Gdybyśmy mieli wskazać kilka przykładowych profesji, których działanie opiera się przede wszystkim na przetwarzaniu danych osobowych, z pewnością – obok lekarzy, urzędników czy marketerów – ktoś wymieniłby biura rachunkowe. Firmy zajmujące się księgowością przed 25 maja 2018 r., muszą zadbać o przygotowanie właściwej dokumentacji oraz zabezpieczeń danych, by spełniać założenia RODO. W przeciwnym razie powinny liczyć się z możliwością nałożenia na nie ogromnej kary. Sprawdźmy w jaki sposób, zarówno biura rachunkowe, jak i ich klienci, muszą przygotować się do RODO.
Rodzaje danych, które przetwarzają biura rachunkowe
Klienci powierzają biurom rachunkowym mnóstwo dokumentów, począwszy od faktur, przez umowy, wyciągi bankowe na rejestrach VAT kończąc. Pracownicy biur rachunkowych mają zatem dostęp do:
- danych kontrahentów,
- danych pracowników,
- danych przedstawiających wysokość dokonanych transakcji.
Spróbujmy wskazać przykładowe zbiory danych, na jakich pracują biura rachunkowe:
- faktury,
- rachunki,
- umowy,
- inne dokumenty zakupu/sprzedaży,
- dokumenty ZUS,
- dokumenty GUS,
- rejestry VAT,
- deklaracje podatkowe,
- sprawozdania finansowe,
- i wiele, wiele innych.
Jak widać, dokumentów, a w związku z tym danych przetwarzanych przez biura rachunkowe, jest całe mnóstwo. Dlatego też każde biuro rachunkowe, w pierwszym kroku przygotowania do RODO, powinno zdefiniować jakie dane i w jakim charakterze przetwarza. Okazuje się bowiem, że tego typu organizacje pełnią dwie funkcje – administratora i procesora.
Dowiedz się więcej o danych osobowych, przeczytaj Dane osobowe według RODO – co się zmieni?
Biura rachunkowe jako administrator i procesor
Biura rachunkowe, w ujęciu RODO, sprawują podwójną rolę. W przypadku swoich klientów oraz pracowników będą pełnić rolę administratora. W odniesieniu do danych osobowych zawartych w dokumentach swoich klientów będą natomiast procesorem – podmiotem przetwarzającym dane osobowe innych podmiotów.
Współpraca z biurem rachunkowym – z perspektywy klienta
Jak wspomnieliśmy wyżej, klient powierza biuru rachunkowemu liczne dokumenty zawierające dane osobowe, w tym faktury, dokumenty pracownicze czy umowy. Jednak to wciąż klient biura jest administratorem tych danych i to on musi zapewnić im odpowiednią ochronę.
Co powinien zrobić klient, by współpracując z biurem rachunkowym, przekazując mu dokumenty zawierające dane osobowe, nie narazić się na kary? Przede wszystkim strony powinny podpisać umowę powierzenia przetwarzania danych osobowych. Dokument ten wskazuje, że biuro rachunkowe będzie przetwarzać dane osobowe powierzone przez klienta zgodnie z przepisami. Jednocześnie pozbawia prawa wykorzystania powierzonych danych osobowych w innych celach, niż te ujęte w umowie.
Współpraca z biurem rachunkowym – z perspektywy biura
Biura rachunkowe podlegają przepisom RODO, zatem muszą wdrożyć odpowiednie procedury pozwalające spełniać założenia ujęte w Rozporządzeniu. Biuro powinno zabezpieczyć otrzymane od klienta dokumenty wdrażając właściwe środki techniczne i organizacyjne.
Ponadto, podpisując z klientem umowę powierzenia, biura zobowiązują się dysponować przekazanymi danymi osobowymi zgodnie z umową, tj. jedynie w zdefiniowanymi w umowie celu.
Kary za niewdrożenie wytycznych RODO
Biura rachunkowe, podobnie jak inne organizacje podlegające RODO, muszą zdawać sobie sprawę z kar jakie mogą ich „dotknąć”, jeśli nie wdrożą zapisów Rozporządzenia. Nie należy jednak popadać w paranoję. Mówił o tym zresztą Marek Zagórski, minister cyfryzacji: – 20 milionów euro to jest kara maksymalna i nikt nie będzie kwotą 20 milionów euro za naruszenie przepisów dotyczących danych osobowych karał mały zakład fryzjerski, który dane o swoich klientach gromadzi i popełnił jakiś błąd. Tutaj – nie dajmy się zwariować. Te wysokie sankcje Unia Europejska zaproponowała dlatego, że mamy do czynienia z bardzo dużymi firmami, które zajmują się danymi osobowymi, przetwarzają te dane i na tym opierają swój biznes, który jest wart (…) niekiedy miliardy euro.”
Więcej o karach w RODO przeczytasz tutaj: RODO – stać Cię na płacenie kar?