crowe-biegły rewident jako administrator danych osobowych-ludzie

Biegły Rewident jako Administrator Danych Osobowych

2019-11-29
crowe-biegły rewident jako administrator danych osobowych-ludzie
Zgodnie ze stanowiskiem Urzędu Ochrony Danych Osobowych z 4 listopada 2019 r. firmy audytorskie i świadczący w ich imieniu usługi biegli rewidenci posiadają status Administratorów Danych Osobowych. Tym samym zostały nałożone na nie nowe obowiązki związane z RODO.

W odpowiedzi na stanowisko UODO Polska Izba Biegłych Rewidentów (PIBR) 25 listopada 2019 r. udostępniła na swojej stronie internetowej propozycje nowych wzorów umów o przeprowadzenie badania ustawowego                                           sprawozdania finansowego obejmujące:

  • zmienioną przykładową umowę o badanie, do wykorzystania do nowo zawieranych umów,
  • załącznik z aneksem do już zawartych umów o badanie, według którego firma audytorska nie jest podmiotem przetwarzającym dane, a ich administratorem,
  • formularz rozwiązania za porozumieniem stron uprzednio zawartych umów powierzenia przetwarzania danych osobowych,
  • załącznik z aneksem do aktualnie realizowanych wieloletnich umów o badanie uzupełniający je o zapis, zgodnie z którym biegli rewidenci i firmy audytorskie przeprowadzając badanie
  • sprawozdania finansowego działać będą w roli samodzielnych administratorów danych.
Nowe propozycje wzorów umów zostały przekazane do Komisji Nadzoru Audytowego, która po weryfikacji zapisów dokumentów może zgłosić do nich uwagi.

Kategorie danych osobowych w umowach audytu

Ciekawym rozwiązaniem wydaje się bardzo ogólne ujęcie przez PIBR postanowień dotyczących danych osobowych w przykładowych umowach. Mimo, że przepisy prawa nie zawierają wymogów dotyczących formy udostępniania danych osobowych, niewątpliwe warto zastanowić się nad bardziej precyzyjnym wskazaniem kategorii danych osobowych przetwarzanych przez firmę audytorską lub biegłego rewidenta w ramach sporządzania sprawozdań. Być może kwestia ta zostanie doprecyzowana w kolejnych komunikatach wydawanych w tej sprawie.

W związku ze stanowiskiem UODO firmy audytorskie powinny wyjaśnić swoją rolę i obowiązki jako administratorów danych we własnym przedsiębiorstwie

Wykonujący usługę biegli rewidenci mają kontrolę nad celami i sposobami przetwarzania danych osobowych w procesie świadczenia usług. To oni decydują o tym, jakich danych osobowych potrzebują do przeprowadzenia audytu oraz w jaki sposób te dane będą przetwarzane. Obowiązujące przepisy prawa dotyczące audytorów zobowiązują ich do niezależności od swoich klientów, nie są związani poleceniami klienta - muszą działać zgodnie z obowiązującymi przepisami prawa. Zatem audytor i klient nie określają wspólnie celów i sposobów przetwarzania, są one określone przez regulacje prawne.

Zabezpieczenie danych osobowych przez audytorów

Ustawa z dnia 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym (tj. Dz. U. z 2019 r. poz. 1421 z późn. zm.) w art. 2b wskazuje wprost na sposoby zabezpieczenia danych przetwarzanych w ramach działalności firm audytorskich oraz biegłych rewidentów. Jakie obowiązki według przepisów muszą spełnić audytorzy?

Zgodnie z ww. ustawą na firmy audytorskie są zobligowane co najmniej do:

  1. dopuszczenia do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych,
    1. pisemnego zobowiązania osób upoważnionych do zachowania przetwarzanych danych w tajemnicy,
      regularnego testowania i doskonalenia stosowanych środków technicznych i organizacyjnych,
  2. zapewnienia bezpiecznej komunikacji w sieciach telefonicznych,
  3. zapewnienia ochrony przed nieuprawnionym dostępem do systemów informatycznych,
  4. zapewnienia integralności danych w systemach informatycznych,
  5. określenia zasady bezpieczeństwa przetwarzanych danych osobowych,
  6. przeglądu danych osobowych nie rzadziej niż co 5 lat od dnia ich uzyskania.

Obowiązek zachowania tajemnicy danych

Warto też wskazać, że obowiązek zachowania tajemnicy (określony w art. 78 i 95) nie ustaje w chwili żądania ujawnienia informacji uzyskanych w związku z wykonywaniem zawodu biegłego rewidenta albo wykonywaniem zadań przez podmioty, o których mowa w tych przepisach.

Co więcej, zgodnie z art. 48 ww. ustawy, firma audytorska przeprowadzając badanie może w drodze pisemnej umowy powierzyć osobie fizycznej, osobie prawnej lub jednostce organizacyjnej nieposiadającej osobowości prawnej wpisanej na stosowną listę, wykonanie w jej imieniu i na jej rzecz niektórych czynności badania.

Ochrona danych osobowych przez audytora – wymagana dokumentacja

Firmy audytorskie więc zobligowane do posiadania wewnętrznej dokumentacji dotyczącej ochrony danych osobowych, a także wprowadzenia odpowiednich postanowień dot. ochrony danych osobowych w umowach o wykonanie usługi.

Rekomendowane działania w obszarze ochrony danych osobowych dla firm audytorskich i biegłych rewidentów:

  1. stworzenie polityki prywatności, która będzie m.in. opisywała wdrożone środki techniczne
    i organizacyjne oraz polityki opisującej retencję danych osobowych i procedurę postępowania z danymi po okresie ich retencji;
  2. regularne testowanie i udoskonalanie wdrożonych środków bezpieczeństwa;
  3. regularny, nie rzadszy niż co 5 lat przegląd danych osobowych;
  4. wydawanie pisemnego upoważnienia do przetwarzania danych osobowych;
  5. wydawanie pisemnego zobowiązania osób upoważnionych do zachowania w tajemnicy przetwarzanych danych osobowych;
  6. stworzenie odpowiednich zapisów w umowach z klientem o świadczenie usługi wykonania audytu;
  7. stworzenie klauzuli informacyjnej;
  8. stworzenie procedury realizacji praw osób, których dane dotyczą;
  9. stworzenie procedury postępowania w przypadku naruszeń danych osobowych;
  10. stworzenie rejestru czynności przetwarzania i rejestru wszystkich kategorii czynności przetwarzania;
  11. podpisanie umowy powierzenia danych osobowych w sytuacji powierzenia wykonania usługi podwykonawcom.

Ochrona danych osobowych

Konsulting

Skontaktuj się z naszym ekspertem

Krzysztof Grabowski
Krzysztof Grabowski
Inspektor Ochrony Danych Osobowych
Crowe