Podpisujesz właśnie umowę na badanie sprawozdania finansowego i zastanawiasz się jaki charakter będzie miało przetwarzanie przez rewidenta danych osobowych? Nie musisz się już zastanawiać. Charakter przetwarzania danych przez biegłych rewidentów został rozstrzygnięty przez Prezesa UODO w związku z zapytaniem Prezesa Krajowej Rady Biegłych Rewidentów. Zgodnie z tym oficjalnym rozstrzygnięciem rewidenci podczas audytów występują w roli samodzielnych administratorów danych osobowych i w takiej sytuacji nie zachodzi sytuacja powierzenia danych. Poniżej linki do zapytania z Izby Biegłych Rewidentów oraz odpowiedź UODO:
https://www.pibr.org.pl/assets/meta/4639,Pismo%20do%20Prezesa%20UODO_z%20potw.pdf
https://www.pibr.org.pl/assets/meta/4637,pismo%20UODO_odpowied%C5%BA%20ws%20RODO.pdf
Ja zgadzam się z tym stanowiskiem UODO i zawartą tam argumentacją.
Oczywiście w ramach audytu powinny być zbierane przez rewidenta dane osobowe, które są istotne dla realizacji umowy (tj. badania sprawozdania finansowego). Jeśli dane nie są niezbędne, to zgodnie z zasadą minimalizacji danych dane te powinny być zanonimizowane (np. zamazane). Jeśli dane są niezbędne, to zleceniobiorca przy zebraniu danych powinien spełnić szereg wymogów RODO, w tym spełnić obowiązki informacyjne wobec osób których dane zamierza przetwarzać. Oczywiście może w takiej sytuacji umówić się z badanym podmiotem na pewne wspólne działania i zlecenie wykonania obowiązku informacyjnego przez badany podmiot, co wiele ułatwia.
Oczywiście warto zauważyć, że sytuacja, w której zleceniobiorca przetwarza dane jako samodzielny administrator jest korzystniejsza dla zlecającego niż powierzenie, ponieważ zleceniobiorca sam odpowiada za szkodę spowodowaną niewłaściwym przetwarzaniem danych, w przeciwieństwie do modelu powierzenia, w którym administrator ponosi odpowiedzialność za działania procesora.