Dokumentacja RODO dla biur rachunkowych: termin na pismo i skutki zwłoki

Biura rachunkowe stanowią specyficzną kategorię podmiotów gospodarczych. W swojej codziennej działalności operują one ogromnym wolumenem danych osobowych, które mają charakter wysoce poufny. Dane płacowe, numery PESEL, informacje o stanie zdrowia pracowników klientów (np. na zwolnieniach lekarskich), a także szczegółowe dane finansowe i podatkowe podlegają szczególnej ochronie. W tym kontekście prawidłowo opracowana i wdrożona dokumentacja RODO dla biur rachunkowych nie jest jedynie formalnym obowiązkiem, ale kluczowym elementem zarządzania ryzykiem prawnym i biznesowym. Niedopełnienie obowiązków dokumentacyjnych lub, co gorsza, ignorowanie terminów na udzielenie odpowiedzi na wnioski osób, których dane dotyczą, bądź wezwania organu nadzorczego, może prowadzić do katastrofalnych skutków finansowych i wizerunkowych.

Podwójna rola biura rachunkowego w świetle RODO

Aby właściwie ocenić terminy na sporządzanie pism i realizację obowiązków, należy najpierw precyzyjnie określić rolę, jaką biuro rachunkowe odgrywa w procesie przetwarzania danych. W praktyce biuro rachunkowe występuje w podwójnej roli, co bezpośrednio wpływa na zakres jego odpowiedzialności oraz procedury terminowe.

Po pierwsze, biuro rachunkowe jest Administratorem Danych Osobowych (ADO) w stosunku do danych swoich własnych pracowników, kontrahentów oraz jednoosobowych przedsiębiorców będących jego bezpośrednimi klientami. W tym zakresie biuro samodzielnie decyduje o celach i sposobach przetwarzania danych i ponosi pełną, bezpośrednią odpowiedzialność przed Urzędem Ochrony Danych Osobowych (UODO).

Po drugie, i jest to sytuacja najczęstsza, biuro rachunkowe działa jako podmiot przetwarzający (procesor). Dzieje się tak, gdy biuro przetwarza dane pracowników, zleceniobiorców czy klientów swoich mocodawców na podstawie umowy powierzenia przetwarzania danych (DPA - Data Processing Agreement). Jako procesor, biuro rachunkowe musi ściśle przestrzegać instrukcji administratora (klienta) oraz przepisów art. 28 RODO. To rozróżnienie ma fundamentalne znaczenie dla ustalenia, kto, komu i w jakim terminie musi przekazać określone informacje lub odpowiedzieć na pismo.

Niezbędna dokumentacja RODO dla biur rachunkowych

Kompletna dokumentacja RODO dla biur rachunkowych powinna odzwierciedlać specyfikę świadczonych usług księgowych i kadrowo-płacowych. Do podstawowych dokumentów, które muszą znajdować się w każdym biurze, należą:

  • Polityka ochrony danych osobowych – dokument określający ogólne zasady bezpieczeństwa, strukturę organizacyjną oraz podział odpowiedzialności w biurze.
  • Rejestr Czynności Przetwarzania (RCP) – obowiązkowy dla biura jako administratora, dokumentujący m.in. cele przetwarzania, kategorie osób i odbiorców danych.
  • Rejestr Kategorii Czynności Przetwarzania (RKCP) – obowiązkowy dla biura jako procesora, zawierający informacje o administratorach, w imieniu których biuro przetwarza dane.
  • Umowy powierzenia przetwarzania danych – zawierane z każdym klientem biura oraz z podwykonawcami (np. dostawcami oprogramowania księgowego w chmurze, firmami niszczącymi dokumenty).
  • Procedura zarządzania naruszeniami – instrukcja postępowania na wypadek wycieku danych, zagubienia dokumentów czy wysłania maila do niewłaściwego adresata.
  • Upoważnienia do przetwarzania danych – imienne dokumenty dla każdego pracownika i współpracownika biura mającego dostęp do systemów księgowych.

Terminy na pisma i wnioski pod rządami RODO

Przepisy ogólnego rozporządzenia o ochronie danych wprowadzają bardzo rygorystyczne terminy na realizację poszczególnych obowiązków. Dla biur rachunkowych kluczowe są trzy rodzaje terminów: termin na odpowiedź na wniosek osoby, której dane dotyczą, termin na zgłoszenie naruszenia do organu nadzorczego oraz termin na odpowiedź na zapytania i wezwania ze strony Prezesa UODO.

1. Termin na odpowiedź na wniosek osoby, której dane dotyczą

Osoby, których dane są przetwarzane (np. pracownicy klientów biura lub sami klienci), mają prawo do realizacji swoich uprawnień, takich jak prawo dostępu do danych, sprostowania, usunięcia (prawo do bycia zapomnianym) czy ograniczenia przetwarzania. Zgodnie z art. 12 ust. 3 RODO, administrator ma obowiązek udzielić informacji o podjętych działaniach bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania wniosku.

W skomplikowanych przypadkach termin ten może zostać przedłużony o kolejne dwa miesiące. Biuro rachunkowe musi jednak pamiętać, że o takim przedłużeniu należy poinformować wnioskodawcę w ciągu pierwszego miesiąca, podając konkretne przyczyny opóźnienia. Jeśli biuro działa jako procesor, a wniosek wpłynie bezpośrednio do niego, ma ono obowiązek niezwłocznie (najlepiej w ciągu 24-48 godzin) przekazać ten wniosek do właściwego administratora (swojego klienta), gdyż to administrator decyduje o sposobie jego załatwienia.

2. Termin na zgłoszenie naruszenia ochrony danych (72 godziny)

W przypadku wykrycia naruszenia ochrony danych osobowych (np. wysłanie deklaracji PIT pracownika do innego klienta, zgubienie pendrive'a z danymi kadrowymi, atak ransomware na serwer biura), biuro rachunkowe jako administrator musi zgłosić ten fakt do Prezesa UODO bez zbędnej zwłoki, nie później niż w terminie 72 godzin od stwierdzenia naruszenia. Jeśli biuro występuje jako procesor, jego obowiązkiem jest zgłoszenie naruszenia administratorowi (klientowi) niezwłocznie po jego stwierdzeniu. Tutaj liczy się każda godzina, ponieważ to klient biura będzie musiał dokonać oficjalnego zgłoszenia do UODO w ustawowym terminie.

3. Termin na odpowiedź na pismo i wezwanie organu nadzorczego

Jeżeli Prezes UODO poweźmie informację o nieprawidłowościach (np. w wyniku skargi klienta lub jego pracownika), skieruje do biura rachunkowego pismo z żądaniem złożenia wyjaśnień lub przedstawienia określonej dokumentacji. Organ nadzorczy w swoim wezwaniu wyznacza konkretny termin na odpowiedź – najczęściej jest to 7, 14 lub 30 dni od dnia doręczenia pisma. Niedotrzymanie tego terminu jest traktowane jako brak współpracy z organem i samo w sobie stanowi poważne naruszenie przepisów RODO.

Skutki zwłoki i niedopełnienia obowiązków terminowych

Ignorowanie terminów lub opieszałość w prowadzeniu i aktualizacji dokumentacji RODO niesie za sobą poważne konsekwencje prawne, finansowe oraz biznesowe. Biura rachunkowe, z racji profesjonalnego charakteru swojej działalności, są oceniane przez organ nadzorczy według podwyższonego miernika staranności.

Kary finansowe nakładane przez Prezesa UODO

Zgodnie z art. 83 RODO, kary za naruszenie przepisów dotyczących ochrony danych mogą wynosić do 10 000 000 EUR lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (w przypadku uchybień dokumentacyjnych i proceduralnych), a w przypadku naruszenia praw osób, których dane dotyczą, lub niestosowania się do nakazów organu – nawet do 20 000 000 EUR lub do 4% obrotu. W polskich realiach kary dla małych i średnich biur rachunkowych rzadko osiągają maksymalne pułapy, jednak kwoty rzędu kilkunastu lub kilkudziesięciu tysięcy złotych są realnym i dotkliwym zagrożeniem, mogącym doprowadzić mniejsze biuro do bankructwa.

