Z powierzeniem danych, mamy do czynienia w sytuacji, w której podmiot przetwarzający realizuje, na polecenie Administratora, jego zadania. Ponadto podmiot, któremu Administrator powierzył ich przetwarzanie, odpowiada wobec Administratora za przetwarzanie danych niezgodnie z zawartą umową. Zgodnie z art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), podmiot przetwarzający przetwarza dane w imieniu Administratora oraz na jego wyraźne polecenie w związku ze zleceniem realizacji określonych zadań w imieniu Administratora.

Czy taka sytuacja zachodzi w przypadku, gdy biegły rewident przetwarza dane w związku z wykonywaniem czynności badania sprawozdania finansowego ?

Nie. Biegły rewident wykonując swoje zadania nie jest związany poleceniem Administratora, który zleca przeprowadzenie badania sprawozdania finansowego.

W przypadku wykonywania badania sprawozdania finansowego przez biegłego rewidenta, należy wskazać, że Administrator, w ramach zawartej umowy na wykonanie usługi, udostępnia biegłemu rewidentowi niezbędne dokumenty, dostęp do ksiąg rachunkowych oraz dokumentów stanowiących podstawę dokonanych w nich zapisów oraz wszelkich innych dokumentów, jak również udziela wyczerpujących informacji, wyjaśnień niezbędnych do przeprowadzenia badania sprawozdania finansowego. Zapewnienie to wynika z przepisów prawa, a nie autonomicznej decyzji Administratora co za tym idzie nie decyduje o sposobie przetwarzania danych przez biegłego rewidenta. Powyższe uregulowane jest w następujących przepisach prawa:  

• 67 ust. 1-3 Ustawy z dnia 29 września 1994 r. o rachunkowości,
• ustawy z dnia Ustawy z dnia 11 maja 2018 roku o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym,
• rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 537/2014 z dnia 16 kwietnia 2014 r. w sprawie szczegółowych wymogów dotyczących ustawowych badań sprawozdań finansowych jednostek interesu publicznego, uchylającego decyzję Komisji 2005/909/WE.

Dodatkowo warto zauważyć, że zawarcie umowy powierzenia danych osobowych z biegłym rewidentem, w tej sytuacji mogłoby ograniczyć jego swobodę dostępu do niezbędnych danych na potrzeby wykonania badania. Administrator zawartą umową powierzenia danych nakłada na podmiot przetwarzający szereg obowiązków i ograniczeń, co do swobody podejmowania decyzji przy określaniu sposobów przetwarzania danych w ramach art. 28 RODO. Ponadto podmiot, któremu Administrator powierzył ich przetwarzanie, odpowiada wobec Administratora za przetwarzanie danych niezgodnie z zawartą umową, co dodatkowo ograniczało by swobodę w podejmowaniu czynności audytowych przez rewidenta.

Zgodnie z art. 78 ustawy z dnia 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym, zarówno biegły rewident, jak i firma audytorska są, na mocy przepisów prawa, zobowiązani do zachowania tajemnicy zawodowej. Ustawą z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) dodano do w/w ustawy art. 2b (obowiązujący od 4 maja 2019 r.), który określa podstawowe zabezpieczenia danych osobowych przetwarzanych w celu realizacji zadań lub obowiązków określonych w ustawie i rozporządzeniu nr 537/2014, za zapewnienie których odpowiedzialny jest właściwy administrator danych – w tym przypadku jest nim biegły rewident, firma audytorska.

Podsumowując, zawieranie umowy powierzenia danych osobowych z biegłym rewidentem wykonującym badanie sprawozdania finansowego jest nieuzasadnione w myśl art. 28 RODO w związku z art. 67 ust. 1-3 Ustawy z dnia 29 września 1994 r. o rachunkowości i ustawą z dnia 11 maja 2018 roku o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym. Mamy w tej sytuacji do czynienia z dwoma podmiotami, które realizują swoje niezależne cele i zadania i są w związku z tym odrębnymi Administratorami danych, którzy przetwarzają, w tym udostępniają pomiędzy sobą dane osobowe, w celu wykonania obowiązków wynikających z przepisów prawa.

Autorzy:

Monika Kowalik,
Inspektor Ochrony Danych, Kierownik Projektu w CompNet Sp. z o.o.

Piotr Kropidłowski,
Inspektor Ochrony Danych, Kierownik Projektu w CompNet Sp. z o.o.