Czy z biegłym rewidentem należy zawierać umowę powierzenia przetwarzania
Sprawozdanie finansowe a umowa powierzenia przetwarzania danych osobowych [UMPO].Za sprawą komunikatu nr 36 i 38 Polskiej Izby Biegłych Rewidentów, sprawa braku zasadności zawierania umów powierzeni, stała się nie tak oczywista. Izba stanęła bowiem na stanowisku, iż zasadnym i celowym jest zawarcie umowy powierzenia przetwarzania danych z biegłym rewidentem. W praktyce spotkać można rozbieżne interpretacje i opinie. Jedne z nich przyznają rację stanowisku, które przemawia za zasadnością zawierania umów powierzenia. Inne stanowiska wskazują, iż biegły rewident, wykonując swoje obowiązki ustawowe, staje się administratorem danych osobowych. Z tego względu za nie tyle niepożądane co niedopuszczalne uznać należy, zawieranie umów powierzenia przetwarzania danych w takiej sytuacji. Czytaj więcej >>>
Stanowisko UODO
Czy z biegłym rewidentem należy zawierać umowę powierzenia przetwarzania. UODO udzielił odpowiedzi na pytanie, czy w świetle przepisów RODO firmy audytorskie i biegli rewidenci są „administratorami” czy też „podmiotami przetwarzającymi”.
Polska Izba Biegłych Rewidentów
PIBR informuje iż w związku z pojawiającymi się wątpliwościami dotyczącymi tego, jaka jest rola firm audytorskich i świadczących w ich imieniu usługi biegłych rewidentów, czy są one „administratorami” czy też „podmiotami przetwarzającymi” PIBR skierowała zapytanie do Prezesa Urzędu Ochrony Danych Osobowych („UODO”).
W swoim stanowisku z dnia 18 października 2019 r. UODO wskazuje iż z uwagi na charakter relacji pomiędzy firmami audytorskimi oraz biegłymi rewidentami a ich klientami, firmy audytorskie występują w roli samodzielnych administratorów.
Otrzymana interpretacja wymaga wprowadzenia odpowiednich zapisów w umowach o wykonanie usługi atestacyjnej (w tym badania sprawozdania finansowego). W PIBR trwają prace nad zmianą zapisów przykładowej umowy o badanie oraz przygotowaniem aneksu do zawartych już umów. Ponadto firmy audytorskie powinny dostosować (opracować i wdrożyć) swoje wewnętrzne procedury działalności związane z przepisami RODO.