Zgodnie ze stanowiskiem Urzędu Ochrony Danych Osobowych z 4 listopada 2019 r. firmy audytorskie i świadczący w ich imieniu usługi biegli rewidenci posiadają status Administratorów Danych Osobowych. Tym samym zostały nałożone na nie nowe obowiązki związane z RODO.
W odpowiedzi na stanowisko UODO Polska Izba Biegłych Rewidentów (PIBR) 25 listopada 2019 r. udostępniła na swojej stronie internetowej propozycje nowych wzorów umów o przeprowadzenie badania ustawowego sprawozdania finansowego obejmujące:
- zmienioną przykładową umowę o badanie, do wykorzystania do nowo zawieranych umów,
- załącznik z aneksem do już zawartych umów o badanie, według którego firma audytorska nie jest podmiotem przetwarzającym dane, a ich administratorem,
- formularz rozwiązania za porozumieniem stron uprzednio zawartych umów powierzenia przetwarzania danych osobowych,
- załącznik z aneksem do aktualnie realizowanych wieloletnich umów o badanie uzupełniający je o zapis, zgodnie z którym biegli rewidenci i firmy audytorskie przeprowadzając badanie
sprawozdania finansowego działać będą w roli samodzielnych administratorów danych.
Nowe propozycje wzorów umów zostały przekazane do Komisji Nadzoru Audytowego, która po weryfikacji zapisów dokumentów może zgłosić do nich uwagi.
Kategorie danych osobowych w umowach audytu
Ciekawym rozwiązaniem wydaje się bardzo ogólne ujęcie przez PIBR postanowień dotyczących danych osobowych w przykładowych umowach. Mimo, że przepisy prawa nie zawierają wymogów dotyczących formy udostępniania danych osobowych, niewątpliwe warto zastanowić się nad bardziej precyzyjnym wskazaniem kategorii danych osobowych przetwarzanych przez firmę audytorską lub biegłego rewidenta w ramach sporządzania sprawozdań. Być może kwestia ta zostanie doprecyzowana w kolejnych komunikatach wydawanych w tej sprawie.
W związku ze stanowiskiem UODO firmy audytorskie powinny wyjaśnić swoją rolę i obowiązki jako administratorów danych we własnym przedsiębiorstwie.
Wykonujący usługę biegli rewidenci mają kontrolę nad celami i sposobami przetwarzania danych osobowych w procesie świadczenia usług. To oni decydują o tym, jakich danych osobowych potrzebują do przeprowadzenia audytu oraz w jaki sposób te dane będą przetwarzane. Obowiązujące przepisy prawa dotyczące audytorów zobowiązują ich do niezależności od swoich klientów, nie są związani poleceniami klienta - muszą działać zgodnie z obowiązującymi przepisami prawa. Zatem audytor i klient nie określają wspólnie celów i sposobów przetwarzania, są one określone przez regulacje prawne.
Zabezpieczenie danych osobowych przez audytorów
Ustawa z dnia 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym (tj. Dz. U. z 2019 r. poz. 1421 z późn. zm.) w art. 2b wskazuje wprost na sposoby zabezpieczenia danych przetwarzanych w ramach działalności firm audytorskich oraz biegłych rewidentów. Jakie obowiązki według przepisów muszą spełnić audytorzy?
Zgodnie z ww. ustawą na firmy audytorskie są zobligowane co najmniej do:
- dopuszczenia do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych,
pisemnego zobowiązania osób upoważnionych do zachowania przetwarzanych danych w tajemnicy,
regularnego testowania i doskonalenia stosowanych środków technicznych i organizacyjnych,
- zapewnienia bezpiecznej komunikacji w sieciach telefonicznych,
- zapewnienia ochrony przed nieuprawnionym dostępem do systemów informatycznych,
- zapewnienia integralności danych w systemach informatycznych,
- określenia zasady bezpieczeństwa przetwarzanych danych osobowych,
- przeglądu danych osobowych nie rzadziej niż co 5 lat od dnia ich uzyskania.
Obowiązek zachowania tajemnicy danych
Warto też wskazać, że obowiązek zachowania tajemnicy (określony w art. 78 i 95) nie ustaje w chwili żądania ujawnienia informacji uzyskanych w związku z wykonywaniem zawodu biegłego rewidenta albo wykonywaniem zadań przez podmioty, o których mowa w tych przepisach.
Co więcej, zgodnie z art. 48 ww. ustawy, firma audytorska przeprowadzając badanie może w drodze pisemnej umowy powierzyć osobie fizycznej, osobie prawnej lub jednostce organizacyjnej nieposiadającej osobowości prawnej wpisanej na stosowną listę, wykonanie w jej imieniu i na jej rzecz niektórych czynności badania.
Ochrona danych osobowych przez audytora – wymagana dokumentacja
Firmy audytorskie są więc zobligowane do posiadania wewnętrznej dokumentacji dotyczącej ochrony danych osobowych, a także wprowadzenia odpowiednich postanowień dot. ochrony danych osobowych w umowach o wykonanie usługi.
Rekomendowane działania w obszarze ochrony danych osobowych dla firm audytorskich i biegłych rewidentów:
- stworzenie polityki prywatności, która będzie m.in. opisywała wdrożone środki techniczne
i organizacyjne oraz polityki opisującej retencję danych osobowych i procedurę postępowania z danymi po okresie ich retencji;
- regularne testowanie i udoskonalanie wdrożonych środków bezpieczeństwa;
- regularny, nie rzadszy niż co 5 lat przegląd danych osobowych;
- wydawanie pisemnego upoważnienia do przetwarzania danych osobowych;
- wydawanie pisemnego zobowiązania osób upoważnionych do zachowania w tajemnicy przetwarzanych danych osobowych;
- stworzenie odpowiednich zapisów w umowach z klientem o świadczenie usługi wykonania audytu;
- stworzenie klauzuli informacyjnej;
- stworzenie procedury realizacji praw osób, których dane dotyczą;
- stworzenie procedury postępowania w przypadku naruszeń danych osobowych;
- stworzenie rejestru czynności przetwarzania i rejestru wszystkich kategorii czynności przetwarzania;
- podpisanie umowy powierzenia danych osobowych w sytuacji powierzenia wykonania usługi podwykonawcom.