25 maja 2018 r. na terenie całej Unii Europejskiej rozpocznie się stosowanie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, popularnie zwane RODO. Wszystkie firmy, jednostki administracji publicznej, organizacje pozarządowe lub inne podmioty przetwarzające dane osobowe, zobowiązane są do przystosowania swojej działalności do wymogów nowej regulacji.
Jedna z branż, w której przetwarzanych jest wiele danych osobowych, są firmy świadczące usługi księgowe, a często i kadrowe dla swoich klientów, czyli biura rachunkowe. Z uwagi na skalę prowadzonej działalności, realizacja wymogów RODO powinna być potraktowana z należytą powagą.
1. Biuro rachunkowe musi zabezpieczyć dane swoje i powierzone.
Biuro rachunkowe świadczące usługi księgowe oraz kadrowe na rzecz innych podmiotów występuje w podwójnej roli. Jest administratorem danych osobowych (np. danych swoich pracowników) oraz podmiotem przetwarzającym (procesorem) danych osobowych powierzonych do przetwarzania przez klientów (danych osobowych znajdujących się na fakturach, umowach z pracownikami, współpracownikami itp.) W związku z tym musi wypełniać obowiązki przypisane obu tym funkcjom i zabezpieczyć zarówno swoje dane, jak i dane powierzone.
Przede wszystkim należy zastanowić się, czy przetwarzane przez biuro dane mają swoją podstawę prawną. RODO w art. 6 wymienia podstawy prawne, które legalizują przetwarzanie danych osobowych. W przypadku biura rachunkowego w znakomitej większości przypadków podstawą prawną przetwarzania będzie wykonanie umowy oraz wypełnienie obowiązku prawnego ciążącego na administratorze (wynikającego np. z przepisów prawa pracy czy ustaw podatkowych)
2. Umowa pomiędzy biurem rachunkowym a klientem dotyczy nie tylko świadczenia usług księgowych i kadrowych.
Każdy przedsiębiorca współpracujący z biurem rachunkowym, powierzając dane osobowe do przetwarzania, powinien zawrzeć z nim umowę powierzenia, która może (ale nie musi) być odrębnym dokumentem, niezależnym do umowy o współpracy. Dotychczas, przy wyborze partnera biznesowego, któremu zamierzaliśmy powierzyć dane osobowe, faktycznie liczyły się dwa atrybuty – jakość świadczonych usług oraz ich cena. Teraz administrator – czyli przedsiębiorca, klient biura rachunkowego – ma w obowiązku upewnić się, że będzie współpracował z podmiotem, który zapewnił wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, o których mowa w RODO.