Kodeks dobrych praktyk w zakresie ochrony danych osobowych

Maciej Lipka

Autor: Maciej Lipka

Dodano: 29 grudnia 2020
ochroniarz - zakaz wstępu

Kodeks dobrych praktyk w zakresie ochrony danych osobowych

W lutym br. do prezesa Urzędu Ochrony Danych Osobowych trafił projekt kodeksu dobrych praktyk w zakresie ochrony danych osobowych w ramach działalności doradców podatkowych, który może być stosowany przez biura rachunkowe świadczące usługi doradztwa podatkowego lub przynajmniej stanowić dla nich inspirację. Jeżeli kodeks zostanie zatwierdzony, wówczas jego stosowanie może pomóc wykazać, że firma przestrzega właściwie obowiązujących przepisów o ochronie danych osobowych.

FS

Biuro rachunkowe lub podmiot zajmujący się doradztwem podatkowym jest administratorem danych osobowych (ADO), jeżeli samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania takich danych (np. w ramach własnej działalności gospodarczej lub jako spółka z o.o. reprezentowana przez zarząd). Ogólne rozporządzenie o ochronie danych (dalej: RODO) zachęca ADO do stosowania zatwierdzonych branżowych kodeksów postępowania.

Cel stosowania kodeksu

Z artykułu 40 ust. 1 RODO wynika, że kodeksy postępowania (dalej: kodeksy) mają pomóc we właściwym stosowaniu przepisów poprzez uwzględnienie specyfiki różnych sektorów dokonujących przetwarzania danych osobowych oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. Natomiast podmioty reprezentujące określone kategorie ADO lub podmiotów przetwarzających (tj. podmiotów przetwarzających dane w imieniu ADO) mogą przygotować (a potem docelowo również modyfikować) takie kodeksy, aby uszczegółowić zastosowanie w ich przypadku przepisów RODO.

Podmioty mogą się powoływać na zapisy zatwierdzonego kodeksu, gdy wykazują – zwłaszcza podczas kontroli lub innego postępowania – przestrzeganie ogólnie sformułowanych zapisów RODO, dotyczących np. zabezpieczenia danych osobowych (art. 32 ust. 4 RODO). Chcąc powoływać się na taki kodeks, należy jednak formalnie przyjąć go do stosowania.

W skali krajowej kodeksy zatwierdza prezes Urzędu Ochrony Danych Osobowych (dalej: prezes UODO), natomiast kodeksy dotyczące czynności przetwarzania prowadzonych w kilku państwach członkowskich UE podlegają akceptacji Europejskiej Rady Ochrony Danych oraz Komisji Europejskiej.

Patrząc też na ww. kwestię z drugiej strony, konkretne działanie danego ADO, który nie zobowiąże się do stosowania kodeksu, teoretycznie może zostać np. w danym postępowaniu kontrolnym zakwestionowane, jeżeli będzie ewidentnie sprzeczne z dokumentem zatwierdzonym i funkcjonującym w branży.

Kodeks dla doradców podatkowych

W branży doradztwa podatkowego również powstał projekt kodeksu (Kodeksu Postępowania dla Doradców Podatkowych w sprawie ochrony danych osobowych, dalej zwanego kodeksem). Projekt ten stworzyła Krajowa Izba Doradców Podatkowych (dalej: Izba) za pośrednictwem powołanego przez siebie Komitetu ds. danych osobowych (dalej: Komitet).

Tabela 1: Podmioty, które mogą zobowiązać się do przestrzegania kodeksu opracowanego przez KIDP

Grupa podmiotów

Konkretne podmioty

Podmioty uprawnione do wykonywania czynności doradztwa podatkowego, określone w art. 2 ustawy o doradztwie podatkowym

1) osoba fizyczna wpisana na listę doradców podatkowych;

2) osoba prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej (w tym spółki osobowe i kapitałowe), w ramach której doradcy podatkowi świadczą usługi doradztwa podatkowego;

3) adwokat lub radca prawny;

4) biegły rewident.

Inne podmioty wykonujące określone w art. 2 ustawy o doradztwie podatkowym czynności doradztwa podatkowego, wyłącznie poprzez zatrudnionych doradców podatkowych, radców prawnych lub biegłych rewidentów

1) organizacje zawodowe posiadające osobowość prawną, spółdzielnie, stowarzyszenia lub izby gospodarcze, jeżeli przedmiotem ich działalności statutowej jest również doradztwo podatkowe świadczone wyłącznie na rzecz ich członków;

2) firmy audytorskie, uprawnione na podstawie odrębnych przepisów do badania sprawozdań finansowych;

3) spółki z ograniczoną odpowiedzialnością lub spółki akcyjne, które spełniają łącznie następujące warunki:

  • większość członków zarządu stanowią doradcy podatkowi, a jeżeli zarząd składa się z nie więcej niż 2 osób, to jedna z nich jest doradcą podatkowym;
  • większość głosów w zgromadzeniu wspólników (akcjonariuszy) oraz w organach nadzoru przysługuje doradcom podatkowym;
  • w spółce akcyjnej wydawane są wyłącznie akcje imienne;
  • zbycie akcji lub udziałów albo ustanowienie na nich zastawu wymaga zezwolenia udzielonego przez zarząd spółki.

Ponieważ proces zbierania uwag do projektu kodeksu wśród doradców podatkowych się zakończył, w lutym 2020 r. materiały przekazano prezesowi UODO do zatwierdzenia. Dopiero po zatwierdzeniu kodeksu przez prezesa UODO podmioty z branży doradztwa podatkowego będą mogły deklarować jego przestrzeganie. Niemniej jednak, w celu weryfikacji obecnie stosowanych praktyk już teraz warto, aby właściciele biur rachunkowych świadczący również usługi doradcze i doradcy podatkowi zajrzeli do jego roboczej wersji.

Kodeks nie ma zastosowania do przetwarzania danych osobowych pracowników, współpracowników oraz kandydatów do pracy. Koncentruje się on natomiast na przetwarzaniu danych osobowych:

  • klientów korzystających z usług doradztwa podatkowego;
  • personelu tych klientów;
  • członków rodzin klientów i ich personelu oraz
  • osób uczestniczących w postępowaniach sądowych i administracyjnych prowadzonych przez doradcę podatkowego.
  • WAŻNE

Przystąpienie do stosowania kodeksu jest dobrowolne. Można w każdej chwili zrezygnować z bycia podmiotem przestrzegającym kodeksu, składając stosowne oświadczenie woli do Izby.

Przyjęcie kodeksu do stosowania

Po zatwierdzeniu przez prezesa UODO, kodeks można przyjąć do stosowania po złożeniu stosownego oświadczenia woli oraz po otrzymaniu pozytywnej decyzji ze strony Izby. Doradca podatkowy może wykorzystać wówczas ostatecznie zatwierdzony wzór oświadczenia o przystąpieniu do przestrzegania kodeksu, stanowiący załącznik nr 10 do tego dokumentu i złożyć taki wniosek do Izby drogą elektroniczną lub pisemną. Podpisując deklarację przystąpienia, jednocześnie należy oświadczyć, że podmiot wnioskujący o przystąpienie do przestrzegania kodeksu:

  • spełnia wymagania nałożone na niego przez przepisy RODO, prawa krajowego oraz kodeksu i jest świadom wynikających z nich obowiązków;
  • zobowiązuje się do przestrzegania tych obowiązków i tym samym chce uzyskać status podmiotu przestrzegającego kodeksu oraz
  • wyraża zgodę na przeprowadzenie audytu przez podmiot monitorujący w formie uzgodnionej między tym podmiotem a doradcą podatkowym, uwzględniając specyfikę funkcjonowania doradców podatkowych nieprzetwarzających danych osobowych na dużą skalę.

Audytu nie będzie przeprowadzał prezes UODO, lecz podmiot odpowiedzialny za monitorowanie przestrzegania kodeksu (podmiot monitorujący), wybrany przez Krajową Radę Doradców Podatkowych w sposób wskazany w ww. kodeksie spośród podmiotów akredytowanych przez prezesa UODO.

Audyt nie narusza zasad ochrony tajemnicy doradcy podatkowego oraz zasad zachowania innej tajemnicy zawodowej lub tajemnicy przedsiębiorstwa, koncentrując się na weryfikacji postępowania z danymi osobowymi. Dopiero na podstawie przeprowadzonego audytu ADO otrzyma stanowisko dotyczące możliwości przystąpienia do kodeksu.

W ramach audytu podmiot monitorujący dokonuje zwłaszcza oceny:

  • celów i podstaw prawnych przetwarzania danych osobowych;
  • zakresu przetwarzanych danych osobowych;
  • właściwego określenia podmiotów w procesach podczas przetwarzania danych (tj. określenia administratorów, odbiorców, podmiotów powierzających dane);
  • nadawanych upoważnień do przetwarzania danych osobowych i dostępu do nich wyłącznie przez osoby upoważnione;
  • zasad udostępniania i powierzenia przetwarzania danych osobowych;
  • okresu przechowywania danych;
  • środków organizacyjnych i technicznych zapewniających adekwatny stopień zabezpieczenia przetwarzania danych osobowych;
  • zasadności powołania inspektora ochrony danych;
  • oceny ryzyka związanego z przetwarzaniem danych osobowych;
  • poziomu wiedzy i świadomości doradcy podatkowego i jego współpracowników dotyczącej bezpieczeństwa danych osobowych;
  • zapewnienia realizacji praw osób, których dane dotyczą;
  • zapewnienia odpowiedniego wykonywania obowiązków informacyjnych podczas pozyskiwania danych osobowych oraz
  • przestrzegania zasad przetwarzania danych osobowych określonych w RODO, przepisach prawa krajowego i kodeksie, w tym w zakresie prowadzonych rejestrów i ewidencji.

Nawet w przypadku negatywnego wyniku audytu wnioskodawca otrzyma uzasadnienie takiej oceny, wskazujące na kwestie wymagające ponownej analizy i rekomendacje dotyczące możliwych rozwiązań. Dlatego też warto wnioskować o stosowanie kodeksu, gdyż audyt pozwoli zwrócić uwagę na ewentualne złe praktyki w zakresie przetwarzania danych osobowych.

Z kolei w przypadku pozytywnego wyniku audytu podmiot monitorujący zawiadomi Komitet o możliwości przystąpienia do kodeksu przez podmiot objęty audytem.

Niezależnie od powyższego, należy również pamiętać, że samo przestrzeganie kodeksu nie zwalnia nas jednak z obowiązku monitorowania zmian w przepisach prawa, a także innych informacji, takich jak nowe wytyczne związane z ochroną danych osobowych. Ponadto należy również na bieżąco weryfikować, czy do samego kodeksu nie wprowadzono zmian, które wpłyną na dotychczasowe praktyki stosowane w danej firmie.

Docelowo, po otrzymaniu statusu podmiotu przestrzegającego kodeksu, będziemy musieli niezwłocznie informować Komitet o:

  • wszelkich decyzjach prezesa UODO w sprawie ochrony danych osobowych nas dotyczących;
  • istotnych zmianach dotyczących danych identyfikujących podmiot przestrzegający kodeksu oraz
  • innych istotnych zmianach dotyczących zasad, sposobów i celów przetwarzania danych osobowych.

Jako podmiot przestrzegający kodeksu będziemy również podlegać zaleceniom wydawanym przez Komitet w zakresie ochrony danych osobowych.

Co możemy zrobić na obecnym etapie

Prezes UODO ma prawo zgłosić do kodeksu uwagi. Mogą być to zarówno uwagi formalne, jak i merytoryczne. Na dziś – ze względu na brak zatwierdzonych kodeksów – ciężko przewidzieć, jakie uwagi może przedstawić urząd. Możemy jedynie domniemywać, że kodeks stworzony przez Izbę – z uwagi na czytelny układ oraz istniejące w nim wzory – zostanie przyjęty bez istotniejszych zmian.

W związku z powyższym należy mieć na względzie, że dokument zawiera cenne wytyczne, które już na obecnym etapie można wykorzystać, zmniejszając prawdopodobieństwo wszczęcia wszelkich nieprzewidzianych postępowań związanych np. z wyciekiem danych osobowych czy też niewłaściwą realizacją praw osób, których dane przetwarzamy. Jakkolwiek dopiero po zaakceptowaniu projektu kodeksu przez prezesa UODO podmioty zainteresowane jego stosowaniem zostaną poddane audytowi, to już na tym etapie można utworzyć listę sprawdzającą. Pozwoli ona zwrócić uwagę na kwestie, które na obecnym etapie są dyskusyjne, jeżeli chodzi o zgodność z przepisami o ochronie danych osobowych.

Listę wypełniamy poprzez porównanie naszych praktyk z treścią kodeksu. W ramach listy warto wyznaczyć sobie terminy na podjęcie ewentualnych działań dostosowawczych.

Dodatkowo, w tabeli (nr 3) zawarliśmy przykłady pokazujące, jak taką listę wypełnić. Listę sprawdzającą możemy uzupełniać o inne interesujące nas kwestie, które pojawiły się w kodeksie, a nie zostały wyodrębnione.

  • POBIERZ Z WWW

    Tabela nr 2: Lista sprawdzająca stopień zgodności naszych praktyk z projektem kodeksu w zakresie najważniejszych kwestii w nim poruszanych

    Tabela nr 3: Lista sprawdzająca – przykład zastosowania

    Znajdziesz na naszej stronie www.biurorachunkowewpraktyce.pl

Podstawa merytoryczna:

Podstawa prawna:
  • art. 40–41 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; Dz.U. UE.L. 2016.119.1 z 2016.05.04);
Autor: Maciej Lipka specjalista w zakresie ochrony danych osobowych
Maciej Lipka

Autor: Maciej Lipka

specjalista w zakresie prawa pracy, pozyskiwania dotacji i ochrony danych osobowych. Z wykształcenia prawnik. Zdobył doświadczenie, zarówno prowadząc własną działalność w zakresie pozyskiwania dotacji, jak i zajmując się problematyką ochrony danych osobowych w obecnym Urzędzie Ochrony Danych Osobowych. Jego wiedza pozwala spojrzeć na problemy kadrowe z punktu widzenia nowych standardów wymagających poszanowania prywatności pracowników, a także prowadzeniem dokumentacji związanej z ochroną danych osobowych. Na co dzień sporządza dokumenty zarówno wymagane przez przepisy, jak i dokumenty ułatwiające codzienne funkcjonowanie organizacji.