Czy biegły rewident w toku ustawowego badania sprawozdania finansowego działa w roli administratora danych osobowych?

Często błędnie podaje się, że przekazywanie danych biegłemu rewidentowi w toku prowadzenia ustawowego badania sprawozdania finansowego odbywa się w oparciu o powierzenie przetwarzania danych osobowych. Jako argument podaje się stanowisko, zgodnie z którym to jednostka badana przekazuje biegłemu dokumentację zawierającą dane, to jednostka badana określa co z tą dokumentacją biegły powinien zrobić i ostatecznie to jednostka badana odbiera opinię biegłego. Błędnie wnioskuje się, że w rzeczonej sytuacji nie ma władztwa nad danymi po stronie biegłego. Na podstawie powyższego, w błędnych opiniach podaje się, że biegły rewident występuje w roli podmiotu przetwarzającego.

W przypadku osądzenia kwestii dotyczącej tego w jakiej roli, w toku ustawowego badania sprawozdania finansowego, działa biegły rewident, należy uznać, że działa on w roli administratora danych osobowych (ADO), a relacja między jednostką badaną, a biegłym rewidentem to tzw. relacja ADO-ADO.

Rola jednostki badanej i biegłego rewidenta

Najbardziej istotną okolicznością, jaka przemawia za tym, że biegły rewident w toku badania ustawowego działa w roli administratora danych osobowych, jest fakt braku swobody badanej jednostki w zakresie możliwości decydowania o celach, w jakich biegły rewident przetwarza powierzone mu dane osobowe. Rola badanej jednostki sprowadza się do zainicjowania procesu badania sprawozdania finansowego, wyboru biegłego rewidenta i zawarcia umowy. Po zawarciu umowy z biegłym rewidentem badany podmiot nie ma możliwości wpływu na to, jaka będzie zawartość przekazywanej przez niego dokumentacji.

Badany nie ma również możliwości decydowania w jaki sposób biegły rewident będzie z przekazaną dokumentacją dalej postępować. O powyższym świadczyć będzie między innymi art. 67.1. Ustawy z dnia 29 września 1994 r. o rachunkowości, zgodnie z którym biegły rewident uprawniony jest do żądania od kierownika badanej jednostki wszystkich informacji uznanych przez biegłego za niezbędne do przeprowadzenia badania. Kierownik podmiotu badanego nie może też odmówić współpracy z biegłym rewidentem. Wiązałoby się to ze skutkiem niewydania opinii, a także odpowiedzialnością karną. Biegły rewident będzie decydować o tym jakie informacje, oraz zawarte w nich dane osobowe, będą mu przekazywane w toku i celu prowadzenia badania.

biegły rewident uprawniony jest do żądania od kierownika badanej jednostki wszystkich informacji uznanych za niezbędne do przeprowadzenia badania

Rola biegłego rewidenta jako outsourcera

Obecnie obowiązujące zapisy, Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), tzw. RODO umieszczają podmiot przetwarzający dane na zlecenie administratora danych osobowych w roli typowego outsourcera, który na ścisłe polecenie ADO i pod jego dyktando wykonuje za niego czynności przetwarzania danych osobowych.

Ustawowe badanie sprawozdania finansowego przez biegłego rewidenta nie ma charakteru usługi outsourcingowej. Jednostka badana może zaangażować zewnętrzne podmioty, które będą wspierać jej procesy sprawozdawczości finansowej, nie może natomiast samodzielnie, bez zaangażowania niezależnego biegłego rewidenta, przeprowadzić badania sprawozdania finansowego. Ponieważ jednostka badana nie może samodzielnie przeprowadzić badania, to niemożliwe jest powierzenie wykonania badania w imieniu jednostki badanej, co byłoby typowe dla sytuacji powierzenia przetwarzania danych.

Obowiązki wynikające z art. 28 RODO

Część rozwiązań wskazanych w art. 28 RODO nie znajdzie zastosowania w przypadku współpracy jednostki badanej z biegłym rewidentem, a bezskuteczność zapisów rzeczonego artykułu uniemożliwia uznanie powierzenia przetwarzania. Wymóg dotyczący działania wyłącznie i w zakresie poleceń administratora (jednostki badanej) stoi w sprzeczności z wymogiem zachowania przez biegłego rewidenta niezależności od badanej jednostki w toku prowadzonego badania. Ponadto przepisy prawa krajowego (stanowiące podstawę prawną przetwarzania danych) pozwalają biegłemu rewidentowi na przetwarzanie danych osobowych zawartych w dokumentach i informacjach analizowanych w toku prowadzonego ustawowego badania sprawozdania finansowego.

