Czy do umowy o świadczenie usług księgowych należy dołączyć odrębną umowę o przetwarzanie danych osobowych?

umowa o powierzenie danych osobowych

W związku z wchodzącymi w życie przepisami dotyczącymi RODO (przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych dotyczące przetwarzania danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, tzw. ogólne rozporządzenie o ochronie danych – więcej na temat RODO: Nowe zasady ochrony danych osobowych – RODO) dodatkowe obowiązki zostaną nałożone na biura rachunkowe.

Standardowo zawierane umowy o prowadzenie księgowości rachunkowej nie zawierają zapisów określających zasady przekazywania danych osobowych i ich ochrony przez Procesora (czyli przez biuro księgowe). Od 25 maja 2018 roku typowa umowa o świadczenie usług księgowych musi zawierać regulacje dotyczące przekazywania danych osobowych przez klienta biuru księgowemu (np.: danych osobowych dotyczących pracowników), zasad ochrony tych danych oraz ustalenia zasad odpowiedzialności cywilnoprawnej biura księgowego za naruszenie przepisów o ochronie danych osobowych. Uzupełnienia o zapisy wynikające z regulacji RODO można dokonać w formie aneksu do umowy o świadczenie usług księgowych lub też za pomocą odrębnie zawieranej umowy o przetwarzanie danych osobowych.

Oprócz zawarcia umowy o przetwarzanie danych osobowych biura księgowe mają też inne, nowe obowiązki związane z RODO. Chodzi tutaj o przygotowanie i wdrożenie Polityki Bezpieczeństwa.

Co to jest Polityka Bezpieczeństwa? Polityka Bezpieczeństwa służy opisaniu środków bezpieczeństwa i procedur bezpiecznego przetwarzania danych osobowych. Dokument ten jest przygotowywany odrębnie przez Administratora danych osobowych (czyli klienta biura księgowego) i Procesora (czyli biuro księgowe) w związku z koniecznością wypełnienia obowiązku w zakresie udokumentowania stosowanych środków, mających na celu zapewnienie ochrony przetwarzanym danym przed ich udostępnieniem osobom nieupoważnionym. Polityka bezpieczeństwa powinna być zatem dokumentem o charakterze wewnętrznym, odrębnym dla klienta i odrębnym dla biura księgowego, a osoby, które dysponują wiedzą dotyczącą sposobów zabezpieczenia danych (u klienta, w biurze rachunkowym) są zobowiązane te informacje zachować w tajemnicy. Udostępnianie na zewnątrz takich informacji może osłabić ich skuteczność, przez co zwiększa się ryzyko „wycieku” danych osobowych. Przekazywanie więc Polityki bezpieczeństwa Procesora (biura księgowego) Administratorowi danych osobowych (klientowi) nie jest do końca właściwym sposobem wykazania, iż Procesor (czyli samo biuro księgowe) stosuje odpowiednie środki ochrony danych osobowych. Każdy podmiot powinien mieć odrębną, dla własnych celów stworzoną Politykę Bezpieczeństwa. W przypadku przekazywania danych osobowych w ramach świadczonych usług księgowych co do zasady biuro księgowe będzie zobowiązanie do zastosowania odpowiednich zabezpieczeń opisanych ogólnie w umowie powierzenia.

Kto będzie odpowiedzialny za wyciek danych osobowych – biuro księgowe czy też klient biura księgowego?

Administrator danych osobowych (klient biura księgowego) odpowiedzialny jest za wszystkie elementy procesu przetwarzania danych, również za wszelkie operacje realizowane przez Procesora (biuro księgowe). Administrator danych osobowych danych nie może zwolnić się z tej odpowiedzialności. W związku z tym Administrator danych osobowych odpowiedzialny będzie również za to, że Procesor przetwarza dane osobowe niezgodnie z umową powierzenia danych osobowych. Podobnie Procesor będzie odpowiedzialny za nieprzestrzeganie przepisów dotyczących zabezpieczenia przetwarzania danych osobowych. W tym zakresie ponosi on odpowiedzialność jak Administrator danych osobowych. Na gruncie odpowiedzialności cywilnej wobec osoby, której wyciek danych osobowych dotyczy, Administrator danych osobowych oraz Procesor odpowiedzialni są na zasadach ogólnych, z tytułu naruszenia dóbr osobistych (art. 23 i 24 k.c. oraz 415 i 448 k.c.). Ich odpowiedzialność jest odpowiedzialnością solidarną. Procesor odpowiedzialny jest wobec Administratora danych osobowych w zakresie odpowiedzialności kontraktowej za niewykonanie lub nienależyte wykonanie umowy (art. 471 k.c.) lub deliktowej (art. 415 k.c.). W przypadku nie zawarcia umowy o powierzenie danych osobowych w formie pisemnej odpowiedzialność nie jest wyłączona, niemniej jednak trudniej będzie ustalić, jakie zostały przyjęte prawa i obowiązki przez strony.

Czy „wynagrodzenie pracownicze” należy do kategorii danych wrażliwych?

Przepisy dotyczące ochrony danych osobowych zabraniają przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (tzw. dane wrażliwe). Jest to katalog zamknięty.

Ponieważ „wynagrodzenie” nie jest zamieszczone w katalogu tzw. danych wrażliwych, to pracodawca może udostępnić podmiotowi trzeciemu (np. biuru księgowemu) dane pracownika bez konieczności uzyskiwania zgody pracownika, gdy podmiot ten świadczy na rzecz pracodawcy usługi służące do spełnienia przez niego ciążących na nim obowiązków w zakresie zatrudnienia np. usługi księgowe. Jest to bowiem konieczne dla realizacji obowiązków pracodawcy względem pracownika związanych z wyliczaniem jego wynagrodzenia, czy odprowadzaniem za niego składek na ubezpieczenie społeczne i zdrowotne. Zgoda pracownika będzie natomiast wymagana w przypadku transferu jego danych do innego podmiotu, gdy nie będzie on świadczył na rzecz pracodawcy usług bezpośrednio związanych z zatrudnieniem pracowników. Dla bezpieczeństwa warto jest więc uzyskiwać zgodę pracowników w tym zakresie, np. przy podpisywaniu umowy o pracę.

 

Foto dzięki uprzejmości: Stuart Miles / freedigitalphotos.net