W tej części cyklu poświęconego ustawie o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (dalej: ustawa zmieniająca) omówione zostaną zmiany w ustawie z dnia 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym (dalej: ustawa zmieniana).
| Art. 160. W ustawie z dnia 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym (Dz. U. poz. 1089 oraz z 2018 r. poz. 398 i 1669) po art. 2 dodaje się art. 2a i art. 2b w brzmieniu:
„Art. 2a. Polska Izba Biegłych Rewidentów jest administratorem danych przetwarzanych w celach realizacji zadań lub obowiązków przez organy samorządu biegłych rewidentów, związanych z działalnością Komisji Egzaminacyjnej oraz organizacją egzaminów dla kandydatów na biegłych rewidentów.
|
Wprowadzony ustawą zmieniającą art. 2a przesądza rolę jaką przyjmuje Polska Izba Biegłych Rewidentów dla procesu realizacji zadań lub obowiązków przez organy samorządu biegłych rewidentów, związanych z działalnością Komisji Egzaminacyjnej oraz organizacją egzaminów dla kandydatów na biegłych rewidentów. Polski ustawodawca wykorzystał tu upoważnienie płynące z art. 4 pkt 7 zd. 2 rodo, wedle którego administrator może zostać wyznaczony w prawie państwa członkowskiego, jeżeli cele i sposoby przetwarzania są w prawie państwa członkowskiego określone.
Ustawodawca europejski zdawał sobie sprawę z trudności jakich niekiedy doświadczają stosujący prawo ochrony danych osobowych, przy ustaleniu roli (administrator/procesor) dla danego przetwarzania, stąd pozostawił możliwość aby ustawodawca krajowy, w niektórych przypadkach arbitralnie to przesądził i wyraźnie wyznaczył podmiot, któremu została przypisana rola administratora danych osobowych. Należy jednak zauważyć, że już sam fakt określenia w prawie krajowym celów i sposobów przetwarzania w powiązaniu z konkretnym podmiotem, który ma to przetwarzanie realizować, często determinuje przypinanie określonej roli, nawet jeśli nie zostałaby wyraźnie wskazana przez dany akt prawny.
Należy zwrócić uwagę, że ustawodawca polski przypisał rolę administratora Polskiej Izbie Biegłych Rewidentów dla konkretnego celu przetwarzania, natomiast otwarta pozostaje kwestia, jaką rolę należy przypisać osobie wykonującej zawód biegłego rewidenta, kiedy przy realizacji swoich obowiązków zawodowych uzyskuje dostęp do danych osobowych, na zlecenie podmiotu będącego administratorem tych danych. Ponieważ działalność biegłych rewidentów jest uregulowana w ustawie, która przewiduje m.in. tajemnicę zawodową, a sam dostęp do zawodu poprzedzony jest egzaminem, to należało by się skłaniać do przypisania roli administratora, dopóki jednak nie ukształtuje się praktyka orzecznicza w tym względzie, z pewnością będą wygłaszane niejednolite poglądy przez przedstawicieli doktryny. Warto przy tym zauważyć, że na obecnym etapie PIBR zdaje się przypisywać biegłemu rewidentowi rolę procesora, co można wywnioskować z przygotowanego przez ten organ i zamieszczonego na jego stronie internetowej, przykładowego projektu umowy o przeprowadzenie badania ustawowego sprawozdania finansowego i towarzyszącego mu projektu umowy powierzenia.
| Art. 2b. 1. Dane osobowe przetwarzane w celu realizacji zadań lub obowiązków określonych w ustawie i rozporządzeniu nr 537/2014 podlegają przeglądowi nie rzadziej niż co 5 lat od dnia ich uzyskania. |
Wprowadzony art. 2b ust. 1, stanowi doprecyzowanie jednej z podstawowych zasad przetwarzania danych, wyrażonej w art. 5 ust. 1 lit. e RODO, tj. zasady ograniczenia przechowywania. Ustawodawca nie wyznacza tu konkretnego okresu po upływie którego dane podlegały by usunięciu, ale wymaga aby administrator nie rzadziej niż co 5 lat dokonał przeglądu, w wyniku którego stwierdzi, czy dane nadal są niezbędne do celów, dla których zostały zebrane. Zdecydowano się więc na wprowadzenie pewnej swobody w ocenie czy dane mają zostać usunięte, czy też mogą być nadal przetwarzane. Oznacza to, że administrator w dokumentacji wewnętrznej powinien ustalić kryteria pomocne dla dokonania tej oceny, aby z kolei mógł wykazać, zgodnie z zasadą rozliczalności, przestrzeganie podstawowych zasad.
| 2. Dane osobowe podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:
1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych; 2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy; 3) regularnym testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych; 4) zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych; 5) zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych; 6) zapewnieniu integralności danych w systemach informatycznych; 7) określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.
|
Wprowadzony art. 2b ust. 2 stanowi przykładowe, otwarte wyliczenie środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych. W tym zakresie projektowane przepisy stanowią kontynuację przepisów art. 32 RODO, przy czym wyraźnie stawiają wymóg określenia zasad bezpieczeństwa przetwarzania danych, co wydaje się że należy odczytywać jako wymóg stworzenia odpowiedniego dokumentu (polityka bezpieczeństwa danych osobowych).
| 3. Obowiązek zachowania tajemnicy, o której mowa w art. 78 i art. 95, nie ustaje w przypadku, gdy z żądaniem ujawnienia informacji uzyskanych w związku z wykonywaniem zawodu biegłego rewidenta albo wykonywaniem zadań przez podmioty, o których mowa w tych przepisach, występuje Prezes Urzędu Ochrony Danych Osobowych.”. |
W art. 2b ust. 3 ustawy zmieniającej stwierdza się, że obowiązek zachowania tajemnicy, o której mowa w art. 78 i art. 95 ustawy zmienianej dotyczy również sytuacji, gdy z żądaniem ujawnienia informacji występuje Prezes Urzędu Ochrony Danych Osobowych. Nie wiadomo jaką normę zamierzał stworzyć ustawodawca projektując ten przepis, ponieważ już w przepisie ustanawiającym tajemnicę zawodową, przewiduje się, że tajemnica nie zostaje naruszona, jeżeli ujawnienie informacji przewiduje sama ustawa lub przepisy odrębne. Z zadań Prezesa Urzędu Ochrony Danych Osobowych wynika natomiast, że jest on zobowiązany prawidłowo ustalić stan faktyczny, a w tym celu potrzebuje zwracać się o udzielenie informacji do tych podmiotów, które nimi dysponują. Porównując uregulowania dotyczące tajemnicy zawodowej z art. 78 i 95 ustawy zmienianej z uregulowaniami dotyczącymi np. tajemnicy radcy prawnego, można dostrzec, że tajemnica profesjonalnego pełnomocnika jest znacznie szersza, nie przewiduje się tam bowiem włączeń, jak to uczyniono w art. 78 i art. 95 ustawy zmienianej. Możliwość zwolnienia radcy prawnego z tajemnicy przewidziana jest tylko dla potrzeb procesu karnego, w art. 180 kodeksu postępowania karnego. Czy w takim razie ustawodawca zamierzał akurat Prezesowi Urzędu Ochrony Danych Osobowych ograniczyć możliwość ustalenia stanu faktycznego, podczas gdy inne organy mogą korzystać z wyłączenia wynikającego ze sformułowania art. 78 ust. 3 pkt 1 in fine oraz art. 95 ust. 5 pkt 3 ustawy zmienianej („5. Nie narusza obowiązku zachowania tajemnicy: (…)3) udostępnianie informacji lub dokumentów w przypadkach określonych w niniejszej ustawie lub odrębnych przepisach;”? Z pewnością praktyka stosowania prawa wyjaśni tę sprzeczność.
Podsumowanie
W ustawie o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym:
- określono, iż Polska Izba Biegłych Rewidentów jest administratorem danych dla określonych procesów przetwarzania;
- doprecyzowano zasadę ograniczenia przechowywania;
- zamieszczono przykładowe, otwarte wyliczenie środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych;
- stwierdzono, że tajemnica zawodowa biegłych rewidentów, a także organów ich samorządu zawodowego, dotyczy również Prezesa Urzędu Ochrony Danych Osobowych.
