Rejestr kategorii w biurze rachunkowym

Rejestr kategorii w biurze rachunkowym

W ramach nowego cyklu dedykowanego właścicielom Biur Rachunkowych, omawiamy najważniejsze dokumenty RODO, wchodzące w skład pełnej dokumentacji RODO dla Biura Rachunkowego. Artykuły pozbawione są nudnych regułek i maślanych definicji. Zamiast tego proponujemy naszą własną interpretację opartą o prosty język i skondensowany charakter.

W poprzednim wpisie omawialiśmy rejestr czynności w biurze rachunkowym: https://fundacjaentropia.pl/rejestr-czynnosci-w-biurze-rachunkowym/


Rejestr kategorii czynności przetwarzania

W drugim wpisie przypisanym do ww. cyklu bierzemy na warsztat Rejestr kategorii czynności przetwarzania. Znajdą tu Państwo podstawową wiedzę na temat Rejestru oraz praktyczne wskazówki dotyczące jego prowadzenia.

Czym jest rejestr kategorii w biurze rachunkowym?

„Rejestr kategorii czynności przetwarzania (nazywany także Rejestrem wszystkich kategorii czynności przetwarzania) stanowi podstawową dokumentację podmiotu przetwarzającego, związaną z przetwarzaniem przez niego danych osobowych w imieniu innych podmiotów”.

Z przytoczonej definicji wynika, że obowiązek prowadzenia Rejestru kategorii czynności przetwarzania dotyczy tylko tzw. podmiotów przetwarzających. O jakie dokładnie podmioty chodzi? Najprościej mówiąc, chodzi o podmioty wykonujące określone operacje na danych osobowych należących do innego Administratora (czyt. innej firmy, organizacji), które zostały mu przez tego Administratora powierzone, w celu wykonania określonej usługi. Podmiot przetwarzający nie decyduje więc samodzielnie o celach i sposobach przetwarzania tych danych, ale realizuje te czynności na polecenie innego podmiotu – innego administratora danych.

Czy Biuro rachunkowe należy uznać za podmiot przetwarzający? Bezsprzecznie tak. Obowiązek prowadzenia Rejestru kategorii czynności przetwarzania, w przypadku Biura rachunkowego, wynika ze specyfiki wykonywanego zawodu. Mówimy tutaj o sytuacji gdzie właściciel Biura,  pracownicy Biura wykonują określone operacje na danych osobowych w imieniu i na rzecz klientów, w ramach stałej obsługi księgowej.

Przechodząc do sedna sprawy, Rejestr kategorii czynności przetwarzania najłatwiej będzie Państwu zapamiętać jako Rejestr klientów (oczywiście w pewnym uproszczeniu i z uwzględnieniem świadczonych usług – o czym w dalszej części materiału).

W przypadku Biura Rachunkowego mamy tę wyjątkową sytuację, w której właściciel jako Administrator Danych, będzie zobowiązany prowadzić Rejestr czynności przetwarzania, a jako Podmiot Przetwarzający będzie jednocześnie prowadzić Rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu zleceniodawców.

Podstawą przetwarzania danych uzyskanych od innego Administratora jest umowa powierzenia, którą zawieramy przy okazji podpisania umowy o świadczenie usług księgowych. O umowie powierzenia pisaliśmy w tym artykule: https://fundacjaentropia.pl/umowa-powierzenia/

Najważniejsze informacje o rejestrze kategorii w biurze rachunkowym

Obowiązek prowadzenia Rejestru spoczywa na Administratorze Danych (czytaj: właścicielu Biura Rachunkowego). Nawet powołanie Inspektora Ochrony Danych Osobowych w Biurze nie zwalnia Administratora Danych z w/w obowiązku.

Rejestr kategorii czynności przetwarzania jest podstawowym i obowiązkowym dokumentem wchodzącym w skład dokumentacji RODO w biurze rachunkowym.

Biuro rachunkowe, jako podmiot przetwarzający jest odpowiedzialne za prowadzenie Rejestru kategorii czynności przetwarzania.

