Nasz strona wykorzystuje pliki cookies w celu personalizacji oferty wysyłanej do klientów oraz analizy zachowania użytkowników, tak aby dostarczać usługi na najwyższym poziomie. Korzystając ze strony wyrażają Państwo zgodę na przetwarzanie danych. Dalsze informacje można znaleźć w polityce prywatności.



Firmy audytorskie mają status niezależnego administratora danych

PrintMailRate-it

Marta Wiśniewska

9 listopada 2019 r. 


7 listopada 2019 r. na stronie internetowej Urzędu Ochrony Danych Osobowych zostało opublikowane oficjalne stanowisko urzędu dotyczące statusu biegłych rewidentów.


Dotychczas status biegłych rewidentów (tj. firm audytorskich) nie był jednoznacznie określony. Powodowało to liczne wątpliwości wśród firm zlecających np. badanie sprawozdań finansowych, dotyczące tego, czy z firmą audytorską powinna zostać zawarta umowa powierzenia przetwarzania danych. Dalsze wątpliwości budziło określenie zakresu danych powierzanych do przetwarzania, czy też zasad postępowania po zakończeniu umowy (tj. np. zakończeniu badania sprawozdania finansowego).


Mimo wątpliwości praktycznych oraz celowościowych, większość firm audytorskich i klientów zlecających usługi firmom audytorskim decydowała się na regularne (coroczne lub nawet częstsze, w zależności od konkretnego zlecenia) zawieranie umów powierzenia przetwarzania danych.


Stanowisko UODO


W związku z licznymi zapytaniami kierowanymi do Urzędu Ochrony Danych Osobowych, w tym także przez Polską Izbę Biegłych Rewidentów, urząd zajął oficjalne stanowisko w tej sprawie, udzielając odpowiedzi na pytanie, czy biegli rewidenci mają status administratora w związku ze świadczeniem swoich usług.


Urząd wskazał przede wszystkim, iż kluczowe dla określenia statusu danego podmiotu (tzn. czy dany podmiot w danych operacjach przetwarzania występuje w roli administratora, czy podmiotu przetwarzającego) jest ustalenie czy realizuje on własne cele w sposób przez siebie określony, czy też przetwarza dane na zlecenie administratora realizując cel określony przez niego. Podkreślone zostało, że firmy audytorskie oraz biegli rewidenci wykonując swoje zadania nie są związani poleceniami klienta oraz muszą działać zgodnie z obowiązującymi przepisami. Z opinii urzędu wynika więc, że ze względu na charakter relacji pomiędzy firmami audytorskimi oraz biegłymi rewidentami a ich klientami, występują oni w roli samodzielnych administratorów.


Umowa z firmami audytorskim


Przedstawione stanowisko Urzędu Ochrony Danych Osobowych ma  istotne znaczenie praktyczne.
Fakt, że firma audytorska w związku ze świadczeniem usług nie występuje jako podmiot przetwarzający, lecz jest niezależnym administratorem danych oznacza w praktyce w szczególności, że:


  • zlecając wykonanie usługi firmie audytorskiej nie ma konieczności zawierania dodatkowej umowy powierzenia przetwarzania danych (zawarcie takiej umowy powierzenia będzie niewłaściwe), 
  • przed zawarciem umowy na usługi audytorskie nie będzie konieczne weryfikowanie spełnienia przez firmę audytorską wymagań RODO, np. poprzez stosowane często przez firmy kwestionariusze dla dostawców.


Nie oznacza to jednak, że kwestia przetwarzania danych osobowych nie będzie miała znaczenia przy kształtowaniu umów z firmami audytorskimi.


Obecnie podpisując umowę o świadczenie usług z firmą audytorską należy zadbać o zawarcie w  treści umowy odpowiednich zapisów regulujących status stron w zakresie przetwarzania danych oraz ew. odpowiedzialność w tym zakresie. Warto także uregulować zasady przekazywania danych osobowych pomiędzy stronami. 


Należy również zweryfikować, które obecnie zawarte umowy wymagają wprowadzania zmian – dotyczy to przede wszystkim umów, które są już w toku.



W przypadku zainteresowania wsparciem w zakresie RODO, zapraszamy do kontaktu z ekspertami Rödl & Partner w Gdańsku, Gliwicach, Krakowie, Poznaniu, Warszawie i Wrocławiu.​

Kontakt

Contact Person Picture

Marta Wiśniewska

radca prawny

Manager

Wyślij zapytanie

Profil


Deutschland Weltweit Search Menu