Obowiązkiem obligatoryjnym dla wielu podmiotów jest badanie sprawozdania finansowego przez biegłego rewidenta. Zawierając umowę na badanie sprawozdania finansowego z biegłym rewidentem nasuwa się pytanie, czy należy również zawrzeć umowę powierzenia przetwarzania danych? Udostępniamy przecież dane z ksiąg rachunkowych i wszelkich innych dokumentów.
Z powierzeniem danych, mamy do czynienia w sytuacji, w której podmiot przetwarzający realizuje, na polecenie Administratora, jego zadania. Ponadto podmiot, któremu Administrator powierzył ich przetwarzanie, odpowiada wobec Administratora za przetwarzanie danych niezgodnie z zawartą umową. Zgodnie z art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), podmiot przetwarzający przetwarza dane w imieniu Administratora oraz na jego wyraźne polecenie w związku ze zleceniem realizacji określonych zadań w imieniu Administratora.
Czy taka sytuacja zachodzi w przypadku, gdy biegły rewident przetwarza dane w związku z wykonywaniem czynności badania sprawozdania finansowego ?
Nie. Biegły rewident wykonując swoje zadania nie jest związany poleceniem Administratora, który zleca przeprowadzenie badania sprawozdania finansowego.
W przypadku wykonywania badania sprawozdania finansowego przez biegłego rewidenta, należy wskazać, że Administrator, w ramach zawartej umowy na wykonanie usługi, udostępnia biegłemu rewidentowi niezbędne dokumenty, dostęp do ksiąg rachunkowych oraz dokumentów stanowiących podstawę dokonanych w nich zapisów oraz wszelkich innych dokumentów, jak również udziela wyczerpujących informacji, wyjaśnień niezbędnych do przeprowadzenia badania sprawozdania finansowego. Zapewnienie to wynika z przepisów prawa, a nie autonomicznej decyzji Administratora co za tym idzie nie decyduje o sposobie przetwarzania danych przez biegłego rewidenta. Powyższe uregulowane jest w następujących przepisach prawa:
- 67 ust. 1-3 Ustawy z dnia 29 września 1994 r. o rachunkowości,
- ustawy z dnia Ustawy z dnia 11 maja 2018 roku o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym,
- rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 537/2014 z dnia 16 kwietnia 2014 r. w sprawie szczegółowych wymogów dotyczących ustawowych badań sprawozdań finansowych jednostek interesu publicznego, uchylającego decyzję Komisji 2005/909/WE.
Dodatkowo warto zauważyć, że zawarcie umowy powierzenia danych osobowych z biegłym rewidentem, w tej sytuacji mogłoby ograniczyć jego swobodę dostępu do niezbędnych danych na potrzeby wykonania badania. Administrator zawartą umową powierzenia danych nakłada na podmiot przetwarzający szereg obowiązków i ograniczeń, co do swobody podejmowania decyzji przy określaniu sposobów przetwarzania danych w ramach art. 28 RODO. Ponadto podmiot, któremu Administrator powierzył ich przetwarzanie, odpowiada wobec Administratora za przetwarzanie danych niezgodnie z zawartą umową, co dodatkowo ograniczało by swobodę w podejmowaniu czynności audytowych przez rewidenta.
Zgodnie z art. 78 ustawy z dnia 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym, zarówno biegły rewident, jak i firma audytorska są, na mocy przepisów prawa, zobowiązani do zachowania tajemnicy zawodowej. Ustawą z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) dodano do w/w ustawy art. 2b (obowiązujący od 4 maja 2019 r.), który określa podstawowe zabezpieczenia danych osobowych przetwarzanych w celu realizacji zadań lub obowiązków określonych w ustawie i rozporządzeniu nr 537/2014, za zapewnienie których odpowiedzialny jest właściwy administrator danych – w tym przypadku jest nim biegły rewident, firma audytorska.
Podsumowując, zawieranie umowy powierzenia danych osobowych z biegłym rewidentem wykonującym badanie sprawozdania finansowego jest nieuzasadnione w myśl art. 28 RODO w związku z art. 67 ust. 1-3 Ustawy z dnia 29 września 1994 r. o rachunkowości i ustawą z dnia 11 maja 2018 roku o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym. Mamy w tej sytuacji do czynienia z dwoma podmiotami, które realizują swoje niezależne cele i zadania i są w związku z tym odrębnymi Administratorami danych, którzy przetwarzają, w tym udostępniają pomiędzy sobą dane osobowe, w celu wykonania obowiązków wynikających z przepisów prawa.
Autorzy:
Monika Kowalik,
Inspektor Ochrony Danych, Kierownik Projektu w CompNet Sp. z o.o.
Piotr Kropidłowski,
Inspektor Ochrony Danych, Kierownik Projektu w CompNet Sp. z o.o.