Zmiany w ustawie o ochronie danych osobowych wprowadzają obowiązek zgłoszenia zbioru danych do rejestracji Głównemu Inspektorowi Ochrony Danych Osobowych (GIODO). Wymieniają też rodzaje danych niepodlegające rejestracji, wprowadzają zasady przetwarzania przez biura rachunkowe danych osobowych powierzanych im przez klientów i wymóg posiadania przez biuro rachunkowe tzw. polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym, w którym przetwarzane są dane osobowe.

1. Obowiązki biura rachunkowego w zakresie ochrony danych osobowych

Administrator danych może powierzyć innemu podmiotowi przetwarzanie danych - poprzez powołanie tzw. Administratora Bezpieczeństwa Informacji (ABI).

ABI może być osoba, która:

● ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
● posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
● nie była karana za umyślne przestępstwo.

ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej (tzn. organowi, np. zarządowi spółki, lub osobie fizycznej kierującej przedsiębiorstwem, urzędem administracji publicznej itp.) będącej administratorem danych (ADO).

Zgodnie z nowymi przepisami Administrator Danych Osobowych może powierzyć ABI wykonywanie innych obowiązków niż tylko ochrona danych osobowych, jeżeli nie naruszy to prawidłowego wykonywania jego zadań z zakresu ochrony danych osobowych. Jednocześnie ADO powołujący ABI ma obowiązek zapewnić środki i organizacyjną odrębność ABI.

2. Obowiązki ABI

ABI powołany w danej jednostce organizacyjnej ma obowiązek:

a) zapewnić przestrzeganie przepisów o ochronie danych osobowych (w szczególności przez: sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych; nadzorowanie opracowania i aktualizowania dokumentacji opisującej ochronę danych osobowych oraz przestrzegania zasad w niej określonych; zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych),

b) prowadzić rejestr zbiorów danych przetwarzanych przez ADO, podlegających obowiązkowej rejestracji (rejestr prowadzony przez ABI jest jawny).

Tryb i sposób realizacji obowiązków przez ABI oraz sposób prowadzenia rejestru zbiorów danych osobowych zostały określone w rozporządzeniu Ministra Administracji i Cyfryzacji z 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji.

3. Właściwości Generalnego Inspektora Ochrony Danych Osobowych [GIODO]

GIODO został zobowiązany do prowadzenia rejestru administratorów danych osobowych (obok prowadzonego dotąd rejestru zbiorów danych osobowych). GIODO może także obecnie zwrócić się z wnioskiem do ABI (wpisanego do rejestru prowadzonego przez GIODO) o sprawdzenie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz o opracowanie w tym zakresie sprawozdania dla administratora danych. Takie sprawozdanie w świetle nowych przepisów należy za pośrednictwem Administratora Danych Osobowych przekazywać do GIODO.

4. Zasady rejestracji zbiorów danych osobowych

Zgodnie ze znowelizowanymi przepisami obowiązkowi rejestracji nie podlegają zbiory danych osobowych przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, a ponadto Administrator Danych Osobowych, który powołał w ramach swej struktury ABI (i zgłosił go do rejestracji u GIODO), także nie podlega obowiązkowi rejestracji zbiorów danych osobowych.

Zmianie zasad rejestracji nie podlegają natomiast zbiory zawierające tzw. dane osobowe wrażliwe (tj. ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym).

5. Obowiązek zgłoszenia zbioru do rejestracji GIODO - zasady ogólne

Obowiązek zgłoszenia zbioru do rejestracji GIODO ciąży na tzw. administratorze danych, z wyjątkiem przypadków enumeratywnie wskazanych w ustawie (art. 43 ustawy o ochronie danych osobowych).

Zwolnieni z obowiązku rejestracji zbioru danych są administratorzy danych:

● zawierających informacje niejawne;
● które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności;
● przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym;
● przetwarzanych przez Generalnego Inspektora Informacji Finansowej;
● przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;
● przetwarzanych przez właściwe organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej;
● dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego;
● przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się;
● dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;
● tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego;
● dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności;
● przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;
● powszechnie dostępnych;
● przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego;
● przetwarzanych w zakresie drobnych bieżących spraw życia codziennego;
● przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

UWAGA!

Obowiązkowi rejestracji zbiorów danych osobowych nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji.

Przedmiotem ochrony są informacje osobowe (dane osobowe dotyczące osób fizycznych), a zatem takie, które dotyczą konkretnych osób lub osób, które łatwo dałoby się zidentyfikować.

Zasadniczo każda firma powinna posiadać politykę bezpieczeństwa i instrukcję ochrony danych osobowych, i to niezależnie od formy prawnej i jej wielkości - administrator danych jest bowiem obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

6. Przetwarzanie danych osobowych przez biura rachunkowe

Biura rachunkowe przetwarzają dane osobowe powierzone im przez klientów. Zgodnie z art. 31 ustawy o ochronie danych osobowych dane to zostają powierzone przez klientów biurom rachunkowym na podstawie tzw. umów powierzenia danych. Najczęściej umowa taka przybiera postać umowy o świadczenie usług, do której odpowiednie zastosowanie znajdą przepisy o zleceniu.

Umowa powierzenia danych powinna być zawarta w formie pisemnej. Wprawdzie brak zachowania formy pisemnej nie wywiera skutku w postaci nieważności umowy, jednak brak jej dochowania może pociągać za sobą negatywne następstwa prawne na gruncie prawa administracyjnego. Niespełnienie bowiem wymogu formy pisemnej powoduje naruszenie przepisów ustawy o ochronie danych osobowych i może wiązać się z sankcjami w postaci decyzji administracyjnej. W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:

● usunięcie uchybień,
● uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,
● zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
● wstrzymanie przekazywania danych osobowych do państwa trzeciego,
● zabezpieczenie danych lub przekazanie ich innym podmiotom,
● usunięcie danych osobowych.

UWAGA!

Ustawa bezwzględnie wymaga, by określenie zakresu oraz celu przetwarzania danych miało formę pisemną. Ograniczenie się zatem do ustnego ustalenia zakresu oraz celu przetwarzania danych będzie oznaczać brak podstawy prawnej dostępu biura rachunkowego do danych osobowych pracowników lub klientów obsługiwanego podmiotu, a jednocześnie przekazanie przez pracodawcę danych osobowych podmiotowi nieuprawnionemu - co jest związane z ryzykiem odpowiedzialności karnej (na podstawie przepisów zawartych w rozdziale 8 ustawy o ochronie danych osobowych).

Klauzulę dotyczącą powierzenia przetwarzania danych można zamieścić bezpośrednio w standardowej umowie, jaką biuro księgowe zawiera ze swoimi klientami. Najistotniejszym wymaganiem, jakie musi spełniać taka klauzula, jest określenie zakresu oraz celu przetwarzania posiadanych danych.

PRZYKŁAD

Przykładowe postanowienia dotyczące przetwarzania danych osobowych, zawarte w standardowej umowie z biurem rachunkowym - jako postanowienia dodatkowe (tj. w umowie o tzw. usługowe prowadzenie ksiąg rachunkowych).

1. Zleceniobiorca/Biuro Rachunkowe przyjmuje, w ramach niniejszej umowy, zlecenie dotyczące przetwarzania danych osobowych w zakresie i celu określonych w niniejszej umowie.

2. Zleceniobiorca/Biuro Rachunkowe, w zakresie zleconych przez Zleceniodawcę usług przetwarzania danych osobowych, obowiązany jest podjąć środki zabezpieczające zbiór danych oraz spełnić wszelkie wymagania określone ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182, z późn. zm.) oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024), za co ponosi odpowiedzialność jak Zleceniodawca.

3. Zleceniodawca ponosi odpowiedzialność za przestrzeganie przepisów dotyczących ochrony danych osobowych, co nie wyłącza odpowiedzialności Zleceniobiorcy za przetwarzanie danych niezgodne z postanowieniami niniejszej umowy.

4. Zleceniobiorca zobowiązany jest zachować w tajemnicy przetwarzane dane osobowe oraz sposoby ich zabezpieczenia.

W przypadku zawarcia umowy powierzenia danych biuro rachunkowe nie jest administratorem powierzonych danych osobowych, ale odpowiada (podobnie jak administrator), w ograniczonym zakresie, za odpowiednie zabezpieczenie danych przed dostępem osób nieuprawnionych. Ewentualny obowiązek zgłoszenia określonego zbioru danych do GIODO w takim przypadku ciąży na kliencie biura rachunkowego jako ADO, a nie na samym biurze rachunkowym.

Umowa dotycząca przetwarzania danych jest zawierana między biurem rachunkowym a klientem biura rachunkowego - ADO. Zatem umowę przetwarzania danych osobowych podpisuje się, gdy administrator danych powierza (zleca) przetwarzanie danych innemu, zewnętrznemu podmiotowi. Przykładem takiego powierzenia jest właśnie relacja klient/ADO - biuro rachunkowe.

Podsumowując: biuro rachunkowe przetwarzające powierzone dane może je przetwarzać wyłącznie w zakresie i celu przewidzianych w umowie powierzenia danych. Biuro księgowe musi spełniać wiele wymagań nałożonych przez ustawę o ochronie danych osobowych, w szczególności do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez ADO. Upoważnienie to powinno być odrębnym, szczególnym upoważnieniem - nie wystarczy samo wskazanie takich obowiązków np. w zakresie obowiązków pracowniczych. Powinno ono określać konkretny zakres przetwarzania danych.

