RODO w biurze rachunkowym.

Prowadzisz biuro rachunkowe? Świadczysz dla swoich klientów usługi księgowe lub kadrowe? W tym artykule podzielę się z Tobą najważniejszymi aspektami wdrożenia RODO w biurze rachunkowym, które musisz wziąć pod uwagę. Właściciele biur rachunkowym są bowiem w podwójnej roli. Z jednej strony są administratorami danych osobowych swoich klientów, pracowników i kontrahentów, a z drugiej procesorami. Świadcząc usługi księgowe i/lub kadrowe dla swoich klientów stajesz się podmiotem przetwarzającym (procesorem), a to wiąże się z dodatkowymi obowiązkami RODO dla właścicieli biur rachunkowych. W tym artykule omawiam także dwa sposoby wdrożenia RODO, które najczęściej rekomenduję moim klinetom na podstawie mojego doświadczenia we wdrożeniu RODO w branży księgowej.

Wdrożenie RODO w biurze rachunkowym z pakietem wzorów

Jeśli chcesz szybko i skutecznie wdrożyć RODO w biurze rachunkowym, sprawdź dwie poniższe propozycje. Ułatwią Ci wdrożenie RODO w Twojej firmie, pozwolą zaoszczędzić wiele czasu na samodzielne poszukiwanie informacji i przygotowywanie wszystkich rejestrów, analiz i procedur bezpieczeństwa danych, które właściciel biura rachunkowego musi zapewnić.

Pierwsze rozwiązanie, które mogę Ci polecić to wdrożenie RODO w biurze rachunkowym z pakietem wzorów RODO do pobrania oraz konsultacjami e-mail ze mną. To zapewni Ci najbardziej optymalne kosztowo wdrożenie RODO w biurze rachunkowym. Najbardziej polecam je właścicielom biur rachunkowych, które dopiero rozpoczynają działalność lub tym, które działają jednoosobowo.

W pakiecie wzorów RODO dla biura rachunkowego są między innymi:

• umowa powierzenia danych z biurem rachunkowym,
• rejestr czynności przetwarzania dla biura rachunkowego,
• polityka prywatności na stronę biura rachunkowego,
• procedury i instrukcje RODO dla firmy,
• klauzule RODO dla klienta, pracowników, kontrahentów, etc.

Jedynym minusem pakietu wzorów dla biura rachunkowego jest to, że trzeba poświęcić trochę więcej czasu na jego wdrożenie niż przy usłudze indywidualnej, czyli RODO przygotowanym na zamówienie. Z doświadczeń moich kursantów wynika, że pełne wdrożenie pakietu zajmuje im średnio od 1 do 3 dni. To najczęściej i tak mniej, niż większość osób się spodziewa. Koszt pakietu wzorów dokumentów RODO w biurze rachunkowym to 897 zł brutto. W ramach pakietu otrzymujesz również konsultacje e-mailowe ze mną przez 12 miesięcy od zakupu, dzięki czemu możesz wdrażać dokumenty we własnym tempie i bez presji czasu.

RODO w biurze rachunkowym na zamówienie

Oprócz pakietu wzorów do pobrania, oferuję także indywidualne wdrożenia RODO w biurach rachunkowych. Jest to usługa na zamówienie po wcześniejszym uzgodnieniu szczegółów. Cena indywidualnego wdrożenia RODO w biurze rachunkowym w 2025/2026 roku rozpoczyna się od 2470 zł netto (+23% VAT). Jeśli taka opcja Cię interesuje to zapraszam do kontaktu i rozmowy, podczas której ustalimy wszystkie niezbędne w tym celu szczegóły.

W ramach tej usługi przygotowuję pełen pakiet niezbędnych dokumentów RODO dla biura rachunkowego. Usługa obejmuje również konsultacje online – w formie wideospotkań lub rozmów telefonicznych.

Najczęściej organizuję co najmniej dwie takie konsultacje RODO:

• pierwszą na początku współpracy – aby omówić proces, zebrać potrzebne informacje i zaplanować wdrożenie,

• drugą na zakończenie – żeby wyjaśnić wszystko od A do Z, przekazać praktyczne wskazówki, omówić dalsze kroki i niezbędne zabezpieczenia.

