W jednym zdaniu. Biuro rachunkowe jest procesorem danych kadrowo-płacowych swoich klientów — musi mieć umowę powierzenia z każdym klientem, prowadzić rejestr kategorii czynności z art. 30 ust. 2 RODO i pilnować ustawowych okresów przechowywania dokumentacji.
RODO w biurze rachunkowym opiera się na jednej fundamentalnej roli: biuro przetwarza cudze dane. Kadry, płace, ZUS, faktury klientów — wszystko to należy do administratorów, którymi są klienci biura. Biuro działa jako procesor. Najczęstszy i najgroźniejszy błąd w tej branży to biuro bez ani jednej umowy powierzenia. Odwrotną rolę — administratora związanego tajemnicą zawodową — pełni kancelaria prawna.
Najważniejsze punkty
- Biuro rachunkowe jest procesorem danych kadrowo-płacowych klientów.
- Wymagana jest umowa powierzenia (art. 28 RODO) z każdym klientem — bez wyjątków.
- Biuro prowadzi rejestr kategorii czynności przetwarzania z art. 30 ust. 2 (nie ust. 1).
- Okresy przechowywania: 5 lat dla dokumentacji księgowej, dłuższe dla akt pracowniczych i ZUS.
- Brak umowy powierzenia to klasyczna podstawa kary UODO.
1. Biuro rachunkowe jako procesor
Gdy klient zleca biuru prowadzenie kadr, płac i księgowości, to klient pozostaje administratorem danych swoich pracowników i kontrahentów — decyduje o celach przetwarzania. Biuro przetwarza te dane w imieniu i na polecenie klienta, więc jest procesorem w rozumieniu art. 4 pkt 8 RODO.
Konsekwencje są konkretne:
- Biuro działa wyłącznie zgodnie z udokumentowaną instrukcją administratora.
- Nie może wykorzystywać danych klientów do własnych celów.
- Odpowiada za bezpieczeństwo powierzonych danych (art. 32).
- Musi umożliwić klientowi audyt i wspierać go w realizacji praw osób.
2. Umowa powierzenia z każdym klientem
To absolutny fundament. Zgodnie z art. 28 ust. 3 RODO powierzenie przetwarzania musi opierać się na umowie określającej przedmiot, czas, charakter i cel przetwarzania, kategorie danych i osób, obowiązki i prawa administratora. Wzór umowy powierzenia powinien obejmować:
- Kategorie danych (płace, ZUS, US, urlopy, dane kontrahentów).
- Cel (obsługa kadrowo-płacowa i księgowa).
- Środki bezpieczeństwa (szyfrowanie, MFA, kontrola dostępu).
- Zasady sub-powierzenia (np. dostawca oprogramowania księgowego).
- Procedurę zgłaszania naruszeń do administratora.
- Prawo do audytu i zasady zwrotu/usunięcia danych po zakończeniu współpracy.
Praktyka: DPA podpisuje się przy zawieraniu umowy o świadczenie usług. Biuro obsługujące 80 klientów potrzebuje 80 umów powierzenia.
3. Rejestr kategorii czynności — art. 30 ust. 2
Częsty błąd: biura prowadzą rejestr z art. 30 ust. 1, właściwy dla administratorów. Procesor prowadzi rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora — na podstawie art. 30 ust. 2 RODO. Zawiera on m.in. nazwę i dane administratorów, kategorie przetwarzania wykonywanego dla każdego z nich oraz ogólny opis środków bezpieczeństwa. Zasady prowadzenia rejestru omawiamy w przewodniku po rejestrze czynności przetwarzania.
4. Okresy przechowywania
Biuro musi respektować ustawowe okresy retencji dokumentów, które przechowuje w imieniu klienta:
| Kategoria dokumentów | Okres | Podstawa |
|---|---|---|
| Dokumentacja księgowa i podatkowa | 5 lat od końca roku | ustawa o rachunkowości, Ordynacja podatkowa |
| Akta pracownicze (nowe zasady) | 10 lat | przepisy o dokumentacji pracowniczej |
| Akta pracownicze (starsze) | do 50 lat | przepisy przejściowe |
| Dokumentacja ZUS | zgodnie z przepisami ubezpieczeniowymi | — |
Po upływie okresu i zakończeniu współpracy biuro zwraca lub usuwa dane zgodnie z umową powierzenia. Nie może zatrzymywać danych byłego klienta „na wszelki wypadek".
5. Bezpieczeństwo danych kadrowo-płacowych
Dane kadrowo-płacowe to atrakcyjny cel ataków. Biuro musi wdrożyć adekwatne środki z art. 32 RODO: szyfrowanie, MFA do systemów księgowych i poczty, kontrola dostępu pracowników do teczek klientów, kopie zapasowe, procedura reagowania na incydenty. Typowe naruszenie w tej branży to wyciek danych klientów z zainfekowanej lub przejętej skrzynki e-mail biura.
6. Naruszenia i relacja z administratorem
Gdy dojdzie do naruszenia, biuro jako procesor zgłasza je administratorowi bez zbędnej zwłoki (art. 33 ust. 2 RODO) — to administrator (klient) decyduje o zgłoszeniu do UODO. Umowa powierzenia powinna określać krótki termin (zwykle 24 godziny) na powiadomienie klienta. Zasady zgłaszania naruszeń opisujemy w tekście o zgłoszeniu naruszenia z art. 33.