UWAGA!

Gdy konkretne upoważnienie nie pochodzi bezpośrednio od administratora danych, osoba, która je nadała (np. właściciel biura rachunkowego), powinna dysponować wyraźnym upoważnieniem administratora danych do dalszego nadawania upoważnień, a uprawnienia tego nie można wywodzić ani z faktu posiadania upoważnienia do przetwarzania danych, ani z faktu zatrudnienia na określonym stanowisku czy pełnienia określonej funkcji.

W efekcie klient biura rachunkowego/ADO udziela upoważnienia w zakresie przetwarzania danych firmie zewnętrznej (jaką jest tutaj biuro rachunkowe), a upoważnienia imienne dla pracowników biura księgowego do przetwarzania danych osobowych wydaje właściciel tego biura. Taką opinię wyraził także GIODO: aby właściciel biura księgowego mógł wydać upoważnienie swoim pracownikom do przetwarzania danych osobowych, powinien zostać do tego uprawniony przez swego klienta, który mu zlecił prowadzenie dokumentacji księgowej.

Upoważnienie pracownika biura rachunkowego do dostępu do danych osobowych

Zatem pracownicy biura rachunkowego mający dostęp do powierzonych danych (pracujący na nich, przetwarzający je) powinni legitymować się imiennymi upoważnieniami, które swą legitymację znajdują w upoważnieniu generalnym udzielonym biuru rachunkowemu przez klienta będącego ADO.

Biura rachunkowe niebędące podmiotami zobowiązanymi z racji specyfiki prowadzonej działalności do dokonania zgłoszenia do GIODO podlegają jedynie w ograniczonym zakresie nowelizacji przepisów ustawy o ochronie danych osobowych. Oznacza to konieczność opracowania i wdrożenia dokumentacji wewnętrznej. Każde biuro rachunkowe jest zobowiązane do zabezpieczenia przekazanych/powierzonych danych, a w konsekwencji zatem do stosowania się do polityki bezpieczeństwa. Jeśli jednak biuro rachunkowe zadbało o zawarcie ze swymi klientami odpowiednich umów powierzenia danych, nie musi ani wyznaczać ABI, ani też zgłaszać zbioru danych do GIODO.

7. Polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym w biurze rachunkowym

Biuro rachunkowe musi posiadać wymaganą przez ustawę o ochronie danych osobowych dokumentację przetwarzania danych osobowym, tj. politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym, w którym przetwarzane są dane osobowe, oraz stosować określone w dokumentacji środki bezpieczeństwa. Na dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną składają się bowiem właśnie polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Przepis art. 31 ustawy o ochronie danych osobowych upoważnia administratora danych do powierzenia, w drodze zawartej w formie pisemnej umowy, przetwarzania tych danych innemu podmiotowi. Gdy administrator danych skorzysta z tego upoważnienia, dochodzi do zlecenia "na zewnątrz" przetwarzania danych. Podmiot, któremu administrator powierzył przetwarzanie danych, może je jednak przetwarzać wyłączne w zakresie i w celu określonych w umowie. Przed rozpoczęciem przetwarzania danych jest on obowiązany podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39 ustawy, i spełnić wymagania określone w przepisach, o których mowa w art. 39a wskazanej ustawy, tj. odnoszące się do polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym (tak GIODO w decyzji z 29 maja 2013 r., sygn. DOLiS/DEC-595/13/33662).

Polityka bezpieczeństwa zawiera w szczególności:

● wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
● wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
● opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
● sposób przepływu danych pomiędzy poszczególnymi systemami;
● określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Z kolei instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych zawiera w szczególności:

● procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
● stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
● procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
● procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
● sposób, miejsce i okres przechowywania:
● elektronicznych nośników informacji zawierających dane osobowe,
● kopii zapasowych;
● sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
● procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

UWAGA!

Dokumentacja dotycząca polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych powinna być prowadzona w formie pisemnej.

PRZYKŁAD

Jan Kowalski i Anna Kowalska prowadzą biuro rachunkowe. Działalność gospodarczą z zakresu usługowego prowadzenia ksiąg rachunkowych prowadzą w formie spółki cywilnej, której są jedynymi wspólnikami. Kto w takim przypadku jest administratorem danych osobowych - każdy z nich z osobna, czy też spółka?

Status administratora danych przysługuje każdemu ze wspólników spółki cywilnej. Spółka cywilna nie jest bowiem jednostką organizacyjną, natomiast każdy ze wspólników jest osobą fizyczną przetwarzającą dane osobowe w związku z działalnością zarobkową lub zawodową. Podobnie w zakresie decydowania o calach i środkach przetwarzania danych osobowych należy uznać, że jest ono podejmowane przez każdego ze wspólników w celu osiągnięcia wspólnego celu gospodarczego spółki, gdyż spółka cywilna, nie posiadając podmiotowości prawnej, nie może posiadać ani wykonywać żadnego władztwa decyzyjnego.

