Umowa powierzenia danych osobowych – obowiązek każdego biura rachunkowego

Wstęp

W codziennej pracy biura rachunkowego nie sposób uniknąć kontaktu z danymi osobowymi – imiona, nazwiska, numery PESEL, wynagrodzenia czy dane podatkowe to tylko część informacji, które trafiają do księgowych i specjalistów ds. kadr i płac. Klient, powierzając dane swojego pracownika lub wspólnika, przekazuje je nie tylko w zaufaniu, ale także w ramach konkretnej relacji prawnej. Tym fundamentem zgodnym z RODO jest umowa powierzenia przetwarzania danych osobowych, o której mówi art. 28 ogólnego rozporządzenia o ochronie danych. Zawieranie takich umów nie jest kwestią dobrej woli – to obowiązek prawny każdego biura rachunkowego.

Analiza przetwarzania danych osobowych w kontekście umowy powierzenia

Na czym polega powierzenie danych?

RODO wprowadza jasne rozróżnienie pomiędzy administratorem danych a podmiotem przetwarzającym. Administrator to ten, kto decyduje o celach i sposobach przetwarzania danych – w kontekście księgowości jest nim klient biura rachunkowego. Biuro zaś przetwarza dane w jego imieniu i na jego polecenie – pełni więc rolę podmiotu przetwarzającego.

Powierzenie przetwarzania to każda sytuacja, w której dane są przekazywane innej firmie (np. biuru rachunkowemu) do realizacji określonych zadań – np. prowadzenia ksiąg rachunkowych, sporządzania listy płac, czy deklaracji ZUS. Nawet jeśli biuro korzysta z własnych systemów informatycznych czy dysków w chmurze, dalej działa w ramach instrukcji klienta – i zgodnie z jego poleceniami.

NAPISZ DO NAS

Kiedy umowa powierzenia danych jest obowiązkowa?

W praktyce – zawsze wtedy, gdy biuro rachunkowe otrzymuje dane osobowe od klienta i przetwarza je w jego imieniu. Dotyczy to w szczególności takich usług jak:

prowadzenie ksiąg rachunkowych,
obsługa kadr i płac (ZUS, PIT, listy płac),
wystawianie faktur w imieniu klienta,
ewidencja środków trwałych, umów cywilnoprawnych,
reprezentacja przed ZUS i US w imieniu klienta.

Brak zawarcia takiej umowy jest naruszeniem art. 28 RODO i może skutkować poważnymi konsekwencjami – zarówno w przypadku kontroli UODO, jak i w sytuacjach spornych z klientem. Dobrze przygotowana umowa powierzenia nie tylko zabezpiecza dane, ale i interes samego biura rachunkowego.

Zadania procesora danych – obowiązki wynikające z umowy powierzenia

Jakie elementy powinna zawierać umowa powierzenia?

RODO w art. 28 ust. 3 precyzyjnie wskazuje, co powinna zawierać każda umowa powierzenia. Nie wystarczy krótka klauzula w głównej umowie – konieczne jest pełne rozwinięcie kwestii związanych z przetwarzaniem danych. W szczególności umowa musi określać:

przedmiot i czas trwania przetwarzania,
charakter i cel przetwarzania,
rodzaj danych osobowych i kategorie osób, których dane dotyczą,
obowiązki i prawa administratora.

Dodatkowo, powinna zawierać zapisy dotyczące:

zapewnienia poufności danych przez osoby upoważnione,
stosowania odpowiednich środków bezpieczeństwa (art. 32 RODO),
zwrotu lub usunięcia danych po zakończeniu współpracy,
umożliwienia audytów i inspekcji na żądanie administratora,
obowiązku informowania o naruszeniach ochrony danych.

Niektóre biura rachunkowe dołączają do umowy również załącznik techniczny – opis stosowanych środków organizacyjnych i informatycznych (np. hasła, backup, kontrola dostępu).

Polityka ochrony danych osobowych jako element umowy powierzenia

PROGRAM PARTNERSKI

Przykładowy fragment umowy powierzenia

„Podmiot przetwarzający zobowiązuje się do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora, w zakresie i celu określonym w niniejszej umowie. Dane będą przetwarzane z zachowaniem zasad poufności i zgodnie z obowiązującymi przepisami prawa.”

To tylko jeden z wielu niezbędnych zapisów, które powinny znaleźć się w umowie. Warto korzystać z gotowych wzorów przygotowanych przez specjalistów, dostosowanych do sektora usług rachunkowych.

Najczęstsze błędy popełniane przez biura rachunkowe

W praktyce niestety wiele biur rachunkowych nadal nie zawiera umów powierzenia danych – albo robi to w sposób niepełny. Poniżej opisujemy najczęstsze błędy:

brak jakiejkolwiek umowy powierzenia – nawet przy obsłudze kadrowej,
zapisy ogólne w umowie głównej, bez osobnego dokumentu lub załącznika,
kopiowanie gotowych wzorów bez dopasowania do konkretnego klienta,
brak informacji o obowiązkach po zakończeniu współpracy (np. co dzieje się z danymi po rozwiązaniu umowy),
nieuwzględnienie dostępu osób trzecich (np. zewnętrznego informatyka lub chmury danych),
brak podpisu lub nieaktualna wersja umowy w dokumentacji klienta.

Tego typu uchybienia mogą skutkować nie tylko grzywną ze strony UODO, ale również odpowiedzialnością cywilną wobec klienta – np. w przypadku incydentu naruszenia danych.

Przedstawicielka biura rachunkowego odpowiedzialna za zgodność z RODO

Umowa powierzenia a outsourcing IOD

W przypadku większych biur rachunkowych lub biur obsługujących instytucje publiczne, warto pamiętać także o obowiązku wyznaczenia Inspektora Ochrony Danych (IOD) lub skorzystania z usługi outsourcingu. W takiej sytuacji umowa powierzenia może również obejmować kwestie nadzoru nad przestrzeganiem zasad przetwarzania, dokumentowania incydentów oraz kontaktu z organem nadzorczym.

BEZPŁATNA KONSULTACJA

Podsumowanie

Umowa powierzenia danych osobowych to niezbędne narzędzie w codziennej pracy biura rachunkowego. Jej zawarcie nie tylko wynika z obowiązku prawnego, ale także stanowi podstawę zaufania między klientem a usługodawcą. Profesjonalnie przygotowana umowa, zawierająca wszystkie elementy wymagane przez RODO, zabezpiecza obie strony przed ryzykiem prawnym i technicznym. Warto zatem traktować ją nie jako formalność, ale jako wyraz świadomego podejścia do ochrony danych.

← Rejestr czynności przetwarzania w biurze rachunkowym – jak prowadzić zgodnie z RODO? Szkolenia i polityki ochrony danych w biurze rachunkowym – jak je wdrożyć? →

Dane rejestrowe naszej firmy:
Inspektorzyrodo.pl Sp. z o.o.
Siedziba: 00-682 Warszawa ul. Hoża 86/410
KRS 0000739784 Regon 380718355 NIP 7010831232