Ogromnym plusem indywidualnej usługi przygotowania dokumentacji RODO w biurze rachunkowym jest to, że nie musisz nic uzupełniać, ani zmieniać. Za to otrzymujesz już gotowe, dopasowane do Ciebie dokumenty RODO, jak:

• umowę powierzenia przetwarzania danych dla biura rachunkowego,
• rejestr czynności przetwarzania danych dla biura,
• rejestr kategorii przetwarzania danych dla biura,
• analizę ryzyka,
• upoważnienia i oświadczenia dla pracowników
• kluzule informacyjne RODO dla klientów, pracowników, kontrahentów, etc.
• procedury bezpieczeństwa danych, w tym bardzo ważną instrukcję postępowania w przypadku naruszenia danych w biurze rachunkowym – kiedy i jak informować klienta o naruszeniu jego danych, kto powinien zawiadomić Urząd Ochrony Danych Osobowych o naruszeniu, etc.

Zamówienie indywiduallnej usługi RODO dla biura rachunkowego polecam szczególnie osobom, które nie mają czasu i przestrzeni na samodzielne zajmowanie się jego wdrożeniem.

RODO w biurze rachunkowym – podwójna rola

Biura rachunkowe są w bardzo specyficznej sytuacji. Zgodnie z RODO będą pełnić dwie funkcje. Po pierwsze, prowadząc biuro rachunkowe będziesz administratorem danych – np. swoich klientów i pracowników, jeśli zatrudniasz dodatkowe osoby. To już nakłada na Ciebie obowiązki związane z przetwarzaniem danych. A to jeszcze nie koniec.

Po drugie, będziesz podmiotem przetwarzającym dla danych klientów swoich klientów lub ich pracowników. Jednym słowem: Twój klient zlecając Ci obsługę księgową powierza Ci jednocześnie przetwarzanie danych swoich klientów i kontrahentów. Bez danych na rachunkach i fakturach nie byłoby przecież możliwe wykonanie tych usług. Dodatkowo, może się zdarzyć, że powierzenie danych będzie dotyczyło także dane osobowych pracowników Twojego klienta. Taka sytuacja będzie miała miejsce, jeśli np. prowadzisz także obsługę kadrową i płacową swoich klientów.

Pełnienie tych dwóch ról jednocześnie nakłada na biura rachunkowe dodatkowe obowiązki związane z przetwarzaniem danych, jak zawarcie umowy powierzenia danych (RODO), prowadzenie rejestru kategorii danych, informowanie klientów o naruszeniu danych i wiele innych.

Czy biura rachunkowe przetwarzają dane osobowe?

Być może zastanawiasz się, czy faktycznie informacje pozyskiwane od Twojego klienta w trakcie współpracy są danymi osobowymi? Tu wyjaśnienia wymaga definicja tego, kogo dotyczą dane osobowe, ponieważ przez kilka ostatnich lat w Polsce różnie traktowano dane osób prowadzących działalność gospodarczą. W związku z tym, nic dziwnego, że i na tym gruncie powstało wiele rozbieżności.

Wiele osób łudzi się, że dane na fakturach nie są danymi osobowymi. Tymczasem część z nich z pewnością będzie dotyczyło osób fizycznych, a to już jest wystarczającym argumentem do uznania, że są to dane osobowe. Dane osobowe związane są bowiem z osobami fizycznymi. W tym również mieszczą się dane osób fizycznych, prowadzących działalność gospodarczą, mimo że ich dane są widoczne dla wszystkich w CEiDG.

Danymi osobowymi nie są natomiast dane osób prawnych, w tym przedsiębiorstw będących osobami prawnymi (spółki z ograniczoną odpowiedzialnością, spółki akcyjne), jak i dane o firmie, formie prawnej czy dane kontaktowe osoby prawnej. Danymi osobowymi nie są również dane jednostek samorządu terytorialnego, stowarzyszeń rejestrowych czy fundacji. Obecnie więc, zgodnie z motywem 14 RODO, dane osób prowadzących działalność gospodarczą, jak i wspólników spółek osobowych, bez wątpienia należy traktować jako dane osobowe. A takie podejście rozszerza zdecydowanie krąg danych osobowych.

Jest więc wysoce prawdopodobne, że w usługach księgowych i biurowych będziesz mieć do czynienia z danymi osobowymi. Będą to dane nie tylko Twoich klientów, ale także ich klientów i kontrahentów, jeśli są osobami fizycznymi prowadzącymi działalność gospodarczą. Nie można więc nigdy wykluczyć, że na fakturach czy umowach znajdą się dane osobowe.

Powierzenie danych w biurze rachunkowym

Jak więc wyraźnie widać, dane osobowe będą niezbędne do prawidłowej i terminowej realizacji usług Twojego biura rachunkowego. Powierzenie danych osobowych to pojęcie, które stosujemy między innymi w odniesieniu do usług, w których jedna firma powierza drugiej czynności na danych osobowych. Podmiot, któremu dane się powierza nazywamy podmiotem przetwarzającym lub procesorem. Obie definicje są w użyciu i mogą być stosowane zamiennie.

Powierzenie danych ma miejsce przede wszystkim, jeśli prowadzisz usługi księgowe, kadrowe, informatyczne lub biurowe (np. wirtualna asystentka). Stajesz się automatycznie procesorem i nie ma możliwości, aby zrzec się tej roli lub przenieść tę odpowiedzialność na inną osobą. Dlatego tak istotne jest, aby dokładnie wiedzieć z czym konkretnie wiąże się bycie procesorem danych osobowych. Pamiętaj, że procesor nie staje się administratorem danych, które mu powierzono i nie może samodzielnie decydować o celach i sposobach przetwarzania danych.

W dalszej części dowiesz się jakie dwa podstawowe obowiązki nakłada w tej sytuacji na Ciebie RODO, a także, na co warto zwrócić uwagę będąc podmiotem przetwarzającym.

Umowa powierzenia danych w biurze rachunkowym

Zgodnie z art. 28 RODO przetwarzanie danych na zlecenie innych podmiotów będących administratorami danych wymaga zawarcia umowy powierzenia przetwarzania danych. Umowa powierzenia powinna zostać zawarta przed rozpoczęciem przetwarzania. Co do zasady więc, prowadząc biuro rachunkowe musisz to uregulować zanim otrzymasz jakiekolwiek dane osobowe od swojego klienta.

Ważne jest to, co powinna zawierać umowa powierzenia danych z biurem rachunkowym. Przy indywidualnych wdrożeniach u moich klientów często spotykam się z tym, że albo w ogóle nie ma umowy powierzenia z biurem, albo jest ona bardzo lakoniczna. Popularnym rozwiązaniem jest też łączenie umowy powierzenia danych z umową na prowadzenie ksiąg rachunkowych, co oczywiście jest możliwe, o ile umowa główna zawiera wszystkie wymagane elementy powierzenia. Tymczasem często jest tak, że w umowie na prowadzenie ksiąg zawiera się jedynie 2-3 zdania, np. „Klient powierza dane osobowe do biura rachunkowego.” A takie jedno zdanie to jest zdecydowanie za mało. Taka umowa nie spełnia przesłanek art. 28 RODO i zostanie na pewno przy kontroli podważona przez Urząd Ochrony Danych Osobowych.

Sprawdź, czy umowy zawierane z klientami Twojego biura rachunkowego spełniają wszystkie wymagane warunki powierzenia danych.

Co powinna zawierać umowa powierzenia danych z biurem rachunkowym?

Główne elementy umowy powierzenia danych osobowych w biurze w rachunkowym to:

• Cel i zakres powierzenia danych – określenie konkertne tego, do jakich danych w trakcie wykonywania uslugi księgowej będziesz mieć dostęp i w jakim celu, np. prowadzenie obsługi księgowo-podatkowej, etc.
• Jakie środki bezpoeczeństwa podejmiesz jako procesor danych, aby zapewnić bezpieczeństwo powierzonych przez klienta danych, np. wykonałeś analizę ryzyka (obowiązkowe!), nadasz upoważnienia do przetwarzania danych swoim pracownikom, etc.
• Jakim podmiotom będziesz podpowierzać dane osobowe – bardzo ważny punkt, ponieważ każde biuro rachunkowe ma jakiegoś podprocesora, np. hosting skrzynki e-mail, system księgowy w chmurze, etc.
• Jak szybko poinformujesz klienta o naruszeniu danych, które zostały Ci przez niego powierzone.
• Jakie uprawnienia kontrolne ma Twój klient (a ma takie uprawnienia z RODO, tylko trzeba ustalić terminy powiadomienia o kontroli, etc.).
• Co się będzie działo po zakończeniu współpracy – dane zostaną usunięte, przeniesione, zwrócone?, etc.

