Ochrona Danych

RODO w biurze rachunkowym: obowiązki i wzory

RODO w biurze rachunkowym: umowa powierzenia z każdym klientem, rejestr z art. 30 ust. 2, okresy przechowywania dokumentacji i akt pracowniczych.

Also available in:Français·Deutsch·Español

W jednym zdaniu. Biuro rachunkowe jest procesorem danych kadrowo-płacowych swoich klientów — musi mieć umowę powierzenia z każdym klientem, prowadzić rejestr kategorii czynności z art. 30 ust. 2 RODO i pilnować ustawowych okresów przechowywania dokumentacji.

RODO w biurze rachunkowym opiera się na jednej fundamentalnej roli: biuro przetwarza cudze dane. Kadry, płace, ZUS, faktury klientów — wszystko to należy do administratorów, którymi są klienci biura. Biuro działa jako procesor. Najczęstszy i najgroźniejszy błąd w tej branży to biuro bez ani jednej umowy powierzenia. Odwrotną rolę — administratora związanego tajemnicą zawodową — pełni kancelaria prawna.

Najważniejsze punkty

  • Biuro rachunkowe jest procesorem danych kadrowo-płacowych klientów.
  • Wymagana jest umowa powierzenia (art. 28 RODO) z każdym klientem — bez wyjątków.
  • Biuro prowadzi rejestr kategorii czynności przetwarzania z art. 30 ust. 2 (nie ust. 1).
  • Okresy przechowywania: 5 lat dla dokumentacji księgowej, dłuższe dla akt pracowniczych i ZUS.
  • Brak umowy powierzenia to klasyczna podstawa kary UODO.

1. Biuro rachunkowe jako procesor

Gdy klient zleca biuru prowadzenie kadr, płac i księgowości, to klient pozostaje administratorem danych swoich pracowników i kontrahentów — decyduje o celach przetwarzania. Biuro przetwarza te dane w imieniu i na polecenie klienta, więc jest procesorem w rozumieniu art. 4 pkt 8 RODO.

Konsekwencje są konkretne:

  • Biuro działa wyłącznie zgodnie z udokumentowaną instrukcją administratora.
  • Nie może wykorzystywać danych klientów do własnych celów.
  • Odpowiada za bezpieczeństwo powierzonych danych (art. 32).
  • Musi umożliwić klientowi audyt i wspierać go w realizacji praw osób.

2. Umowa powierzenia z każdym klientem

To absolutny fundament. Zgodnie z art. 28 ust. 3 RODO powierzenie przetwarzania musi opierać się na umowie określającej przedmiot, czas, charakter i cel przetwarzania, kategorie danych i osób, obowiązki i prawa administratora. Wzór umowy powierzenia powinien obejmować:

  • Kategorie danych (płace, ZUS, US, urlopy, dane kontrahentów).
  • Cel (obsługa kadrowo-płacowa i księgowa).
  • Środki bezpieczeństwa (szyfrowanie, MFA, kontrola dostępu).
  • Zasady sub-powierzenia (np. dostawca oprogramowania księgowego).
  • Procedurę zgłaszania naruszeń do administratora.
  • Prawo do audytu i zasady zwrotu/usunięcia danych po zakończeniu współpracy.

Praktyka: DPA podpisuje się przy zawieraniu umowy o świadczenie usług. Biuro obsługujące 80 klientów potrzebuje 80 umów powierzenia.

3. Rejestr kategorii czynności — art. 30 ust. 2

Częsty błąd: biura prowadzą rejestr z art. 30 ust. 1, właściwy dla administratorów. Procesor prowadzi rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora — na podstawie art. 30 ust. 2 RODO. Zawiera on m.in. nazwę i dane administratorów, kategorie przetwarzania wykonywanego dla każdego z nich oraz ogólny opis środków bezpieczeństwa. Zasady prowadzenia rejestru omawiamy w przewodniku po rejestrze czynności przetwarzania.

4. Okresy przechowywania

Biuro musi respektować ustawowe okresy retencji dokumentów, które przechowuje w imieniu klienta:

Kategoria dokumentów Okres Podstawa
Dokumentacja księgowa i podatkowa 5 lat od końca roku ustawa o rachunkowości, Ordynacja podatkowa
Akta pracownicze (nowe zasady) 10 lat przepisy o dokumentacji pracowniczej
Akta pracownicze (starsze) do 50 lat przepisy przejściowe
Dokumentacja ZUS zgodnie z przepisami ubezpieczeniowymi

Po upływie okresu i zakończeniu współpracy biuro zwraca lub usuwa dane zgodnie z umową powierzenia. Nie może zatrzymywać danych byłego klienta „na wszelki wypadek".

5. Bezpieczeństwo danych kadrowo-płacowych

Dane kadrowo-płacowe to atrakcyjny cel ataków. Biuro musi wdrożyć adekwatne środki z art. 32 RODO: szyfrowanie, MFA do systemów księgowych i poczty, kontrola dostępu pracowników do teczek klientów, kopie zapasowe, procedura reagowania na incydenty. Typowe naruszenie w tej branży to wyciek danych klientów z zainfekowanej lub przejętej skrzynki e-mail biura.

6. Naruszenia i relacja z administratorem

Gdy dojdzie do naruszenia, biuro jako procesor zgłasza je administratorowi bez zbędnej zwłoki (art. 33 ust. 2 RODO) — to administrator (klient) decyduje o zgłoszeniu do UODO. Umowa powierzenia powinna określać krótki termin (zwykle 24 godziny) na powiadomienie klienta. Zasady zgłaszania naruszeń opisujemy w tekście o zgłoszeniu naruszenia z art. 33.

