Udział biura rachunkowego w działalności ich klientów przejawia się m.in. w tworzeniu określonych zbiorów informacji, a następnie na odpowiednim ich przetwarzaniu i przekazywaniu organom zarządzającym przedsiębiorstwem. Zadanie to wymaga przetwarzania ogromnych ilości danych, przede wszystkim finansowych.
Nie mniej istotne są informacje o charakterze osobowym, umożliwiające identyfikowanie osoby fizycznej, jeżeli jej tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników, określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, tekst jedn. DzU z 2016 r., poz. 922; dalej: uodo). Mogą to być np. takie dane, jak: imię, nazwisko, adres zamieszkania, PESEL, NIP. Do danych osobowych zalicza się również informacje o osobach fizycznych prowadzących własną działalność gospodarczą. Z tego katalogu wyłączone są osoby prawne i inne jednostki organizacyjne (sp. z o.o., stowarzyszenia, fundacje). Przetwarzaniem jest każda czynność wykonywana na danych osobowych (art. 7 pkt 2 uodo), taka jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, zwłaszcza wykonywana w systemach informatycznych.
Dowody i zapisy
Informacje, które można uznać za dane osobowe, są zawarte w zasadzie we wszystkich zbiorach składających się na księgi rachunkowe. Dowody księgowe, dokumentujące operacje gospodarcze, zawierają określenie stron transakcji (nazwiska i adresy), podpisy wystawcy dowodu oraz osób, którym wydano lub od których przyjęto składniki aktywów, a także podpisy osób odpowiedzialnych za sprawdzenie i zakwalifikowanie dowodu do ujęcia w księgach rachunkowych. Dziennik obejmuje chronologiczne ujęcie zdarzeń, jakie nastąpiły w danym okresie sprawozdawczym. Każdy zapis nie tylko powinien umożliwiać jego jednoznaczne powiązanie ze sprawdzonymi i zatwierdzonymi dowodami księgowymi, ale także zawierać zrozumiały tekst, skrót lub kod opisu operacji. Zapis księgowy, a pośrednio także dziennik mogą tym samym określać dane osób fizycznych. Wychodząc od zapisu księgowego, można ustalić tożsamość osób, sięgając do odpowiednio uporządkowanego zbioru dowodów źródłowych. Poruszając się w tak skomponowanym zestawie zbiorów danych, nietrudno zatem ustalić tożsamość określonej osoby fizycznej i zweryfikować posiadane na jej temat informacje o charakterze osobowym.
Rzetelne prowadzenie ksiąg
Ustawa o rachunkowości (dalej: uor) wymaga, aby konta ksiąg pomocniczych były prowadzone m.in. dla rozrachunków z kontrahentami, pracownikami (imienna ewidencja wynagrodzeń obejmująca informacje z całego okresu zatrudnienia), operacji sprzedaży (kolejno numerowane własne faktury i inne dowody, ze szczegółowością niezbędną dla celów podatkowych), operacji zakupu (obce faktury i inne dowody, ze szczegółowością niezbędną do wyceny składników aktywów i do celów podatkowych), operacji gotówkowych w przypadku prowadzenia kasy. Rzetelne prowadzenie ksiąg pomocniczych wymaga precyzyjnego określenia danych osobowych pracowników i kontrahentów, którymi często są także osoby fizyczne. To tylko wybrane przykłady, które pokazują, że każda jednostka zobowiązana do prowadzenia ksiąg rachunkowych przetwarza w systemie księgowym dziesiątki, jeśli nie setki danych osób fizycznych.
Jakie sankcje
Ustawa o ochronie danych osobowych nakłada na podmioty przetwarzające dane osobowe wiele obowiązków. Biuro rachunkowe powinno zadbać o przetwarzanie danych osobowych zgodnie z prawem. Nie tylko tych powierzonych przez klienta (wówczas to klient, jako „właściciel" powierzonych danych, jest ich administratorem), ale również administrowanych przez biuro, np. danych osobowych zatrudnianych przez siebie pracowników. Jeśli podmiot, przetwarzający powierzone mu dane lub będący ich bezpośrednim administratorem, nie spełnia wymogów uodo, jest to działanie niezgodne z prawem i podlegające odpowiedzialności karnej. Zgodnie z uodo, odpowiedzialności takiej podlega m.in. ten, kto przetwarza dane osobowe, choć jest to niedopuszczalne, albo przetwarza je bez odpowiedniego uprawnienia.