biegły rewident, zgodnie z przepisami, decyduje o celu wykorzystania dokumentacji składającej się na akta badania

Pozostałe okoliczności i przepisy przemawiające za tym, że biegły rewident będzie działać w roli administratora danych osobowych to między innymi art. 67.4. Ustawy z dnia 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym, zgodnie z którym biegły rewident jest obowiązany utworzyć akta badania, w których skład wchodzą wszelkie wprowadzone przez biegłego, oraz uznane za istotne na podstawie standardów badania, dokumenty otrzymane od badanej jednostki. Rzeczone akta nie stanowią własności badanej jednostki, która nie może podjąć decyzji o ich zwrocie czy zniszczeniu. Ponadto biegły rewident decyduje o celu wykorzystania dokumentacji składającej się na akta badania zgodnie z przepisami jakie obowiązują biegłych oraz z zachowaniem granic tajemnicy zawodowej.

Obowiązki biegłych względem organów kontrolnych

Biegli rewidenci, w przypadkach ściśle określonych przepisami prawa, obowiązani są do przekazywania informacji dotyczących badanej jednostki, w tym danych osobowych, do odpowiednich organów, takich jak Komisja Nadzoru Finansowego (KNF), Generalny Inspektor Informacji Finansowej (GIIF) czy Policja.

Poza powyższym, biegli rewidenci, wykorzystują pozyskane w toku badania informacje w celu oceny niezależności oraz braku konfliktu interesów, w zgodzie z wymogami etycznymi i standardami Ustawy o biegłych rewidentach. W granicach jakie określają przepisy prawa, biegli rewidenci obowiązani są przekazywać informacje o prowadzonych badaniach na żądanie Komisji Nadzoru Audytowego (KNA), a także w toku prowadzonej kontroli przekazywać informacje na każde żądanie Komisji Nadzoru Finansowego lub wspomnianej KNA.

Wpływ przepisów AML na rolę biegłego rewidenta

Zgodnie z zapisami Ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu biegły rewident, będący na mocy rzeczonej ustawy instytucją obowiązaną, wykorzystuje pozyskane informacje, w tym dane osobowe, w celu zastosowania określonych ustawą środków bezpieczeństwa finansowego. Ponadto na mocy rzeczonej ustawy instytucje obowiązane (biegli rewidenci) mają prawo uzyskiwać kopie dokumentów i informacji w celu spełnienia obowiązku stosowania środków bezpieczeństwa finansowego, oraz obowiązani są do przechowywania rzeczonej dokumentacji przez okres co najmniej 5 lat. Obowiązek ten potwierdza brak możliwości wysunięcia przez badaną jednostkę żądania usunięcia dokumentacji, niemożliwe jest więc ustanowienie powierzenia przetwarzania. Miejsce będzie, w tym przypadku, miało udostępnienie danych, a przetwarzanie danych przez biegłego rewidenta realizowane będzie w oparciu o wypełnienie obowiązku prawnego ciążącego na administratorze (art. 6, ust. 1, lit. c RODO).


biegli rewidenci mają prawo uzyskiwać kopie dokumentów i informacji w celu spełnienia obowiązku stosowania środków bezpieczeństwa finansowego

Istotne jest by każdy przypadek świadczenia usług przez biegłego rewidenta był rozpatrywany indywidualnie, ponieważ mogą zaistnieć przesłanki działania opartego na powierzeniu przetwarzania danych, niemniej co do zasady ustawodawca w Ustawie o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) dokonał uregulowania zawodów zaufania publicznego jako administratorów danych osobowych w ramach przetwarzania danych osobowych w toku wykonywania zawodu (w szczególności dotyczy adwokatów i radców prawnych). Ponieważ doszukać się podstaw do różnicowania statusu zawodów zaufania publicznego w świetle RODO jest trudno, uznać za stosowne należy, że zawód biegłego rewidenta podlegający, analogicznym wymogom jak zawód adwokata czy radcy prawnego, powinien być traktowany w taki sam sposób.

Podstawy prawne:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Ustawa z dnia 29 września 1994 r. o rachunkowości.

Ustawa z dnia 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym.

Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.

Hasła kluczowe:

Czy biegły rewident to ADO.

Kiedy biegły rewident jest administratorem danych osobowych.

Biegły rewident, a RODO.

Badanie sprawozdania finansowego – powierzenie czy udostępnienie.

Umowa powierzenia z biegłym rewidentem.

Biegły rewident – udostępnienie danych osobowych.

Ustawowe badanie sprawozdania finansowego, a RODO.


AUTOR: Tomasz Wącirz