RODO w Biurze Rachunkowym cd.- umowa powierzenia

kary za RODO

 

Podmiot, który przetwarza dane osobowe na zlecenie nazywany jest tzw. procesorem.

Realizuje on zadania określone przez administratora i nie może ich wykorzystywać do własnych celów. Przykładem procesora jest Biuro rachunkowe któremu powierzane są dane współpracujących firm (klientów) w zakresie obsługi księgowo-kadrowej.

Administrator danych może powierzyć podmiotowi zewnętrznemu przetwarzanie danych. Podmiot przetwarzający (procesor) może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.

Na często więc zadawane pytanie, czy przedsiębiorca zlecający prowadzenie obsługi księgowej ma również obowiązek zawarcia odrębnej umowy powierzenia danych osobowych należy odpowiedzieć twierdząco. Często bowiem przedsiębiorca mylnie uważa, że skoro udzielił podmiotowi zewnętrznemu pełnomocnictwa do jego reprezentowania (np. przed Urzędem Skarbowym i Zakładem Ubezpieczeń Społecznych) we wszystkich sprawach związanych z prowadzeniem księgowości, to pełnomocnictwo to stanowi podstawę powierzenia przetwarzania danych osobowych. Nowe przepisy wyraźnie regulują tę kwestię zobowiązując do zawarcia odrębnej umowy w formie pisemnej lub elektronicznej (pod pewnymi warunkami) zgodnie z wymogami wskazanymi w art. 28 RODO.

 

Co powinna zawierać umowa powierzenia przetwarzania danych?

W stosunku do ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, RODO wprowadza nowe – znacznie rozbudowane – wymagania co do treści umowy powierzenia. Są to zobowiązania podmiotu przetwarzającego do:

  • przetwarzania danych wyłącznie na udokumentowane polecenie administratora,
  • zapewniania, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy
  • podejmowania środków zabezpieczenia danych wymaganych przez RODO i pomagania administratorowi wywiązać się z tych obowiązków,
  • przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego – tzw. podpowierzenie przetwarzania danych jest dopuszczalne wyłącznie za zgodą administratora danych,
  • pomagania administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w RODO,
  • usunięcia danych lub do zwrotu danych administratorowi danych po zakończeniu przetwarzania, zgodnie z decyzją administratora,
  • udostępnienia administratorowi wszelkich informacji niezbędnych do wykazania spełnienia jego obowiązków oraz do umożliwiania administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów.

O umowie powierzenia co do zasady powinien pamiętać administrator danych. Zalecamy jednakże aby to Biura rachunkowe, świadome tych obowiązków, posiadały odpowiednie wzory umów z zapisami określającymi zasady powierzenia danych. Naszym zdaniem podniesie to jeszcze bardziej ich wiarygodność i profesjonalizm na rynku pracy. Takie działanie z pewnością zostanie pozytywnie odebrane, a warto pamiętać, że w przepisach RODO znajduje się wzmianka o prawnym obowiązku wyboru takiego podmiotu przetwarzającego, który gwarantuje odpowiednią ochronę danych osobowych!

Jest to absolutne novum i zmiana względem dotychczasowych regulacji.

Jako dobrą praktykę rekomendujemy dołączanie umowy powierzenia przetwarzania danych przy okazji zawierania umowy głównej na obsługę księgową.