7. Legiscope w praktyce biura rachunkowego
Biuro z dziesiątkami klientów musi utrzymać komplet umów powierzenia i rejestr kategorii czynności — a przy każdym nowym kliencie dokumentacja rośnie. Traktowanie tego w rozproszonych plikach Word prowadzi do luk. Platforma taka jak Legiscope pozwala generować i wersjonować umowy powierzenia oraz rejestr z art. 30 ust. 2 w jednym systemie, z eksportem gotowym na kontrolę UODO — zamiast rekonstruować dokumentację ręcznie przy audycie.
Jeśli biuro ma cechy małej firmy, zasada proporcjonalności pozwala uprościć środki, ale nie zwalnia z umów powierzenia ani rejestru.
8. Sub-powierzenie: oprogramowanie i chmura
Biuro rzadko działa w izolacji technologicznej. Program księgowy w chmurze, dostawca hostingu, system do e-teczek pracowniczych — to podprocesorzy przetwarzający dane w imieniu biura, które samo jest procesorem klienta. Zgodnie z art. 28 ust. 2 i 4 RODO biuro może korzystać z podprocesora tylko za ogólną lub szczegółową zgodą administratora (klienta) i musi nałożyć na podprocesora te same obowiązki ochrony danych. Praktyka:
- Wpisz do umowy powierzenia z klientem zgodę na podprocesorów i listę używanych narzędzi.
- Zawrzyj umowy sub-powierzenia z dostawcami oprogramowania i chmury.
- Sprawdź lokalizację przetwarzania — dostawca spoza EOG wymaga oceny transferu.
9. Najczęstsze błędy biur rachunkowych
- Zero umów powierzenia — biuro obsługuje klientów latami bez jednego DPA.
- Zły rejestr — prowadzenie rejestru z art. 30 ust. 1 zamiast ust. 2.
- Brak zgody na podprocesorów przy korzystaniu z chmurowego programu księgowego.
- Wykorzystanie danych klienta do własnego marketingu (np. oferty dodatkowych usług) bez podstawy.
- Brak procedury naruszeń i terminu powiadamiania klienta.
- Przechowywanie danych byłego klienta po zakończeniu współpracy „na wszelki wypadek".
- Wspólna skrzynka e-mail bez MFA jako główny kanał wymiany dokumentów kadrowych.
Uporządkowanie tych punktów to fundament rozliczalności biura i pierwsza linia obrony przy kontroli UODO.
FAQ
Czy biuro rachunkowe musi mieć umowę powierzenia z każdym klientem?
Tak, bez wyjątków. Biuro przetwarza dane kadrowo-płacowe klienta jako procesor, co zgodnie z art. 28 ust. 3 RODO wymaga umowy powierzenia. Brak choćby jednej umowy to klasyczna podstawa kary UODO.
Jaki rejestr czynności prowadzi biuro rachunkowe?
Rejestr kategorii czynności przetwarzania z art. 30 ust. 2 RODO — właściwy dla procesorów. Zawiera dane administratorów (klientów), kategorie przetwarzania wykonywanego dla każdego z nich oraz opis środków bezpieczeństwa. To inny rejestr niż ten prowadzony przez administratora (art. 30 ust. 1).
Jak długo biuro przechowuje dokumentację księgową klienta?
Dokumentację księgową i podatkową co do zasady 5 lat od końca roku, w którym upłynął termin płatności podatku. Akta pracownicze przechowuje się 10 lat (nowe zasady) lub do 50 lat (starsze przypadki). Po upływie okresu i zakończeniu współpracy dane zwraca się lub usuwa zgodnie z umową powierzenia.
Kto zgłasza naruszenie do UODO — biuro czy klient?
Klient (administrator). Biuro jako procesor zgłasza naruszenie administratorowi bez zbędnej zwłoki zgodnie z art. 33 ust. 2 RODO, a administrator decyduje o zgłoszeniu do UODO w ciągu 72 godzin. Umowa powierzenia powinna określać termin powiadomienia klienta.
Czy małe biuro rachunkowe jest zwolnione z dokumentacji RODO?
Nie w praktyce. Zwolnienie z rejestru (art. 30 ust. 5) prawie nigdy nie działa, a obowiązek umów powierzenia obowiązuje niezależnie od wielkości biura. Zasada proporcjonalności pozwala jedynie uprościć środki bezpieczeństwa.
Podsumowanie
Biuro rachunkowe jest podręcznikowym przykładem procesora — przetwarza dane kadrowo-płacowe klientów w ich imieniu i według ich instrukcji. Cała zgodność biura obraca się wokół trzech elementów: umowy powierzenia z każdym klientem, rejestru kategorii czynności z art. 30 ust. 2 oraz respektowania ustawowych okresów przechowywania. Najgroźniejszym i zarazem najczęstszym uchybieniem pozostaje brak choćby jednej umowy powierzenia — to klasyczna podstawa kary UODO i punkt sprawdzany na początku każdej kontroli. Do tego dochodzi obowiązek uporządkowania podprocesorów (chmura, program księgowy) oraz procedura zgłaszania naruszeń administratorowi. Biuro, które ma komplet DPA, poprawny rejestr i jasną politykę retencji, jest przygotowane na kontrolę lepiej niż większość konkurencji.
Podstawa prawna i źródła
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial