Prawa klientów i pracowników biur rachunkowych w zakresie RODO

RODO przyznaje osobom fizycznym, których dane są przetwarzane, następujące uprawnienia:

■ prawo do informacji, dostępu do danych i przejrzystej komunikacji (art. 12–15 RODO),

■ prawo żądania sprostowania danych (art. 16 RODO). Błędy w danych osobowych mogą bowiem stanowić ryzyko dla interesów i praw osoby, której dane dotyczą,

■ prawo do ograniczenia przetwarzania (art. 18 RODO),

■ prawo sprzeciwu wobec przetwarzania danych (art. 21 RODO),

■ prawo do przeniesienia danych (art. 20 RODO),

■ prawo do bycia zapomnianym (jest to nowość wprowadzona przez art. 17 RODO),

■ prawo do niepodlegania zautomatyzowanemu przetwarzaniu danych osobowych (art. 22 RODO).

Katalog uprawnień użytkowników (np. klientów lub pracowników biura rachunkowego), którzy uważają, że ich dane przetwarzane są niezgodnie z prawem, obejmuje:

■ prawo do wniesienia skargi do organu nadzorczego, jeśli użytkownik sądzi, iż przetwarzanie danych osobowych jego dotyczących narusza RODO;

■ prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego dotyczącej użytkownika;

■ prawo do skutecznego środka ochrony prawnej przed sądem, przeciwko administratorowi lub podmiotowi przetwarzającemu dane.

Wszczęcie postępowania sądowego przeciwko administratorowi lub podmiotowi przetwarzającemu dane jest  możliwe niezależnie od skarg złożonych do organu nadzoru. W związku z powyższym, biuro rachunkowe naruszające zasady ochrony danych osobowych musi liczyć się z realną możliwością poniesienia odpowiedzialności administracyjnej, karnej oraz cywilnej.

Zamów bezpłatny 14-dniowy dostęp do INFORLEX Biura rachunkowe!

Obowiązki informacyjne. Biuro rachunkowe występując jako administrator podczas pozyskiwania danych osobowych, podaje osobie, której dane przetwarza, wszystkie następujące informacje:

a) swoją tożsamość i dane kontaktowe oraz – gdy ma to zastosowanie – tożsamość i dane kontaktowe swojego przedstawiciela;

b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

c) cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;

d) prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o prawnych podstawach tego przekazania, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych (art. 13 RODO). Bardzo praktyczne jest, by informacje o przysługujących prawach były elementem zawieranych przez biuro rachunkowe umów, regulaminów świadczenia usług lub zgód na przetwarzanie danych osobowych.

Obowiązek udostępnienia danych podlegających przetwarzaniu. Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu (art. 15 ust. 3 RODO). Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z poniesionych przez niego kosztów administracyjnych (np. kosztów wydruku). Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej. Biuro rachunkowe nie może zatem np. odmówić pracownikowi kopii dokumentacji pracowniczej. Jak stwierdzono w piśmie Prezesa UODO z 18 marca 2019 r. (sygn. ZSZZS.440.842.2018):

Należy wskazać, że udostępnienie kopii danych zawartych w dokumentacji pracowniczej, zgodnie z art. 15 ust. 3 RODO, nie jest równoznaczne z obowiązkiem udostępnienia danych w formie właściwej dla udostępnienia dokumentacji pracowniczej. Pracodawca będący administratorem nie ma również obowiązku udostępniania osobie zainteresowanej nośnika, na którym przetwarzane są dane osobowe oraz danych, które nie stanowią danych osobowych w rozumieniu art. 4 pkt 1 RODO i nie dotyczą wnioskującego. Realizując obowiązek wynikający z art. 15 ust. 3 RODO, administrator może poprzestać na wskazaniu treści danych dotyczących osoby, z wyłączeniem pozostałych informacji zawartych na nośniku.

Wykonanie obowiązku określonego w art. 15 ust. 3 RODO może być zatem realizowane zarówno poprzez sporządzenie kopii lub odpisu dokumentu (nośnika) zawierającego dane osobowe oraz inne dane, jak i poprzez podanie uprawnionemu treści jego danych osobowych, z pominięciem informacji znajdujących się w nośniku, które nie są danymi osobowymi w rozumieniu art. 4 pkt 1 RODO. W przypadku udostępniania kopii danych osobowych przetwarzanych w dokumentacji pracowniczej podstawowe znaczenie ma treść danych. RODO nie posługuje się pojęciem udostępniania kopii dokumentów zawierających dane osobowe, jest w nim natomiast używane pojęcie kopii danych.

Artykuł stanowi fragment książki: RODO dla księgowych i biur rachunkowych. Zmiany od 4 maja 2019 roku