W czasie kontroli upoważnionego organu, Rejestr jest zawsze przedmiotem kontroli, a jego brak stanowi rażące uchybienie, od którego mogą zostać wyciągnięte surowe konsekwencje finansowe.

Rejestr kategorii przetwarzania powinien być udostępniony organowi nadzorczemu na każde jego wezwanie.

Rejestr kategorii w biurze rachunkowym musi być prowadzony w formie pisemnej.

Pisemna forma jest jedynym wymogiem prawnym dotyczącym przedmiotowego Rejestru. Takie rozwiązanie powoduje, że nie znajdą Państwo jednolitego wzoru Rejestru, a jedynie ogólne wskazówki dotyczące tego, co powinien on zawierać. Niewątpliwą zaletą takiego rozwiązania jest możliwość decydowania wedle własnego uznania zarówno o wersji (papierowa czy elektroniczna) jak i układzie informacji w Rejestrze.

Wskazówka: Ze względu na wspomnianą dowolność układu informacji w rejestrze, podczas jego tworzenia należy zwrócić uwagę na zachowanie przejrzystości. Z tego tytułu, zalecamy prowadzenie Rejestru w wersji elektronicznej, używając do tego powszechnego arkusza kalkulacyjnego.

Jakie informacje powinien zawierać rejestr kategorii w biurze rachunkowym

Rejestr kategorii czynności przetwarzania danych osobowych prowadzony przez Biuro Rachunkowe powinien zawierać opis odnoszący się do danych osobowych powierzonych mu do przetwarzania przez innych administratorów danych – klientów. Zgodnie z treścią art. 30 ust. 2 RODO taki rejestr powinien zawierać następujące informacje:

– imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający,

– kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,

gdy ma to zastosowanie – informacje dotyczące przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń,

jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, zastosowanych przez podmiot przetwarzający w celu spełnienia wymagań, o których mowa w art. 32 ust. 1 RODO.

Należy pamiętać, że zgodnie z art. 30. ust 2. RODO Rejestr wszystkich kategorii czynności przetwarzania ma zawierać określenie każdego Administratora w imieniu którego działa podmiot przetwarzający oraz wskazanie rodzaju usługi jaką wykonuje jego rzecz na podstawie zawartej umowy.

De facto oznacza to, że do tabeli muszą Państwo wpisać każdego klienta.

Aby nieco ułatwić sobie sprawę, proponujemy przypisanie klientów do danego rodzaju usługi aniżeli żmudne przepisywanie operacji wykonywanych na danych osobowych każdemu klientowi z osobna. Można bowiem przyjąć, że w ramach świadczonej usługi (np. księgowość pełna, księgowość uproszczona) wykonujemy dla klientów tożsame czynności przetwarzania.

*


Prawnicy fundacji specjalizują się w procesach wdrożenia RODO w biurze rachunkowym. Przygotowaliśmy na ten temat wiele artykułów, które można znaleźć na naszej stronie – przykładowo: https://fundacjaentropia.pl/wdrozenie-rodo-w-biurze-rachunkowym/

Prawnicy fundacji służą pomocą przy przygotowaniu fachowej dokumentacji RODO dla biur rachunkowych:


    Wyrażam zgodę na przetwarzanie moich danych osobowych podanych w ww. formularzu oraz w przesłanych przeze mnie dokumentach. (wymagane)

    Administratorem Państwa danych osobowych jest Fundacja ENTROPIA (ul. Kopernika 6, 43-600 Jaworzno). Dane osobowe podane w formularzu będą przetwarzane wyłącznie w celu udzielenia odpowiedzi na przesłane zapytanie (podstawą przetwarzania danych jest Państwa zgoda wyrażana poprzez wysłanie zapytania). Podanie danych jest dobrowolne, ale niezbędne w celu udzielenia odpowiedzi.

    Państwa dane osobowe będą przechowywane przez okres nie dłuższy niż to konieczne do udzielenia odpowiedzi. Mają Państwo prawo dostępu do tych danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, wniesienia sprzeciwu wobec ich przetwarzania oraz prawo wniesienia skargi do organu nadzorczego.