O czym pamiętać wdrażając RODO w biurze rachunkowym?

Będąc podmiotem przetwarzającym, podobnie jak administrator danych, musisz pamiętać o wdrożeniu adekwatnych środków organizacyjnych i technicznych. Środki organizacyjne to różnorodne zasady postępowania, szkolenia czy procedury. Natomiast środki  techniczne to zabezpieczenia informatyczne, szafy, niszczarki, etc. Przy ich wdrożeniu musisz pamiętać, aby  spełniały najwyższe gwarancje ochrony powierzonych danych.

Administrator danych może przeprowadzić w Twojej firmie kontrolę zgodności przetwarzania z przepisami RODO i umową powierzenia, która zostanie między wami zawarta. To bardzo istotne uprawnienie Twojego klienta. Administrator bowiem musi, zgodnie z art. 28 ustęp 1 RODO, wykazać, że powierza przetwarzanie wyłącznie takim podmiotom, które gwarantują najwyższe standardy ochrony danych. Jednym z narzędzi do wykazania tego jest właśnie przeprowadzenie audytu przetwarzania danych. Oczywiście taki audyt może nastąpić wyłącznie pod kątem danych, które zostały powierzone do Twojego biura księgowego.

Kolejnym bardzo istotnym aspektem jest podpowierzenie przetwarzania. W trakcie swojej działalności może się bowiem zdarzyć, że w niektórych czynnościach, które prowadzisz w imieniu Twojego klienta będą pojawiać się podwykonawcy. A to wymaga właściwego podejścia, zgodnego z wymogami RODO. Z taką sytuacją w biurze rachunkowym będziesz mieć do czynienia, gdy do danych powierzonych przez Twojego klienta będzie mieć dostęp inna firma, np. serwisująca i utrzymująca oprogramowanie, w którym są przetwarzane. Jest to klasyczny przykład podpowierzenia.

Warunki podpowierzenia powinny zostać dokładnie opisane w umowie powierzenia przetwarzania danych. Więcej o aspekcie podpowierzenia w biurze rachunkowym omawiam w artykule, który podawałam już wyżej. Warto do niego zajrzeć, ponieważ omawiam tam łącznie 6 elementów, które powinna zawierać umowa powierzenia danych.

Jeśli masz jakiekolwiek pytania lub wątpliwości – napisz lub zadzwoń do mnie. Pomogę Ci dobrać właściwe rozwiązanie do Twojej aktualnej sytuacji.

RODO w biurze rachunkowym – najczęściej zadawane pytania.

Sprawdź dodatkowe informacje na temat RODO w biurze rachunkowym, które przygotowałam. Pomoże Ci to już na wstępie rozeznać się w głównych obowiązkach RODO, które spoczywają dla właścicielach biura księgowego.

1. Kto jest administratorem danych osobowych, które przekazuje mi klient na fakturach i w dokumentacji pracowniczej?

W przypadku danych, które klient przekazuje Ci w celu wykonania usługi kadrowo-księgowej (np. faktury, umowy, listy płac, dane pracowników), administratorem danych jest ten klient. Twoje biuro rachunkowe działa wtedy jako podmiot przetwarzający (procesor) – przetwarzasz dane wyłącznie w jego imieniu, na podstawie umowy powierzenia danych.

2. Czy biuro rachunkowe jest administratorem danych?

Tak, ale tylko w określonym zakresie. Biuro rachunkowe jest administratorem danych własnych klientów (np. kontaktowych, potrzebnych do zawarcia i realizacji umowy), a także danych swoich pracowników, współpracowników, kontrahentów i dostawców. Natomiast dla danych klientów przekazanych w ramach obsługi księgowej jesteś już procesorem.

3. Czy dane na fakturach to dane osobowe?

Tak, część danych na fakturach może stanowić dane osobowe. Dane osobowe to wszelkie informacje o osobie fizycznej, także o tej, która prowadzi działalność gospodarczą. Dlatego dane właścicieli jednoosobowych działalności, wspólników spółek cywilnych czy osób kontaktowych klientów to dane osobowe w rozumieniu RODO (zgodnie z motywem 14). Nie są nimi natomiast dane podmiotów prawnych (np. spółek z o.o., S.A.), czy jednostek organizacyjnych jak JST, fundacje czy stowarzyszenia rejestrowe. Dane prezesa spółki, prokurenta lub pełnomocnika będą już jednak danymi osobowymi, ponieważ to osoby fizyczne.

4. Kiedy biuro rachunkowe jest procesorem danych?

Biuro rachunkowe jest procesorem danych wtedy, gdy przetwarza dane osobowe przekazane przez klienta w celu wykonania usługi. Dotyczy to m.in. danych na fakturach, rachunkach, listach płac, umowach, kartach czasu pracy czy formularzach kadrowych. W takich przypadkach przetwarzasz dane w imieniu klienta , a to wymaga podpisania wcześniej umowy powierzenia przetwarzania danych.

5. Czy biuro rachunkowe musi zawierać z każdym klientem umowę powierzenia przetwarzania danych?

Tak. W ramach współpracy klient przekazuje Ci dane swoich pracowników, kontrahentów czy klientów. Umowa powierzenia przetwarzania danych osobowych jest w takiej sytuacji obowiązkowa. Powinna być podpisana przed rozpoczęciem współpracy, najlepiej razem z umową o świadczenie usług księgowych. Taka umowa dokładnie określa, jakie dane przetwarzasz, w jakim celu i jakie stosujesz zabezpieczenia.

6. Czy umowa RODO z biurem rachunkowym musi być zawarta osobno?

Nie ma takiego wymogu. Umowa o świadczenie usług księgowych z RODO może być jednym dokumentem, o ile zawiera wszystkie elementy wymagane przez art. 28 RODO. Najczęstszy błąd, który spotykam podczas wdrożenia u moich klientów (nie tylko biur rachunkowych) to lakoniczne zdanie w umowie, np. „Klient powierza dane do przetwarzania.”  A to zdecydowanie za mało. Taka umowa nie spełnia przesłanek art. 28 RODO i zostanie na pewno przy kontroli podważona przez Urząd Ochrony Danych Osobowych. Prawidłowa umowa powinna określać zakres danych, cel, czas przetwarzania, obowiązki biura i sposób zabezpieczenia danych.

7. Gdzie znaleźć wzór umowy powierzenia przetwarzania danych osobowych dla biura rachunkowego?

Gotowy wzór RODO dla biura rachunkowego, w tym umowę powierzenia przetwarzania danych, znajdziesz w pakiecie dokumentów przygotowanym przeze mnie specjalnie dla biur rachunkowych. Taki wzór możesz też otrzymać w ramach indywidualnego wdrożenia RODO. Wtedy treść jest dopasowana do specyfiki Twojego biura i usług (np. kadry, płace, księgowość, outsourcing BHP, wirtualne biuro, etc.).

8. Czy biura rachunkowe muszą prowadzić rejestr czynności przetwarzania?

Tak, rejestr czynności przetwarzania w biurze rachunkowym jest obowiązkowy. Oprócz tego biura rachunkowe, jako procesorzy danych, prowadzą też rejestr kategorii czynności przetwarzania. To osobny dokument.
Rejestr czynności dotyczy danych, których jesteś administratorem (np. dane klientów, pracowników),
a rejestr kategorii dotyczy danych, które przetwarzasz w imieniu swoich klientów.

9. Jak powinna wyglądać polityka prywatności dla biura rachunkowego?

Polityka prywatności biura rachunkowego powinna obejmować wszystkie obszary przetwarzania danych – zarówno dane klientów, jak i dane pracowników, kontrahentów czy osób kontaktowych. Warto dodać też zapisy dotyczące obowiązków wynikających z ustawy o przeciwdziałaniu praniu pieniędzy (AML), które nakładają na biura rachunkowe szczególne zasady przetwarzania danych.