Aktualnie jesteś: Gazeta Podatkowa (strona główna)  »  Archiwum rocznikowe  »   Gazeta Podatkowa NR 45 (1502) z dn. 4.06.2018  »  Rejestry czynności przetwarzania w biurach rachunkowych

A A A
Gazeta Podatkowa nr 45 (1502) z dnia 4.06.2018, strona 18
dział: Wskazówki dla przedsiębiorcy
Autor: Marta Stefanowicz - Wasilewska

Rejestry czynności przetwarzania w biurach rachunkowych

W związku z wejściem w życie z dniem 25 maja br. przepisów unijnego rozporządzenia RODO biura rachunkowe mogą występować niejako w podwójnej roli. Są bowiem administratorami danych osobowych przetwarzanych samodzielnie np. swoich pracowników, oraz posiadają przymiot podmiotów przetwarzających dane osobowe w imieniu innych administratorów danych. To zaś oznacza, że muszą różnicować niektóre obowiązki np. w związku z koniecznością prowadzenia rejestrów czynności przetwarzania.

Kto musi prowadzić rejestry przetwarzania?

Obowiązek prowadzenia rejestru czynności przetwarzania spoczywa na administratorze danych, czyli osobie fizycznej lub prawnej, organie publicznym, jednostce lub innym podmiocie, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Natomiast na podmioty przetwarzające dane osobowe np. biura rachunkowe, zakłady medycyny pracy, RODO nakłada obowiązek prowadzenia rejestrów wszystkich kategorii czynności przetwarzania. Są to dwa odrębne rejestry o różnym zakresie informacji. Może zdarzyć się, że jeden podmiot powinien prowadzić oba rejestry, tj. rejestr czynności przetwarzania we własnym imieniu jako administrator danych oraz drugi, tj. rejestr wszystkich kategorii czynności przetwarzania, których dokonuje w imieniu administratora danych.

Zasadniczo z obowiązku prowadzenia obu tych rejestrów RODO zwalnia przedsiębiorców lub pomioty zatrudniające mniej niż 250 osób. Zwolnienie to miało na celu ulżyć w powyższych obowiązkach mikro-, małym i średnim przedsiębiorcom. Motyw 13 RODO stanowi bowiem, że: "Z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw niniejsze rozporządzenie przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników".

Jednocześnie RODO w art. 30 ust. 5 określa, że zwolnienie to nie przysługuje przedsiębiorcom i podmiotom, które zatrudniają mniej niż 250 pracowników, jeżeli czynności przetwarzania, które wykonują:

  • mogą powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
     
  • nie mają charakteru sporadycznego,
     
  • obejmują szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Na łamach Gazety wielokrotnie zwracaliśmy uwagę, że pomimo tego iż RODO przewiduje zwolnienie dla podmiotów i przedsiębiorców z sektora MŚP, to występowanie przesłanki niesporadycznego przetwarzania danych osobowych powoduje konieczność prowadzenia takich rejestrów. Stanowisko takie znajduje obecnie poparcie w opinii wydanej przez Grupę Roboczą art. 29, która uznała, że brzmienie art. 30 ust. 5 RODO jasno przewiduje, że trzy rodzaje przetwarzania, do których wyjątek nie ma zastosowania, mają charakter alternatywny (lub) i wystąpienie któregokolwiek z nich samodzielnie wywołuje obowiązek prowadzenia rejestru czynności przetwarzania. Jeśli chodzi o przesłankę sporadyczności, to Grupa art. 29 jako przykład podaje małą organizację, która systematycznie przetwarza dane dotyczące swoich pracowników. W rezultacie takie przetwarzanie nie może być uznane za sporadyczne i musi w związku z tym być zawarte w rejestrze czynności przetwarzania. Jednak inne czynności przetwarzania, które w rzeczywistości mają charakter sporadyczny, nie muszą być zawarte w rejestrze czynności przetwarzania, pod warunkiem że jest mało prawdopodobne, by powodowały ryzyko naruszenia praw lub wolności osób fizycznych, i nie obejmują szczególnych kategorii danych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

Rejestry podmiotów przetwarzających

Kolejny problem związany z rejestrami przetwarzania, co do którego na razie brakuje interpretacji Grupy Roboczej art. 29, jest sytuacja, w której administrator danych (klient biura rachunkowego) jest zobowiązany do prowadzenia rejestru czynności przetwarzania, natomiast biuro rachunkowe jako przetwarzający, będący np. mikroprzedsiębiorcą, korzysta ze zwolnienia i nie musi prowadzić takich rejestrów. Moim zdaniem, ze względu na przesłankę niesporadycznego przetwarzania danych osobowych, należałoby przyjąć konieczność prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora. Trudno bowiem uznać, iż biuro rachunkowe przetwarza dane osobowe przekazane przez swoich klientów tylko sporadycznie, zwłaszcza jeżeli jego klientami są duże firmy, same zatrudniające powyżej 250 pracowników. Taki rejestr powinien zawierać:

  • imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych,
     
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
     
  • gdy ma to zastosowanie -informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, RODO dokumentacja odpowiednich zabezpieczeń,
     
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

W odniesieniu do każdego z administratorów wskazane jest zatem nazwanie poszczególnych powierzeń (zleceń), a zatem rodzaju usług, jakie podmiot przetwarzający na podstawie zawartych umów wykonuje na rzecz poszczególnych administratorów. Uporządkowanie czynności wykonywanych w ramach powierzenia w kategorie, czyli ich pogrupowanie pod względem rodzaju usług świadczonych przez podmiot przetwarzający, umożliwi łatwy przegląd powierzeń, zwłaszcza w przypadku podmiotów, które działają na rzecz wielu administratorów danych lub świadczą wiele różnych usług w zakresie przetwarzania danych. Taką kategorią czynności przetwarzania będzie już samo przechowywanie dokumentacji podatkowej, księgowej, kadrowej i medycznej, a także prowadzenie dokumentacji podatkowej, księgowej, kadrowej.

Rejestr czynności przetwarzania danych osobowych powinien zawierać:

- imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie - przedstawiciela administratora oraz inspektora ochrony danych,
- cele przetwarzania,
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
- gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

Podstawa prawna

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

Najpopularniejsze w dziale „Wskazówki dla przedsiębiorcy”

Wdrożenie RODO w biurach rachunkowych

Gazeta Podatkowa nr 49 (1506) z dnia 18.06.2018

Dokumentacja przetwarzania danych według zaleceń PUODO

Gazeta Podatkowa nr 51 (1508) z dnia 25.06.2018

Marketing bezpośredni w aspekcie RODO

Gazeta Podatkowa nr 53 (1510) z dnia 2.07.2018

Telefoniczna weryfikacja danych pracowników przez banki

Gazeta Podatkowa nr 50 (1507) z dnia 21.06.2018

Zgłoszenie inspektora ochrony danych do PUODO

Gazeta Podatkowa nr 56 (1513) z dnia 12.07.2018

Ochrona danych osobowych w zamówieniach publicznych

Gazeta Podatkowa nr 57 (1514) z dnia 16.07.2018

Ulgi we wpłatach na PFRON od 1 października br.

Gazeta Podatkowa nr 52 (1509) z dnia 28.06.2018

Obowiązki z zakresie przeciwdziałania praniu pieniędzy

Gazeta Podatkowa nr 55 (1512) z dnia 9.07.2018

Dane wpisywane we wniosku CEIDG-1

Gazeta Podatkowa nr 49 (1506) z dnia 18.06.2018

Powtórna kontrola w tym samym zakresie

Gazeta Podatkowa nr 52 (1509) z dnia 28.06.2018

Wypowiedzenie umowy najmu z powodu zakłócania spokoju

Gazeta Podatkowa nr 50 (1507) z dnia 21.06.2018

Bony na innowacje w dwóch etapach

Gazeta Podatkowa nr 55 (1512) z dnia 9.07.2018

Zawieszenie działalności a dokonywanie płatności

Gazeta Podatkowa nr 51 (1508) z dnia 25.06.2018

Pomoc członka rodziny w dniach objętych zakazem handlu

Gazeta Podatkowa nr 49 (1506) z dnia 18.06.2018

Dane osób zatrudnionych w firmie zewnętrznej

Gazeta Podatkowa nr 54 (1511) z dnia 5.07.2018

Potwierdzenie profilu zaufanego

Gazeta Podatkowa nr 52 (1509) z dnia 28.06.2018

Odszkodowanie dla przedsiębiorcy za szkody poniesione w wyniku kontroli

Gazeta Podatkowa nr 51 (1508) z dnia 25.06.2018

Zgłoszenie do CEIDG zmiany nazwy ulicy, gdzie zarejestrowano firmę

Gazeta Podatkowa nr 53 (1510) z dnia 2.07.2018

Uproszczone metody rozliczania wydatków w projekcie

Gazeta Podatkowa nr 49 (1506) z dnia 18.06.2018

Prowadzenie działalności sezonowej

Gazeta Podatkowa nr 50 (1507) z dnia 21.06.2018

Oświadczenie uczestnika projektu a RODO

Gazeta Podatkowa nr 56 (1513) z dnia 12.07.2018

Okres dochodzenia roszczeń ubezpieczeniowych

Gazeta Podatkowa nr 55 (1512) z dnia 9.07.2018

Wsparcie na wymianę pokrycia dachowego

Gazeta Podatkowa nr 56 (1513) z dnia 12.07.2018

Informacja o wynagrodzeniu dla cudzoziemca

Gazeta Podatkowa nr 57 (1514) z dnia 16.07.2018

Kapitał na rozwój biznesu

Gazeta Podatkowa nr 49 (1506) z dnia 18.06.2018

Przedsiębiorca może również nabyć ziemię rolną

Gazeta Podatkowa nr 50 (1507) z dnia 21.06.2018

Zatrudnienie i oddelegowanie w ramach projektu unijnego

Gazeta Podatkowa nr 51 (1508) z dnia 25.06.2018

Zmiany w zakresie monitorowania transportu produktów "wrażliwych"

Gazeta Podatkowa nr 54 (1511) z dnia 5.07.2018

Wpłaty na fundusz promocji

Gazeta Podatkowa nr 56 (1513) z dnia 12.07.2018

Zwrot towaru kupionego od osoby prowadzącej działalność nierejestrową

Gazeta Podatkowa nr 54 (1511) z dnia 5.07.2018
PRZYDATNE LINKI

Portal Podatkowo-Księgowy

www.GOFIN.pl

www.Gofin.pl/PIT

www.Gofin.pl/Prawnik-Radzi

www.Gofin.pl/Rachunkowosc

www.Gofin.pl/Bilans

www.Gofin.pl/Podatki

www.Gofin.pl/Prawo-Pracy

www.Gofin.pl/Skladki-Zasilki

       
POMOCNIKI Księgowego

www.Asystent.Gofin.pl

www.Interpretacje.Gofin.pl

www.Przepisy.Gofin.pl

www.Terminy.Gofin.pl

www.Druki.Gofin.pl

www.Kalkulatory.Gofin.pl

www.PrzewodnikKadrowego.Gofin.pl

www.WideoPomocniki.Gofin.pl

www.Forum.Gofin.pl

www.Newslettery.Gofin.pl

www.PrzewodnikKsiegowego.Gofin.pl

www.Wskazniki.Gofin.pl

www.IndeksKsiegowan.Gofin.pl

www.Orzecznictwo.Gofin.pl

www.PytaniaCzytelnikow.Gofin.pl

www.WszystkoDlaKsiegowych.pl

 
       
Serwisy specjalistyczne

www.ZakladamyFirme.pl

www.VademecumKadrowego.pl

www.VademecumKsiegowego.pl

www.PoradnikKsiegowego.pl

www.EmeryturyiRenty.pl

www.SerwisBudzetowy.pl

www.PodatekDochodowy.pl

www.VademecumPodatnika.pl

www.KodeksPracy.pl

www.Czas-Pracy.pl

www.Zasilki.pl

www.UmowyCywilnoprawne.pl

www.RozliczeniaPodatkowe.pl

www.RozliczenieWynagrodzenia.pl

www.KalkulatoryPodatkowe.pl

www.PoradyPodatkowe.pl

www.RozliczenieDelegacji.pl

www.PodatekVAT.pl

www.UrlopyWychowawcze.pl

 
     
 
Sklep internetowy - sklep.gofin.pl

Wydawnictwo Podatkowe GOFIN sp. z o.o., ul. Owocowa 8, 66-400 Gorzów Wlkp., tel. 95 720 85 40, faks 95 720 85 60
Wydawnictwo Podatkowe GOFIN
Szanowny Użytkowniku !
Prosimy o zapoznanie się z poniższymi informacjami oraz wyrażenie dobrowolnej zgody poprzez kliknięcie przycisku "Zgadzam się".
Pamiętaj, że zawsze możesz wycofać zgodę.

Serwis internetowy, z którego Pani/Pan korzysta używa plików cookies w celu:

  • zapewnienia prawidłowego działania serwisów (utrzymania sesji),

  • analizy statystyk ruchu i reklam w serwisach,

  • zbierania i przetwarzania danych osobowych w celu wyświetlenia personalizowanych reklam.

Pliki cookies

Są to pliki instalowane w urządzeniach końcowych osób korzystających z serwisu, w celu administrowania serwisem, dostosowania treści serwisu do preferencji użytkownika, utrzymania sesji użytkownika oraz dla celów statystycznych i targetowania behawioralnego reklamy (dostosowania treści reklamy do indywidualnych potrzeb użytkownika). Informujemy, że istnieje możliwość określenia przez użytkownika serwisu warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w plikach cookies za pomocą ustawień przeglądarki lub konfiguracji usługi. Szczegółowe informacje na ten temat dostępne są u producenta przeglądarki, u dostawcy usługi dostępu do internetu oraz w Polityce prywatności i plików cookies.

Administratorzy

Administratorem Pana/Pani danych osobowych w związku z korzystaniem z serwisu internetowego i jego usług jest Wydawnictwo Podatkowe GOFIN sp. z o.o.

Administratorem danych osobowych w plikach cookies w związku z wyświetleniem analizy statystyk i wyświetlaniem spersonalizowanych reklam jest partner Wydawnictwa Podatkowego GOFIN sp. z o.o., Stroer Digital Operations sp. z o.o. (SDO). Odbiorcą informacji z plików cookies są Netsprint S.A., Google LLC oraz spółki zlecające SDO realizację kampanii reklamowej, a także podmioty badające i zliczające tę kampanię. Dane te mogą ponadto zostać udostępnione na rzecz partnerów handlowych SDO.

Jakie ma Pani/Pan prawa w stosunku do swoich danych osobowych?

Wobec swoich danych mają Pan/Pani prawo do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych, prawo do cofnięcia zgody.

Podstawy prawne przetwarzania Pani/Pana danych osobowych

  • Niezbędność przetwarzania danych w związku z wykonaniem umowy

    Umowa w naszym przypadku oznacza akceptację regulaminu naszych usług. Jeśli zatem akceptuje Pani/Pan umowę na realizację danej usługi, to możemy przetwarzać Pani/Pana dane w zakresie niezbędnym do realizacji tej umowy.

  • Niezbędność przetwarzania danych w związku z prawnie uzasadnionym interesem administratora

    Dotyczy sytuacji, gdy przetwarzanie danych jest uzasadnione z uwagi na usprawiedliwione potrzeby administratora, tj. dokonanie pomiarów statystycznych, ulepszania naszych usług, jak również prowadzenie marketingu i promocji własnych usług administratora w serwisie internetowym.

  • Dobrowolna zgoda

    Aby móc wyświetlać spersonalizowane reklamy dopasowane do Pani/Pana zainteresowań, partner Wydawnictwa Podatkowego GOFIN sp. z o.o., Stroer Digital Operations sp. z o.o. musi mieć możliwość przetwarzania Pani/Pana danych. Udzielenie takiej zgody jest całkowicie dobrowolne (nie ma obowiązku jej udzielenia).

Zgoda

W związku z powyższymi wyjaśnieniami prosimy o wyrażenie dobrowolnej zgody na przetwarzanie Pani/Pana danych osobowych w związku z możliwością wyświetlenia reklam dopasowanych do Pani/Pana zainteresowań poprzez kliknięcie w przycisk „Zgadzam się” lub „Nie teraz” w przypadku braku zgody.