Specjalizujesz się w świadczeniu usług outsourcingu księgowości lub obsługi kadrowo-płacowej? Materiał ten może być dla Ciebie szczególnie pomocny. Jeżeli jednak prowadzisz inna działalność, jest spora szansa, że z tego typu usług korzystasz. Sprawdź na co zwrócić uwagę pod kątem RODO.
Obsługa klientów biura rachunkowego
Aby lepiej zrozumieć istotę głównego i zarazem jednego z ważniejszych procesów przetwarzania danych osobowych przez biura rachunkowe, warto doprecyzować charakter świadczonych przez nie usług. Jak podaje wikipedia, za przedmiot działalności biur rachunkowych przyjmuje się wykonywanie w imieniu i na rzecz zlecającego usług w zakresie rachunkowości, czy też prowadzenia dokumentacji HR (płacowej i kadrowej). Jeżeli czytaliście nasz wpis powierzenie przetwarzania danych osobowych i umowa powierzenia (DPA), już w tym momencie powinniście wiedzieć, że taka współpraca co do zasady, wymaga zawarcia umowy powierzenia.
Niemalże w każdym przypadku realizacji tego typu usług, mamy do czynienia z przetwarzaniem danych osobowych w imieniu zlecającego, czyli powierzeniem przetwarzania danych osobowych. Dochodzi do tego za sprawą dostępu oraz pracy biura rachunkowego na danych osobowych otrzymanych od zlecającego. Nie należy mylić z danymi osobowymi zlecającego będącego stroną umowy lub jego pracowników wskazanych jako osoby kontaktowe. Chodzi o dane osobowe, które są konieczne do realizacji przedmiotu umowy współpracy, czyli prowadzenia zleconej księgowości lub obsługi kadrowo-płacowej. Mogą to być dane klientów, kontrahentów, pracowników, współpracowników, czy nawet beneficjentów konkursów.
Ważne! Biuro rachunkowe prowadząc swoją działalność, powinno zwrócić szczególną uwagę na prawidłowe uregulowanie procesu przetwarzania danych osobowych w imieniu obsługiwanych klientów.
Pamiętaj! Jeśli nie jesteś wykonawcą umowy, a wyłącznie klientem biura rachunkowego, również zadbaj o podpisanie umowy powierzenia. To wymóg prawny wynikający wprost z przepisów RODO.
Biuro rachunkowe jest administratorem danych osobowych czy podmiotem przetwarzającym (procesorem)?
To na pozór trywialne pytanie, ma jednak bardzo istotne znaczenie, szczególnie dla osób zarządzających biurem rachunkowym. Wydawać mogłoby się, że skoro ustaliliśmy już, iż biuro rachunkowe głównie przetwarza powierzone dane osobowe, odpowiedź powinna brzmieć: Biuro rachunkowe jest podmiotem przetwarzającym. Tak, ale w zakresie, w jakim przetwarza dane osobowe w imieniu zlecającego usługę. W pozostałych przypadkach, jak każdy inny przedsiębiorca jest administratorem danych osobowych.
To czy podmiot prowadzący biuro rachunkowe występuje w roli administratora, bądź podmiotu przetwarzającego, jest zależne od charakteru przetwarzania danych osobowych. Zastosowanie ma w tym przypadku zasada ogólna i tak zgodnie z określoną w art. 4 pkt 7) RODO definicją, administratorem jest w skrócie podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych. Tym samym względem jednych danych osobowych „biuro rachunkowe” będzie administratorem, zaś co do innych danych, podmiotem przetwarzającym (procesorem).
Przykład: Wyżej opisano typową umowę współpracy z biurem rachunkowym, jaką jest outsourcing księgowy i/lub kadrowy. Przy realizacji takiej współpracy, w praktyce najczęściej występuje następujący scenariusz:
Biuro rachunkowe = Podmiot przetwarzający (procesor)
Względem danych osobowych które biuro przetwarza w imieniu i na zlecenie zlecającego, w związku z realizacją przedmiotu zawartej umowy współpracy. Mogą to być między innymi dane osobowe na fakturach, czy dane pracowników zlecającego obsługę kadrową.
Biuro rachunkowe = Administrator danych osobowych
Względem danych osobowych osób ze strony zlecającego. W przypadku gdy zlecającym jest spółka prawa handlowego, mogą to być dane osobowe osób kontaktowych, czy reprezentantów spółki. Z kolei gdy stroną umowy współpracy byłaby osoba fizyczna prowadząca jednoosobową działalność gospodarczą, „biuro rachunkowe” byłby również jej administratorem danych osobowych.
Podsumowanie
Niezależnie od powyższego, podmiot prowadzący biuro rachunkowe, występuje w roli administratora danych osobowych, w innych procesach przetwarzania danych osobowych. Żeby to lepiej zrozumieć i ułatwić przeprowadzenie chociaż wstępnej analizy procesów, można przyjąć następujące założenie. Z przetwarzaniem danych osobowych możemy mieć do czynienia, gdy w jakikolwiek sposób, w związku z prowadzoną działalnością występuje czynnik ludzki. Oczywiście mówiąc „dane osobowe” zawsze mamy na myśli informacje pozwalające na identyfikację osoby fizycznej. Może to być przykładowo zapis z monitoringu wizyjnego w biurze, CV kandydatów do pracy, czy wysyłka newslettera. Również nie bez znaczenia pozostaje przetwarzanie służbowych danych osobowych klientów lub kontrahentów. Wszystko to jest bardzo istotne, ponieważ RODO przewiduje wiele wymogów prawnych, jakie należy spełniać w związku z przetwarzaniem danych osobowych.
Pamiętaj! Jednym z obowiązków prawnych wynikających z RODO jest dokonanie analizy procesów przetwarzania danych osobowych oraz zastosowanie odpowiednich środków bezpieczeństwa. To w jaki sposób chronisz prywatność, rzutuje na renomie Twojej firmy.
Opracował: Zespół Lasota Consulting Sp. z o.o.
Uważasz że materiał jest godny polecenia? Kliknij poniżej i udostępnij go!