Zgodnie ze stanowiskiem przekazanym Polskiej Izbie Biegłych Rewidentów (PIBR) przez Urząd Ochrony Danych Osobowych firmy audytorskie i biegli rewidenci są administratorami danych osobowych
ADO czy podmiot przetwarzający?
W związku z wątpliwościami co do statusu tych podmiotów na gruncie przepisów o ochronie danych osobowych, pismem z 27 września 2019 r. PIBR zwróciła się do UODO o zajęcie stanowiska, w kontekście przetwarzania danych osobowych w ramach świadczonych w branży usług.
Argumentowano, iż:
- Przetwarzanie takie jest regulowane przez przepisy ustawy z 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym, a także Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 537/2014 z dnia 16 kwietnia 2014 r. w sprawie szczegółowych wymogów dotyczących ustawowych badań sprawozdań finansowych jednostek interesu publicznego, uchylające decyzję Komisji 2005/909/WE;
- Biegli rewidenci podejmują niezależne od zlecającego decyzje, co do tego jakie dane i w jaki sposób będą przetwarzane na potrzeby realizacji usługi. Brak tu też związania polecaniami klienta, czy też jego kompetencji kontrolnych.
- Biegli rewidenci i firmy audytorskie zobowiązani są też do zachowania tajemnicy zawodowej określonej w art. 78 ustawy o biegłych rewidentach (w myśl ust. 1 i 2 biegły rewident oraz firma audytorska są obowiązani zachować w tajemnicy wszystkie informacje i dokumenty, do których mieli dostęp w trakcie wykonywania czynności rewizji finansowej. Obowiązek zachowania tajemnicy zawodowej nie jest ograniczony w czasie. Do przestrzegania tajemnicy zawodowej są obowiązane również inne osoby, którym udostępniono informacje objęte tą tajemnicą, chyba że na ich ujawnienie zezwalają przepisy odrębne).
- Biegli rewidenci są niekiedy zobowiązani przetwarzać dane osobowe w sposób bezpośrednio wskazany w przepisach prawa np. zgodnie z art. 77 ustawy o biegłych rewidentach są oni obowiązani w określonych okolicznościach zawiadomić organ powołany do ścigania przestępstw w Rzeczypospolitej Polskiej.
- Ustawą dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO dodano art. 2b, w którym wskazano m.in. obowiązek okresowego przeglądu przetwarzanych danych (5 lat), a także wymieniono minimalne zabezpieczenia zapobiegające nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu.
Stanowisko UODO
W odpowiedzi UODO z 18 października 2019 r. podkreślono niezwiązanie biegłych rewidentów i firm audytorskich poleceniami klienta w wykonywaniu swoich działań a także branżowe, ustawowe sposoby zabezpieczania danych. W ocenie Organu charakter relacji pomiędzy firmami audytorskimi oraz biegłymi rewidentami a ich klientami, firmy audytorskie występują w roli samodzielnych administratorów.
Konsekwencje
W ocenie Izby „otrzymana interpretacja wymaga wprowadzenia odpowiednich zapisów w umowach o wykonanie usługi atestacyjnej (w tym badania sprawozdania finansowego). W PIBR trwają prace nad zmianą zapisów przykładowej umowy o badanie oraz przygotowaniem aneksu do zawartych już umów. Ponadto firmy audytorskie powinny dostosować (opracować i wdrożyć) swoje wewnętrzne procedury działalności związane z przepisami RODO”.
Warto w tym miejscu przypomnieć, iż do tej pory relacja taka rozpatrywana była odmiennie. Zgodnie z informacjami zamieszczonymi na stronie Izby, jeszcze na posiedzeniu 28 sierpnia 2018 r. Krajowa Rada Biegłych Rewidentów przyjęła komunikat nr 38/2018 w sprawie zmiany komunikatu nr 36/2018 KRBR z dnia 5 czerwca 2018 r. w sprawie przyjęcia przykładowej umowy o przeprowadzenie badania ustawowego sprawozdania finansowego. Zmieniany wtedy komunikat został opracowany w celu uwzględnienia w przykładowej umowie o badanie regulacji wynikających z RODO. Zmienione wzory umów (w tym umowy powierzenia danych osobowych) są nadal dostępne na stronie.
Źródło: https://www.pibr.org.pl/pl/aktualnosci/1309,Firmy-audytorskie-sa-administratorami-danych-osobowych