7. Legiscope w praktyce biura rachunkowego

Biuro z dziesiątkami klientów musi utrzymać komplet umów powierzenia i rejestr kategorii czynności — a przy każdym nowym kliencie dokumentacja rośnie. Traktowanie tego w rozproszonych plikach Word prowadzi do luk. Platforma taka jak Legiscope pozwala generować i wersjonować umowy powierzenia oraz rejestr z art. 30 ust. 2 w jednym systemie, z eksportem gotowym na kontrolę UODO — zamiast rekonstruować dokumentację ręcznie przy audycie.

Jeśli biuro ma cechy małej firmy, zasada proporcjonalności pozwala uprościć środki, ale nie zwalnia z umów powierzenia ani rejestru.

8. Sub-powierzenie: oprogramowanie i chmura

Biuro rzadko działa w izolacji technologicznej. Program księgowy w chmurze, dostawca hostingu, system do e-teczek pracowniczych — to podprocesorzy przetwarzający dane w imieniu biura, które samo jest procesorem klienta. Zgodnie z art. 28 ust. 2 i 4 RODO biuro może korzystać z podprocesora tylko za ogólną lub szczegółową zgodą administratora (klienta) i musi nałożyć na podprocesora te same obowiązki ochrony danych. Praktyka:

  • Wpisz do umowy powierzenia z klientem zgodę na podprocesorów i listę używanych narzędzi.
  • Zawrzyj umowy sub-powierzenia z dostawcami oprogramowania i chmury.
  • Sprawdź lokalizację przetwarzania — dostawca spoza EOG wymaga oceny transferu.

9. Najczęstsze błędy biur rachunkowych

  1. Zero umów powierzenia — biuro obsługuje klientów latami bez jednego DPA.
  2. Zły rejestr — prowadzenie rejestru z art. 30 ust. 1 zamiast ust. 2.
  3. Brak zgody na podprocesorów przy korzystaniu z chmurowego programu księgowego.
  4. Wykorzystanie danych klienta do własnego marketingu (np. oferty dodatkowych usług) bez podstawy.
  5. Brak procedury naruszeń i terminu powiadamiania klienta.
  6. Przechowywanie danych byłego klienta po zakończeniu współpracy „na wszelki wypadek".
  7. Wspólna skrzynka e-mail bez MFA jako główny kanał wymiany dokumentów kadrowych.

Uporządkowanie tych punktów to fundament rozliczalności biura i pierwsza linia obrony przy kontroli UODO.

FAQ

Czy biuro rachunkowe musi mieć umowę powierzenia z każdym klientem?

Tak, bez wyjątków. Biuro przetwarza dane kadrowo-płacowe klienta jako procesor, co zgodnie z art. 28 ust. 3 RODO wymaga umowy powierzenia. Brak choćby jednej umowy to klasyczna podstawa kary UODO.

Jaki rejestr czynności prowadzi biuro rachunkowe?

Rejestr kategorii czynności przetwarzania z art. 30 ust. 2 RODO — właściwy dla procesorów. Zawiera dane administratorów (klientów), kategorie przetwarzania wykonywanego dla każdego z nich oraz opis środków bezpieczeństwa. To inny rejestr niż ten prowadzony przez administratora (art. 30 ust. 1).

Jak długo biuro przechowuje dokumentację księgową klienta?

Dokumentację księgową i podatkową co do zasady 5 lat od końca roku, w którym upłynął termin płatności podatku. Akta pracownicze przechowuje się 10 lat (nowe zasady) lub do 50 lat (starsze przypadki). Po upływie okresu i zakończeniu współpracy dane zwraca się lub usuwa zgodnie z umową powierzenia.

Kto zgłasza naruszenie do UODO — biuro czy klient?

Klient (administrator). Biuro jako procesor zgłasza naruszenie administratorowi bez zbędnej zwłoki zgodnie z art. 33 ust. 2 RODO, a administrator decyduje o zgłoszeniu do UODO w ciągu 72 godzin. Umowa powierzenia powinna określać termin powiadomienia klienta.

Czy małe biuro rachunkowe jest zwolnione z dokumentacji RODO?

Nie w praktyce. Zwolnienie z rejestru (art. 30 ust. 5) prawie nigdy nie działa, a obowiązek umów powierzenia obowiązuje niezależnie od wielkości biura. Zasada proporcjonalności pozwala jedynie uprościć środki bezpieczeństwa.

Podsumowanie

Biuro rachunkowe jest podręcznikowym przykładem procesora — przetwarza dane kadrowo-płacowe klientów w ich imieniu i według ich instrukcji. Cała zgodność biura obraca się wokół trzech elementów: umowy powierzenia z każdym klientem, rejestru kategorii czynności z art. 30 ust. 2 oraz respektowania ustawowych okresów przechowywania. Najgroźniejszym i zarazem najczęstszym uchybieniem pozostaje brak choćby jednej umowy powierzenia — to klasyczna podstawa kary UODO i punkt sprawdzany na początku każdej kontroli. Do tego dochodzi obowiązek uporządkowania podprocesorów (chmura, program księgowy) oraz procedura zgłaszania naruszeń administratorowi. Biuro, które ma komplet DPA, poprawny rejestr i jasną politykę retencji, jest przygotowane na kontrolę lepiej niż większość konkurencji.

Podstawa prawna i źródła

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →