Jakie obowiązki w zakresie RODO wiążą się z przyjęciem przez firmę świadczącą usługi finansowo-księgowe roli podmiotu przetwarzającego, a jakie administratora danych osobowych?
Przetwarzanie danych osobowych w usługach księgowych i finansowych jest często przetwarzaniem, które można określić jako wtórne, tj. podstawa prawna, która upoważnia do przetwarzania danych osobowych „pojawiła” się niejako przy innej okazji, a przetwarzanie danych osobowych w obszarze księgowym i finansowym jest jej następstwem. Przykładem takiej sytuacji jest chociażby umowa sprzedaży, która pociąga za sobą szereg czynności rachunkowo-księgowych oraz finansowych, wynikających wprost z przepisów prawa. Zatem podstawą upoważniającą do przetwarzania danych osobowych przy sprzedaży jest m.in. konieczność realizacji zawartej umowy. W dalszym etapie, pojawiają się obowiązki rachunkowo-księgowe, a zatem podstawą przetwarzania będzie tutaj obowiązek prawny spoczywający na administratorze danych osobowych.
Jak jednak zachować się, gdy realizacja usług księgowych lub finansowych jest głównym elementem działalności danej firmy – np. outsourcera, a dokumentacja, która zawiera dane osobowe, pochodzi w całości od jej klientów?
Dwóch administratorów danych
Jeszcze do niedawna powszechnie uznawano, iż umowa powierzenia danych osobowych do przetwarzania jest jedyną podstawą przetwarzania danych osobowych przy świadczeniu usług m.in. biur rachunkowych, jak i innych usług finansowych. Także Polska Izba Biegłych Rewidentów w jednym ze swych poprzednich komunikatów (mimo sugestii wynikających z opracowań unijnych) wskazywała na takie rozwiązanie w przypadku m.in. usług badania sprawozdania finansowego. Obecnie, relacja dwóch administratorów danych osobowych, którzy ujawniają dane osobowe w zakresie niezbędnym do świadczenia usług nikogo już nie dziwi. Podstawy przetwarzania będą ponownie wynikać z konieczności realizacji obowiązków prawnych, ale także z tzw. prawnie uzasadnionego interesu administratora danych osobowych. Zatem bezdyskusyjny jest fakt istnienia relacji dwóch administratorów danych w sytuacji, gdy czynności realizuje biegły rewident (tj. niezależność narzucona przepisami ustawy o biegłych rewidentach, jak i standardem wykonania zawodu), czy też doradca podatkowy (tj. niezależność narzucona przepisami ustawy o doradztwie podatkowym).
Rozważasz skorzystanie z outsourcingu funkcji inspektora ochrony danych osobowych (outsourcing IOD)? Interesujesz się audytem lub wdrożeniem RODO? Sprawdź ofertę Grant Thornton >>.
Wątpliwość w przypadku biur rachunkowych
Wytyczne wynikające z RODO, czy też opracowań Europejskiej Rady Ochrony Danych Osobowych nie są jednak jednoznaczne w przypadku biur rachunkowych. Omawiana sytuacja zakłada pewną swobodę stron w ocenie ról, tj. wskazania tego kto jest administratorem danych osobowych, a kto podmiotem przetwarzającym. Czy wiążące dla biura rachunkowego są tylko przepisy dotyczące standardu wykonania zawodu, czy jednak dopuszcza się możliwość przyjęcia wskazówek klienta?
- Przyjęcie roli podmiotu przetwarzającego, oprócz obowiązków ogólnych wynikających z potrzeby ochrony danych osobowych, to m.in. także potrzeba prowadzenia rejestru kategorii czynności przetwarzania, w którym będziemy ewidencjonowali usługodawców (tj. administratorów) zlecających nam czynności przetwarzania.
- Jeżeli z kolei jest to dopuszczalne, i zdecydujemy się na rolę administratora danych osobowych, to ponownie oprócz „wewnętrznych” obowiązków ochrony danych (np. dokonanie oceny ryzyka), musimy jeszcze skupić się na obowiązkach „zewnętrznych”. Czy realizować czynności wobec osób, których dane przetwarzamy w związku z otrzymanymi dokumentami i informacjami od klienta (tzw. obowiązek informacyjny), czy też jednak skorzystać z wyłączenia, o którym mowa w art. 14 ust. 5 RODO? Czy w ogóle przetwarzać dane osobowe, czy też poprosić naszych usługodawców o dostarczenie danych zanonimizowanych?
Odpowiedź na wyżej opisane wątpliwości , jak i inne podstawowe i zarazem praktyczne aspekty związane z przetwarzaniem danych osobowych podczas świadczenia usług księgowych i finansowych, zaprezentuję szerzej w ramach spotkania podczas Kongresu Księgowych i Ekspertów Finansowych, organizowanego przez Polski Instytut Rozwoju Biznesu . Odbędzie się ono w formule on-line za niecały miesiąc, tj. 15 kwietnia br. Udział w przypadku dyrektorów finansowych, głównych księgowych, finance managerów oraz właścicieli biur rachunkowych i podatkowych jest bezpłatny – rejestracja odbywa się tutaj >> (klik) ; w przypadku pozostałych osób uczestnictwo w kongresie wiąże się z opłatą 1000 zł + 23% VAT. Serdecznie zapraszam!
