Obsługa klientów w zakresie usług finansowych i księgowych często łączy się z tematyką ochrony danych osobowych. Ważne jest uregulowanie współpracy z klientem także w tym obszarze!
Przetwarzanie danych osobowych jest nieodłącznym elementem usług księgowych i finansowych. Przedmiotowy proces może łączyć się z umową powierzenia danych osobowych do przetwarzania, o której mowa w art. 28 RODO. Należy pamiętać, że kwestie związane z przetwarzaniem danych osobowych powinny być uporządkowane jeszcze przed rozpoczęciem współpracy z klientem. Zatem oprócz uregulowania podstawowego zakresu współpracy, powinniśmy zastanowić się także nad tematem dodatkowym, jakim może okazać się konieczność zawarcia umowy powierzenia danych osobowych do przetwarzania.
Czy usługodawca jest administratorem danych osobowych czy procesorem?
Przedsiębiorca powinien być świadomy tego, czy w trakcie świadczenia usług pełni rolę administratora danych osobowych, czy też podmiotu przetwarzającego.
W dużym uogólnieniu, administrator decyduje o celu przetwarzania i środkach jakich do tego celu użyje. Ponadto, administrator często kieruje się standardami wykonywania zawodu, czy też ma ustawowo przypisaną niezależność. Ta niezależność uniemożliwia przyjęcie wskazówek od klientów, która wpływałyby na czynności przetwarzania. Administrator też decyduje o tym, kiedy zakończyć przetwarzanie danych lub posiłkuje się przy tym wytycznymi ustawowymi.
Z kolei podmiot przetwarzający, zwany też procesorem, nie przetwarza danych osobowych we własnym celu. Ponadto, procesor nie decyduje o środkach przetwarzania, jak i usuwa dane z polecenia administratora.
Rola procesora pociąga za sobą obowiązek zawarcia umowy powierzenia danych osobowych do przetwarzania. Czynność ta z pozoru jest banalna, ale mimo upływu kilku lat od rozpoczęcia stosowania przepisów RODO, nadal popełniamy błędy przy jej realizowaniu, m.in. nie wykazując informacji o:
- dalszych podmiotach przetwarzających,
- transferze danych poza Europejski Obszar Gospodarczy,
- czy też nie realizując usuwania danych osobowych po zakończeniu świadczenia usług.
Czy naprawdę zdajemy sobie sprawę z obowiązków procesora, do których wykonania jesteśmy zobligowani?
Kongres księgowych i ekspertów finansowych PIRB
W związku z szeregiem wątpliwości i pytań odnośnie RODO ze strony przedsiębiorców oferujących usługi finansowe i księgowe swoim klientom, w trakcie trwania tegorocznego Kongresu Księgowych i Ekspertów Finansowych organizowanego przez Polski Instytut Rozwoju Biznesu, w ramach swojej prelekcji, przedstawię wskazówki pozwalające usprawnić ten proces. Postaram się też wyjaśnić, na które elementy umowy powierzenia danych osobowych do przetwarzania warto zwrócić uwagę w trakcie jej formułowania i podpisywania. Krótko porozmawiamy także o tym, jak kształtują się obowiązki usługodawców przy regulowaniu współpracy z klientami, gdy z kolei pełnią rolę administratora.
Serdecznie zapraszam!
Kacper Rączkowiak
Starszy specjalista ds. ochrony danych osobowych (IOD), Grant Thornton Frąckowiak sp. z o.o. sp. k.
