Biura rachunkowe bez względu na swoją wielkość są podmiotami przetwarzającymi dane osobowe swoich klientów, a zatem muszą one spełniać obowiązki wynikające z rozporządzenia Parlamentu Europejskiego oraz Rady Europejskiej 2016/679 z dnia 27 kwietnia 2016 roku (RODO). Jednym z nich jest właśnie powołanie inspektora danych osobowych.

Można powiedzieć, że konieczność wypełnienia tego obowiązku jest tym większa im większy jest zespół biura i im więcej klientów obsługuje nasze biuro rachunkowe. Artykuł 37 ust. 1 RODO stanowi, że zarówno administratorzy jak i podmioty przetwarzające dane osobowe mają wyznaczyć inspektora danych osobowych zawsze gdy „główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę”.

Biuro rachunkowe jest podmiotem, który niewątpliwie wpisuje się w tę kategorię. Nie znajdziemy jednak w RODO wskazówek, które pozwolą nam określić czy dokonywane przez nas przetwarzanie danych osobowych jest „na dużą skalę” czy nie. Weźmy jednak pod uwagę, że praca biura polega w zasadzie na stałym przetwarzaniu danych osobowych. Oprócz tak zwanych „zwykłych” danych osobowych klientów, które są przetwarzane przez biuro (imię, nazwisko, numery NIP i PESEL, numer dowodu osobistego, adres zamieszkania czy też dane kontaktowe), jeżeli biuro zatrudnia pracowników ich dane osobowe również są przedmiotem przetwarzania. Te zaś dane mogą należeć już do kategorii danych wrażliwych, w zakresie w jakim dotyczą zdrowia pracowników, udzielanych im świadczeń z opieki zdrowotnej, niepełnosprawności czy nawet przebywania na zwolnieniu lekarskim.

Dlatego też można uznać, dla swojego bezpieczeństwa, że prowadzenie biura rachunkowego wymaga wyznaczenia inspektora bez względu na to czy skala przetwarzania jest mała, średnia albo duża. Nie powinniśmy jednak oceniać tego jako uciążliwego obowiązku, ale jako ułatwienie sobie pracy i poprawienie bezpieczeństwa prowadzenia biura. Zakres przetwarzanych danych jest, jak zostało to wskazane powyżej, bardzo szeroki, a obowiązki związane z prawidłowym przetwarzaniem są nie tylko liczne ale i niezwykle rygorystyczne. Za naruszenie zasad ochrony danych osobowych można bowiem zostać pociągniętym zarówno do odpowiedzialności karnej jak i otrzymać karę finansową nakładaną przez Urząd Ochrony Danych Osobowych. Ponadto osoba, której dane osobowe były przetwarzane w nieprawidłowy sposób i została przy tym wyrządzona szkoda jest uprawniona do dochodzenia odszkodowania od sprawcy takiego naruszenia. Czy warto zatem ryzykować?

Inspektor danych osobowych w biurze rachunkowym

Niewątpliwą korzyścią powołania inspektora danych osobowych jest możliwość przekazania tej osobie całego zakresu obowiązków związanych z wypełnianiem wymogów RODO, co pozwala na znaczne zmniejszenie zagrożenia wystąpienia nieprawidłowości. Zgodnie bowiem z art. 39 RODO inspektor nie tylko ma informować i doradzać we wszelkich sprawach związanych z rozporządzeniem, ale również monitorować zgodność przestrzegania przepisów RODO przy działalności biura rachunkowego. Do zadań inspektora należy również współpraca z Urzędem Ochrony Danych Osobowych w zakresie ewentualnych naruszeń.

W praktyce osoba powołana na stanowisko inspektora danych osobowych będzie odpowiedzialna wdrożenie odpowiednich procedur, regulaminów i zabezpieczeń, które mają służyć prawidłowemu przetwarzaniu danych. Dlatego nawet pomimo możliwości powierzenia obowiązków inspektora osobie spośród personelu biura musimy zadbać o to, aby osoba ta miała odpowiednie kwalifikacje zawodowe, a w szczególności wiedzę fachową na temat ochrony danych osobowych. Wymóg ten jest wprost wskazany w art. 37 ust. 5 RODO, ale sama praktyka wskazuje, że ochrona danych osobowych jest tematem, który nie powinien być bagatelizowany. Od początku 2021 roku zostało wydanych 16 decyzji w zakresie nieprawidłowego przetwarzania danych osobowych a w 14 z nich zostały nałożone administracyjne kary pieniężne.

Dlatego też nie jest wskazane aby ryzykować z tematami związanymi z ochroną danych osobowych w biurach rachunkowych i powołać inspektora danych osobowych, zwłaszcza w przypadku gdy materia ochrony danych osobowych nie jest dla nas do końca jasna. Warto przy tym rozważyć powierzenie tych obowiązków zewnętrznemu podmiotowi specjalizującemu się w ochronie danych osobowych, a sami będziemy mogli skupić się na własnych obowiązkach bez obaw o potencjalną niezgodność z przepisami RODO prowadzonej przez nas działalności.