fbpx
Zaznacz stronę

Prowadzisz biuro rachunkowe lub usługi administracyjne, np. wirtualnej asysty? Sprawdź jakie obowiązki wiążą się z przetwarzaniem danych na zlecenie innych podmiotów. Wiedza zawarta w tym wpisie przyda się także osobom, które korzystają z wymienionych usług w swojej firmie lub instytucji.

Biura rachunkowe i usługi wirtualnej asysty są w bardzo specyficznej sytuacji, gdyż w kontekście RODO będą pełnić dwie funkcje. Po pierwsze będą administratorem danych – np. swoich klientów i pracowników, jeśli takowych zatrudniają. Po drugie mogą stać się podmiotem przetwarzającym dla danych klientów swoich klientów lub ich pracowników.

Aby rozeznać się we właściwych obowiązkach RODO związanych z przetwarzaniem na początku odpowiedz sobie na pytanie: Czy informacje pozyskiwane od Twojego klienta w toku waszej współpracy są na pewno danymi osobowymi? 

Tu wyjaśnienia wymaga definicja tego, kogo dotyczą dane osobowe. Dane osobowe związane są z osobami fizycznymi. Przez kilka ostatnich lat w Polsce różnie traktowano dane osób prowadzących działalność gospodarczą. Imiona i nazwiska osoby prowadzącej działalność gospodarczą, często także jej adres zamieszkania, będący jednocześnie adresem siedziby, są widoczne dla wszystkich w CEiDG. W związku z tym powstało wiele wątpliwości co do tego, jak należy je traktować. 

Obecnie, zgodnie z motywem 14 RODO, dane osób prowadzących działalność gospodarczą, jak i wspólników spółek osobowych bez wątpienia należy potraktować jako dane osobowe. Danymi osobowymi nie są natomiast dane osób prawnych, w tym przedsiębiorstw będących osobami prawnymi (spółki z ograniczoną odpowiedzialnością, spółki akcyjne), jak i dane o firmie, formie prawnej czy dane kontaktowe osoby prawnej. Danymi osobowymi nie są również dane innych osób prawnych, jak np. jednostek samorządu terytorialnego, stowarzyszeń rejestrowych czy fundacji.

Jest więc wysoce prawdopodobne, że w usługach księgowych i biurowych będziesz mieć do czynienia z danymi osobowymi nie tylko Twoich klientów, ale także ich klientów i kontrahentów. A jeśli Twój klient dodatkowo zleca Twojej firmie przetwarzanie danych swoich pracowników w związku z usługami kadrowymi, to również niezbędne będą dane jego pracowników i współpracowników (osoby na umowę zlecenie, etc.). 

Podmiotem przetwarzającym lub procesorem nazywamy organizację, która przetwarza dane osobowe na zlecenie administratora danych. Taka sytuacja ma miejsce przede wszystkim jeśli prowadzisz usługi księgowe, kadrowe, informatyczne lub biurowe (np. wirtualna asystentka).


Dane osobowe będą niezbędne do prawidłowej i terminowej realizacji niektórych usług, które realizujesz na zlecenie klienta, np. jeśli prowadzisz dokumentację księgową, dokumentację kadrową i płacową pracowników Twojego klienta lub gdy prowadząc usługi wirtualnej asysty w jego imieniu prowadzisz korespondencję z jego klientami, wystawiasz faktury, obsługujesz system do mailingu, etc.

W dalszej części dowiesz się jakie dwa podstawowe obowiązki nakłada w tej sytuacji na Ciebie RODO, a także na co warto zwrócić uwagę będąc podmiotem przetwarzającym.

Umowa powierzenia i rejestr kategorii przetwarzania.

Zgodnie z art. 28 RODO przetwarzanie danych na zlecenie innych podmiotów będących administratorami danych wymaga zawarcia umowy powierzenia przetwarzania danych. Umowa powierzenia powinna zostać zawarta przed rozpoczęciem przetwarzania, czyli co do zasady, zanim otrzymasz jakiekolwiek dane osobowe od swojego klienta, które będziesz w jego imieniu przetwarzać. Między innymi za brak zawarcia umowy powierzenia przetwarzania danych przed przekazaniem danych została w Polsce pod koniec października 2019 r. nałożona kara administracyjna dla podmiotu publicznego w wysokości 40 tysięcy złotych. Brak umowy powierzenia nie był jedynym przewinieniem kontrolowanego podmiotu i trudno przewidzieć jaka byłaby kara za sam brak umów powierzenia, ale lepiej tego nie sprawdzać. Decyzja Urzędu Ochrony Danych Osobowych jest jednoznaczna – nie wolno przetwarzać danych bez zawartej umowy powierzenia danych.

O tym, co powinna zawierać umowa powierzenia przetwarzania pisałam już w innym wpisie, do którego lektury Cię serdecznie zapraszam – tutaj. A jeśli potrzebujesz sprawdzonego wzoru umowy powierzenia wraz z omówieniem sprawdź moją ofertę – e-book „Wszystko o powierzeniu danych + wzory”.

Kolejnym aspektem, o którym często się zapomina, to obowiązek prowadzenia rejestru kategorii przetwarzania. Nie należy go jednak mylić z rejestrem czynności przetwarzania. Ten ostatni prowadzić ma administrator danych – oczywiście także może nim być biuro rachunkowe w stosunku do danych swoich klientów czy pracowników. Natomiast rejestr kategorii przetwarzania jest osobnym wykazem przetwarzania, który dotyczy wyłącznie podmiotów przetwarzających dane na zlecenie innych administratorów danych. Obowiązek prowadzenia rejestru kategorii wynika z art. 30 ustęp 2 RODO. 

W przypadku, gdy Twoja organizacja będzie występowała jako podmiot przetwarzający i będzie przetwarzała dane w sposób zorganizowany, systematyczny i zaplanowany w rejestrze powinna odnotować następujące informacje co do ich przetwarzania: 

  • nazwę oraz dane kontaktowe podmiotu przetwarzającego, a także jeśli będzie miało to zastosowanie – inspektora ochrony danych,
  • kategorie przetwarzań dokonywane w imieniu każdego z administratorów,
  • kategorie odbiorców, którym dane zostały lub zostaną ujawnione, w tym w państwach trzecich i organizacji międzynarodowych (jeśli tak, to należy podać także nazwę państwa lub organizacji, czy spełnia wymagania zabezpieczenia),
  • jeśli to możliwe, ogólny opis środków technicznych i organizacyjnych. 

Na co jeszcze zwrócić uwagę będąc podmiotem przetwarzającym?

Będąc podmiotem przetwarzającym, podobnie jak administrator danych, musisz pamiętać o wdrożeniu adekwatnych środków organizacyjnych (procedury, instrukcje) i technicznych (zabezpieczenia informatyczne, szafy, niszczarki, etc.), które zapewnią najwyższe gwarancje ochrony powierzonych danych. Administrator danych może przeprowadzić w Twojej firmie kontrolę zgodności przetwarzania z przepisami RODO i umową powierzenia, która zostanie między wami zawarta. To bardzo istotne uprawnienie Twojego klienta. On bowiem musi, zgodnie z art. 28 ustęp 1 RODO, wykazać, że powierza przetwarzanie wyłącznie takim podmiotom, które gwarantują najwyższe standardy ochrony danych. Jednym z narzędzi do wykazania tego jest właśnie przeprowadzenie audytu przetwarzania danych, oczywiście może on nastąpić wyłącznie pod kątem danych, które zostały powierzone Twojej firmie. 

Kolejnym bardzo istotnym aspektem jest podpowierzenie przetwarzania. W trakcie swojej działalności może się bowiem zdarzyć, że w niektórych procesach, które prowadzisz w imieniu Twojego klienta będą pojawiać się inne podmioty – Twoi podwykonawcy. A to wymaga właściwego podejścia, zgodnego z wymogami RODO. Z taką sytuacją w biurze rachunkowym lub w usługach administracyjnych będziesz mieć do czynienia, gdy do danych powierzonych przez Twojego klienta będzie mieć dostęp inna firma, np. serwisująca i utrzymująca oprogramowanie, w którym są przetwarzane. Jest to klasyczny przykład podpowierzenia. A warunki tego podpowierzenia powinny zostać dokładnie opisane w umowie powierzenia przetwarzania danych.

Jeśli potrzebujesz sprawdzonego wzoru umowy powierzenia danych, rejestru kategorii przetwarzania wraz z omówieniem, to możesz skorzystać z mojego e-booka „Wszystko o powierzeniu danych + wzory”, w którym poświęciłam tym zagadnieniom wiele miejsca. Wszystkie wzory do e-booka są do pobrania w formie pliku do edycji, dzięki czemu łatwo i skutecznie zorganizujesz proces przetwarzania danych w imieniu Twojego klienta.