Szanowni Państwo,
informujmy, że w opinii Związku Rewizyjnego Banków Spółdzielczych im. Franciszka Stefczyka w Warszawie (dalej: „ZRBS”) pomiędzy Bankami zlecającymi przeprowadzenie badania sprawozdania finansowego a ZRBS występuje relacja dwóch odrębnych administratorów, w ramach której jeden administrator (Bank) udostępnia dane na podstawie niżej wskazanych przepisów prawa drugiemu administratorowi (ZRBS), a w ramach takiego stosunku prawnego nie ma konieczności zawierania umów regulujących udostępnianie danych osobowych.
ZRBS przetwarza udostępnione dane osobowe jako administrator na podstawie art. 6 ust. 1 lit. e RODO tj. zgodnie z prawem, gdyż przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym, o którym mowa w art. 69 ustawy o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym, dalej: „ustawa”.
Biegli rewidenci oraz firma audytorska (w tym ZRBS), zgodnie z art. 78 ustawy są zobowiązani zachować w tajemnicy wszystkie informacje i dokumenty, do których mieli dostęp w trakcie świadczenia usług atestacyjnych oraz usług pokrewnych, a obowiązek zachowania tajemnicy zawodowej nie jest ograniczony w czasie. Zgodnie z art. 69 ww. ustawy biegły rewident przeprowadzając badanie, wykonując usługę atestacyjną inną niż badanie lub usługę pokrewną działa w interesie publicznym i przestrzega zasad etyki zawodowej, w szczególności: 1) zachowuje uczciwość, obiektywizm, zawodowy sceptycyzm i należytą staranność; 2) posiada odpowiednie kompetencje zawodowe; 3) przestrzega tajemnicy zawodowej.
Co więcej, ustawą z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia RODO dodano do ww. ustawy art. 2b (obowiązujący od 4 maja 2019 r.), który określa podstawowe zabezpieczenia danych osobowych przetwarzanych w celu realizacji zadań lub obowiązków określonych w ustawie i rozporządzeniu nr 537/2014, za zapewnienie których odpowiedzialny jest właściwy administrator danych – w tym przypadku jest nim biegły rewident, firma audytorska.
Mając powyższe na uwadze w opinii ZRBS nie jest zasadne zawieranie z Bankami umów regulujących powierzenie czy udostępnienie danych osobowych gdyż udostępnienie przez Bank danych osobowych odbywa się na podstawie prawa i na rzecz innego administratora, którym jest ZRBS.
1.Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych.