu wyznaczony przez zarząd, a przy działalności jednoosobowej - osoba wykonująca tę działalność (art. 10b ustawy). Osoby, które wykonują obowiązki związane z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu, powinni uczestniczyć w programach szkoleniowych na ten temat (art. 10a ust. 4 ustawy). Do niedawna na stronie internetowej Ministerstwa Finansów dostępny był nieodpłatny kurs e-learningowy, który zapewniał wywiązanie się z tej powinności. Jednak ostatnio w komunikacie zamieszczonym na tej stronie GIIF poinformował, że z dniem 18 kwietnia 2017 r. kurs ten przestaje być aktywny i od tego dnia nie ma możliwości uczestnictwa w tym kursie.

Transakcje podejrzane o związek z praniem pieniędzy i finansowaniem terroryzmu zgłasza się do GIIF, ujmując je w rejestrze transakcji w sposób wskazany w rozporządzeniu Ministra Finansów w sprawie określenia wzoru rejestru transakcji, sposobu jego prowadzenia oraz trybu dostarczania danych z rejestru GIIF (Dz. U. z 2001 r. nr 113, poz. 1210 ze zm.). Warto zauważyć, że doradcy podatkowi, biegli rewidenci i księgowi dokonali w 2016 r. 0,36% wszystkich zawiadomień o transakcjach podejrzanych, w 2015 r. było to 0,45%, a w 2014 r. 0,62% (wynika tak ze sprawozdań rocznych z działalności GIIF za te lata, zamieszczonych na stronie internetowej MF).

Określenie m.in. sposobu wykonania środków bezpieczeństwa finansowego, rejestracji transakcji, sposobu analizy i oceny ryzyka, przekazywania informacji o transakcjach GIIF oraz sposobu przechowywania informacji powinna zawierać sporządzona w formie pisemnej wewnętrzna procedura w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, którą instytucja obowiązana musi wprowadzić na podstawie art. 10a ust. 1 i 2 ustawy.

www.PoradnikKsiegowego.pl - Szkolenia księgowego:

 Jeśli nie znalazłeś informacji, której szukasz,
wejdź do serwisu
www.VademecumKsiegowego.pl » 
Więcej w zasobach płatnych

Serwis Głównego Księgowego

Gazeta Podatkowa

Prenumerata 2018 r. - www.sklep.gofin.pl
Pomocniki Księgowego
PRZEWODNIKI on-line Księgowego i Kadrowego

Terminarz

wrzesień 2017
PN WT ŚR CZ PT SO ND
1
2
3
4
6
8
9
10
12
13
14
16
17
18
19
21
22
23
24
26
27
28
29
ASYSTENT GOFIN - Darmowa aplikacja dla Księgowych
sklep.gofin.pl - RABATY, NAGRODY, PROMOCJE
NEWSLETTERY
Fachowe czasopisma - PoznajProdukty.gofin.pl
Zasady rachunkowości w jednostkach i zakładach budżetowych
Vademecum Księgowego - zasady prowadzenia ksiąg rachunkowych
PODATEK DOCHODOWY - przychody, koszty, środki trwałe, amortyzacja, leasing
PODATEK VAT - zasady rozliczania i weryfikacji

WSKAŹNIKI

Bieżące wskaźniki wraz z archiwum

Sklep internetowy - sklep.gofin.pl
gofin
sgk
czasopisma
forum
sklep
gazeta podatkowa
 
Wydawnictwo Podatkowe GOFIN sp. z o.o., ul. Owocowa 8, 66-400 Gorzów Wlkp., tel. 95 720 85 40, faks 95 720 85 60