Z zaskoczeniem przyjmuję informację, że nowe przepisy o ochronie danych nie dotyczą biur rachunkowych. A spotkałam się z taką koncepcją już kilkakrotnie. Także niektóre firmy hostingowe snują takie teorie, w mojej ocenie nieuzasadnione.

Dzisiaj chcę opisać sytuację prawną (w kontekście RODO) biur rachunkowych, które są przykładem podmiotu występującego w podwójnej roli, a mianowicie administratora danych, jak i procesora danych.

 

Biuro jako administrator danych

Zacznę od administratora. Biuro rachunkowe jest właścicielem danych  stosunku do swoich klientów, jak również pracowników, czy współpracowników. Oznacza to, że określa cel oraz środki przetwarzania danych osobowych klientów, pracowników, współpracowników.

Te zbiory danych (kategorie) najczęściej będą się pojawiać w biurze rachunkowe. W przypadku małych i średnich biur rachunkowych rzadko będą występować inne dane wobec których biuro będzie administratorem.

Natomiast wobec innych grup danych będzie występować w roli procesora.

 

Biuro jako podmiot przetwarzający dane

Procesor jest podmiotem przetwarzającym dane, które są własnością innego podmiotu. Oznacza to, że procesor przetwarza dane w ściśle określonym celu ustalonym z administratorem w umowie o powierzenie przetwarzania danych.

Dla przykładu biuro będzie procesorem w stosunku do danych osobowych przekazanych mu przez klienta, a dokładniej rzecz ujmując wobec danych zawartych w dokumentacji klientów i korespondencji z nimi (faktur, pism, umów).

Dlatego biuro jest procesorem danych pracowników, współpracowników i kontrahentów przedsiębiorcy obsługiwanego przez to konkretne biuro rachunkowe.

Jak już wspomniałam, jeżeli biuro występuje w roli procesora to nie może przetwarzać danych w dowolnie uznanym przez siebie celu. Dlaczego nie?

Dlatego, że nie jest administratorem tych danych. Nie decyduje jakie dane będzie zbierał, a jakie nie. Nie decyduje, kiedy i jak długo będzie dane zbierał?

Zakres, cel, czas, odpowiedzialność powinna zostać uregulowana w umowie o powierzenie przetwarzania danych.

Dla przypomnienia umowę taką można zawrzeć zarówno w formie papierowej, jak i elektronicznej. Umowa powierzenia może być umową dodatkową do umowy głównej na świadczenie usług księgowo-kadrowych. Równie dobrze pewne regulacje mogą znaleźć się w jednej umowie, a kwestie dotyczące powierzenia będą wówczas stanowiły jej fragment.

 

Gdzie przechowywać dane?

Dla bezpiecznego przetwarzania danych warto zastanowić się, w jakiej formie dochodzi do przetwarzania danych w biurze rachunkowym.

Na pewno jest to dokumentacja papierowa przechowywana w segregatorach podzielonych na poszczególnych klientów.

Następnie dane w formie elektronicznej przetwarzane w systemie księgowym. Poczta elektroniczna, a także może się zdarzyć program księgowy, z którego korzysta klient udostępniany następnie pracownikom biura w celu wykonywania umowy o świadczenie usług księgowych.

 

Rejestr przetwarzanych danych

Istotnym dokumentem dla każdego podmiotu przetwarzającego dane jest rejestr czynności przetwarzania.

Z związku z podwójną rolą, jaką pełni biuro rachunkowe jest zobowiązane do prowadzenia dwóch takich rejestrów. Jeden, w którym występuje w roli administratora. Drugi w stosunku do danych, dla których jest procesorem.

 

Odpowiedzialność w zakresie RODO

W tym kontekście spotykam się z pytaniem klientów, co jeśli przyjdzie kontrola a ja nie będę miał podpisanej umowy z administratorem z jego winy? Albo jeżeli dojdzie do naruszenia w związku ze źle sformułowaną umową powierzenia?

Odpowiedzialność spada przede wszystkim na administratora. Jednak pełniąc rolę procesora nie możesz się zupełnie wyluzować w tej kwestii uznając, że ciebie problem nie dotyczy. Niech martwi się administrator.

Kolokwialnie mówiąc „jedziecie na tym samym wózku” i to od tego, jak ukształtujecie wzajemne relacje i obowiązki i przetwarzanie danych, będzie zależał poziom bezpieczeństwa, wzajemnego zaufania i poczucie dobrze wykonanej roboty.

 

Masz znajomych, którzy powinni przeczytać ten wpis? Koniecznie udostępnij im wpis: