Nawigacja

Nazwa użytkownika

CAPTCHA
This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.
5 + 8 =
Solve this simple math problem and enter the result. E.g. for 1+3, enter 4.

Sprawozdanie finansowe a RODO

Podpisujesz właśnie umowę na badanie sprawozdania finansowego i zastanawiasz się jaki charakter będzie miało przetwarzanie przez rewidenta danych osobowych? Nie musisz się już zastanawiać. Charakter przetwarzania danych przez biegłych rewidentów został rozstrzygnięty przez Prezesa UODO w związku z zapytaniem Prezesa Krajowej Rady Biegłych Rewidentów. Zgodnie z tym oficjalnym rozstrzygnięciem rewidenci podczas audytów występują w roli samodzielnych administratorów danych osobowych i w takiej sytuacji nie zachodzi sytuacja powierzenia danych. Poniżej linki do zapytania z Izby Biegłych Rewidentów oraz odpowiedź UODO:

https://www.pibr.org.pl/assets/meta/4639,Pismo%20do%20Prezesa%20UODO_z%20potw.pdf
https://www.pibr.org.pl/assets/meta/4637,pismo%20UODO_odpowied%C5%BA%20ws%20RODO.pdf

Ja zgadzam się z tym stanowiskiem UODO i zawartą tam argumentacją.

Oczywiście w ramach audytu powinny być zbierane przez rewidenta dane osobowe, które są istotne dla realizacji umowy (tj. badania sprawozdania finansowego). Jeśli dane nie są niezbędne, to zgodnie z zasadą minimalizacji danych dane te powinny być zanonimizowane (np. zamazane). Jeśli dane są niezbędne, to zleceniobiorca przy zebraniu danych powinien spełnić szereg wymogów RODO, w tym spełnić obowiązki informacyjne wobec osób których dane zamierza przetwarzać. Oczywiście może w takiej sytuacji umówić się z badanym podmiotem na pewne wspólne działania i zlecenie wykonania obowiązku informacyjnego przez badany podmiot, co wiele ułatwia.

Oczywiście warto zauważyć, że sytuacja, w której zleceniobiorca przetwarza dane jako samodzielny administrator jest korzystniejsza dla zlecającego niż powierzenie, ponieważ zleceniobiorca sam odpowiada za szkodę spowodowaną niewłaściwym przetwarzaniem danych, w przeciwieństwie do modelu powierzenia, w którym administrator ponosi odpowiedzialność za działania procesora.