Odpowiedzialność odszkodowawcza wobec klientów

Jeśli zwłoka biura rachunkowego w zgłoszeniu naruszenia lub w realizacji wniosku spowoduje szkodę po stronie klienta (np. na klienta zostanie nałożona kara przez UODO z powodu opóźnienia procesora), klient może żądać odszkodowania na drodze cywilnej. Umowy o świadczenie usług księgowych oraz umowy powierzenia przetwarzania danych bardzo często zawierają wysokie kary umowne za niedopełnienie obowiązków RODO przez biuro.

Utrata reputacji i klientów

Dla biura rachunkowego zaufanie jest najcenniejszą walutą. Informacja o wycieku danych, nałożeniu kary przez UODO czy rażących zaniedbaniach w dokumentacji RODO błyskawicznie rozchodzi się na lokalnym rynku, co może skutkować masowym wypowiadaniem umów przez dotychczasowych klientów.

Konflikt przepisów: RODO a polskie prawo podatkowe i bilansowe

W pracy biura rachunkowego często pojawia się dylemat związany z żądaniem usunięcia danych przez byłego klienta lub jego pracownika (tzw. prawo do bycia zapomnianym). Biuro rachunkowe nie może jednak bezrefleksyjnie usuwać wszystkich danych na każde żądanie. Polskie przepisy podatkowe (np. Ordynacja podatkowa) oraz Ustawa o rachunkowości nakładają obowiązek przechowywania dokumentacji księgowej i podatkowej przez określony czas (zazwyczaj 5 lat, licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku). Z kolei dokumentacja pracownicza musi być przechowywana przez 10 lub nawet 50 lat. W takich sytuacjach biuro rachunkowe ma obowiązek odpisać wnioskodawcy w ustawowym terminie jednego miesiąca, wskazując podstawę prawną (art. 17 ust. 3 lit. b RODO), która uniemożliwia usunięcie danych przed upływem okresów przedawnienia zobowiązań podatkowych.

Praktyczny przykład: Zwłoka w odpowiedzi na wniosek o udostępnienie danych

Aby lepiej zobrazować mechanizm powstawania odpowiedzialności, posłużmy się praktycznym przykładem. Były pracownik jednego z klientów biura rachunkowego (Spółki X) skierował bezpośrednio do biura rachunkowego pisemny wniosek o wydanie kopii wszystkich jego danych osobowych przetwarzanych w systemie kadrowo-płacowym. Biuro rachunkowe, uznając, że nie jest bezpośrednim pracodawcą tego człowieka, odłożyło pismo ad acta i nie podjęło żadnych działań.

Po upływie 40 dni (a więc po przekroczeniu miesięcznego terminu) były pracownik złożył skargę do Prezesa UODO na bezczynność. Organ nadzorczy wszczął postępowanie wyjaśniające i skierował wezwanie do biura rachunkowego. Biuro odpowiedziało dopiero po kolejnych 3 tygodniach. W efekcie Prezes UODO nałożył na biuro rachunkowe karę upomnienia oraz administracyjną karę pieniężną za brak współpracy z organem i niedopełnienie obowiązków procesora (brak niezwłocznego przekazania wniosku do Spółki X jako administratora oraz brak odpowiedzi w terminie). Dodatkowo Spółka X rozwiązała umowę z biurem rachunkowym w trybie natychmiastowym z winy biura, powołując się na naruszenie zapisów umowy powierzenia przetwarzania danych.

Podsumowanie i rekomendacje dla biur rachunkowych

Prawidłowe zarządzanie dokumentacją RODO w biurze rachunkowym wymaga systematyczności i ciągłej czujności. Aby uniknąć dotkliwych skutków zwłoki w sporządzaniu pism i odpowiedzi na wnioski, każde biuro powinno wdrożyć jasne procedury wewnętrzne. Kluczem do sukcesu jest wyznaczenie osoby odpowiedzialnej za monitoring korespondencji pod kątem RODO, regularne szkolenie personelu z zakresu identyfikacji naruszeń oraz dbanie o to, by umowy powierzenia przetwarzania danych były precyzyjne i realistyczne pod kątem terminów. Pamiętajmy, że w obszarze ochrony danych osobowych czas działa niemal zawsze na niekorzyść podmiotu zwlekającego z podjęciem wymaganych prawem działań.