Po pierwsze, powinniśmy ustalić, jakie dane i w jakim charakterze przetwarzamy. Można śmiało założyć, że każde biuro rachunkowe będzie występować zarówno w roli administratora danych, jak i procesora danych.
Podwójna rola biur rachunkowych
Administratorem (czyli mówiąc w uproszczeniu – właścicielem danych) będziemy zawsze w stosunku do swoich klientów oraz pracowników/współpracowników. Istnieje niewielkie prawdopodobieństwo, że w przypadku małych i średnich biur rachunkowych wystąpią inne dane, co do których biuro będzie administratorem. Procesorem (czyli w uproszczeniu podmiotem przetwarzającym dane, które są własnością innego podmiotu) biuro będzie zawsze w stosunku do danych osobowych zawartych w dokumentacji klientów i korespondencji z nimi (dane pracowników, współpracowników i kontrahentów przedsiębiorcy obsługiwanego przez biuro rachunkowe).
Ważne miejsce przechowywanie danych
Przy okazji takiego przeglądu warto podsumować, gdzie dane są przetwarzane: dokumentacja papierowa przechowywana w biurze, dane w formie elektronicznej przetwarzane w systemie księgowym, poczta elektroniczna, niekiedy program księgowy klienta, który jest udostępniony pracownikom biura w celu wykonywania umowy o świadczenie usług księgowych.
Polityka prywatności biura
Mając za sobą taką inwentaryzację, możemy przystąpić do zaplanowania działań. Jako administrator – właściciel danych musimy stworzyć dokument, który wypełni ciążący na nas obowiązek informacyjny – swoistą politykę prywatności naszego biura, która będzie wypełniała obowiązek informacyjny wynikający z RODO, a jednocześnie narzuci nam prawne i organizacyjne ramy przetwarzania danych osobowych.
W polityce prywatności powinniśmy umieścić w szczególności:
- nasze dane jako administratora oraz dane inspektora ochrony danych osobowych w naszej firmie (w przypadku małych i średnich biur należy uznać, że wyznaczenie inspektora nie jest obowiązkowe),
- informacje o tym, kogo dotyczą przetwarzane dane - dane naszych klientów, osób będących przedstawicielami klientów, naszych pracowników i współpracowników,
- cel przetwarzania (zawarcie umowy, wykonanie umowy, dochodzenie roszczeń lub obrona przed roszczeniami z tytułu tej umowy, wykonanie obowiązków wynikających z przepisów prawa m.in. z ustawy o rachunkowości i Kodeksu pracy), przy czym rekomendowane jest unikanie przetwarzania danych na podstawie zgody (np. poprzez budowę bazy o charakterze wyłącznie marketingowym), jeśli nie korzystamy z profesjonalnego doradztwa w zakresie wdrożenia RODO – warto pamiętać, że w przypadku naszych klientów bezpośrednie działania marketingowe swoich usług możemy prowadzić bez zgody,
- informacje o tym, jakim podmiotom dane będą przekazywane – w przypadku biura będą to podmioty uprawnione na podstawie przepisów prawa (np. urząd skarbowy, prokuratura, sąd - jeśli się o to zwrócą) lub podmioty, z którymi biuro współpracuje w celu wykonania umowy z klientem (w tym świadczący usługi np. pocztowe lub kurierskie),
- okres przechowywania danych – w tym okresie istnieje ryzyko, że np. były klient złoży pozew i będziemy musieli posłużyć się dokumentacją (w tym danymi klienta) do ochrony naszych interesów przed sądem; z uwagi na fakt, że dane przechowujemy wyłącznie w związku z umową i powszechnie obowiązującymi przepisami prawa, musimy oprzeć się na okresach wynikających z ustaw, w szczególności ustawy o rachunkowości, która obliguje nas do przechowywania dokumentacji co najmniej przez 5 lat od początku roku następującego po roku, w którym umowę wykonano lub rozwiązano (z kolei okres maksymalny ograniczony jest terminem przedawnienia roszczeń wynikającym z Kodeksu cywilnego i obecnie wynosi on do 10 lat, przy czym Ministerstwo Sprawiedliwości planuje skrócenie go do lat 6); należy też pamiętać o szczególnych przepisach dotyczących przechowywania dokumentacji pracowniczej,
- informacja o prawach przysługujących osobie, której dane dotyczą, w tym prawie do złożenia skargi do urzędu nadzorującego tematykę ochrony danych osobowych, prawie do żądania poprawy lub usunięcia swoich danych, prawie do wydania kopii danych lub przekazania danych do innego administratora,
- informacja o tym, jakie dane przetwarzamy (imię, nazwisko, adres, PESEL, NIP, numer telefonu, adres poczty elektronicznej etc. – musimy wymienić wszystkie dane, z jakimi mamy do czynienia w naszej współpracy np. z klientami).
Polityka powinna być dostępna dla naszych klientów na naszej stronie internetowej lub w siedzibie formy, a także stanowić element pakietu dokumentów, jakie przekazujemy osobie, z którą zawieramy umowę. Fakt przekazania tych informacji warto udokumentować np. poprzez zawarcie w umowie oświadczenia, że polityka jest załącznikiem do umowy i druga stroną potwierdza jej otrzymanie.
Rejestr przetwarzanych danych
Drugim fundamentalnym dokumentem jest rejestr przetwarzanych danych – zbudowany najlepiej w formie tabeli lub prezentacji wykaz danych przetwarzanych przez nasze biuro. Rejestr również musi być dostępny na stronie internetowej lub w siedzibie firmy, ale nie ma natomiast obowiązku wydawania go wraz z umową.
Te dokumenty stanowią naszą bazę i każdy podmiot powinien je mieć. To czy konieczne jest powstanie innych dokumentów (zwłaszcza procedur obsługi żądań klientów lub incydentów) zależy już od nas, od oceny ryzyka naszej działalności i od skali tej działalności. Warto jednak pamiętać, że może się pojawić konieczność przygotowania kolejnych dokumentów, wewnętrznych, takich które nie będą publikowane lub udostępniane, ale pozwolą wykazać zgodność działania naszej firmy z RODO, a także zapewnią bezpieczeństwo i ustalą zasady postępowania np. w sytuacji kryzysowej.
Odpowiedzialność w zakresie RODO
Gdy jesteśmy jedynie procesorem, ciężar odpowiedzialności za prawidłowe uregulowanie współpracy spoczywa głownie na administratorze, ale to nie oznacza, że możemy przyjąć całkowicie bierną postawę. Powinniśmy przygotować komunikację do naszych partnerów z pytaniem, jak wygląda u nich wdrożenie RODO i informacją o tym, że jako procesor są gotowi zaakceptować umowę o powierzeniu przetwarzania danych przygotowaną przez klienta (więksi klienci, korzystający z profesjonalnej pomocy prawnej, zapewne przygotują swój wzór) lub ewentualnie proponują zawarcie umowy przygotowanej przez nich (co może być dobrym ruchem, pozwalającym zaprezentować się z dobrej strony klientom). Istnieje bowiem możliwość połączenia naszego doradztwa w zakresie rachunkowości/księgowości z doradztwem prawnym. W tym celu być może warto rozważyć współpracę z prawnikiem, który nie tylko przygotuje biuro do wdrożenia RODO, ale podobną pomoc zaoferuje klientom biura.
Bartosz Kapuściński, radca prawny współpracujący z Surf4Tax