Administratorem danych może być organ państwowy lub samorządu terytorialnego, państwowa lub komunalna jednostka organizacyjna, podmiot niepubliczny realizujący zadania publiczne, a także osoba fizyczna i prawna oraz jednostka organizacyjna niebędąca osobą prawną, które przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

Spółka cywilna nie występuje jako samodzielny podmiot ani w stosunkach cywilnoprawnych, ani w obrocie gospodarczym. Nie posiada zdolności sądowej, procesowej, wekslowej, upadłościowej ani układowej. Zdolności te posiadają wyłącznie wspólnicy spółki cywilnej.

Wyłącznie zatem wspólnicy spółki cywilnej spełniają zarówno kryterium podmiotowe, jak i przedmiotowe, niezbędne do zakwalifikowania danego podmiotu jako administratora danych.

Obowiązki biura rachunkowego:

● opracowanie i wdrożenie polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym - polityki kluczy;
● wystawienie pracownikom imiennych upoważnień do przetwarzania danych osobowych klientów biura;
● prowadzenie ewidencji osób/pracowników upoważnionych do przetwarzania danych osobowych;
● zapewnienie odpowiednich środków technicznych i organizacyjnych gwarantujących bezpieczeństwo powierzonych danych osobowych;
● ograniczenie osobom nieupoważnionym dostępu do przetwarzanych danych osobowych.

8. Obowiązkowe ubezpieczenie OC w zakresie usługowego prowadzenia ksiąg rachunkowych

Przedsiębiorcy prowadzący działalność w zakresie usługowego prowadzenia ksiąg rachunkowych są zobowiązani do zawarcia umowy ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone w związku z tą działalnością.

Usługowe prowadzenie ksiąg rachunkowych polega zaś na świadczeniu usług w zakresie następujących czynności:

● prowadzenia, na podstawie dowodów księgowych, ksiąg rachunkowych ujmujących zapisy zdarzeń w porządku chronologicznym i systematycznym;
● okresowego ustalania lub sprawdzania drogą inwentaryzacji rzeczywistego stanu aktywów i pasywów;
● wyceny aktywów i pasywów oraz ustalania wyniku finansowego;
● sporządzania sprawozdań finansowych;
● gromadzenia i przechowywania dowodów księgowych oraz pozostałej dokumentacji przewidzianej ustawą.

UWAGA!

Obowiązek ubezpieczenia OC dla przedsiębiorców wykonujących działalność w zakresie usługowego prowadzenia ksiąg rachunkowych powstaje nie później niż w dniu poprzedzającym dzień rozpoczęcia wykonywania działalności.

Obowiązek ubezpieczenia nie obejmuje jedynie, będących przedsiębiorcami, biegłych rewidentów ani doradców podatkowych, jeżeli ubezpieczyli się oni od odpowiedzialności cywilnej za szkody wyrządzone przy wykonywaniu tych zawodów w wymienionym wcześniej zakresie.

Szczegółowy zakres obowiązkowego ubezpieczenia odpowiedzialności cywilnej przedsiębiorców prowadzących działalność w zakresie usługowego prowadzenia ksiąg rachunkowych za szkody wyrządzone w związku z prowadzoną działalnością, termin powstania obowiązku ubezpieczenia oraz minimalną sumę gwarancyjną tego ubezpieczenia określa rozporządzenie MF z 6 listopada 2014 r. w sprawie obowiązkowego ubezpieczenia odpowiedzialności cywilnej przedsiębiorców wykonujących działalność z zakresu usługowego prowadzenia ksiąg rachunkowych (Dz.U. z 2014 r., poz. 1616).

Wysokość minimalnej sumy gwarancyjnej ubezpieczenia OC, w odniesieniu do jednego zdarzenia, którego skutki są objęte umową ubezpieczenia, wynosi równowartość w złotych 10 000 euro. Kwota ta jest ustalana z zastosowaniem kursu średniego euro ogłoszonego przez Narodowy Bank Polski po raz pierwszy w roku, w którym umowa ubezpieczenia OC została zawarta.

UWAGA!

Obowiązkowe ubezpieczenie nie dotyczy osób świadczących usługi wyłącznie w zakresie prowadzenia podatkowej księgi przychodów i rozchodów lub sporządzania deklaracji podatkowych, jeśli nie są doradcami podatkowymi czy biegłymi rewidentami. Obowiązkiem ubezpieczenia są natomiast objęci przedsiębiorcy prowadzący usługowo księgi rachunkowe, a także prowadzący działalność gospodarczą doradcy podatkowi i biegli rewidenci (na podstawie odrębnych przepisów).

Kto wbrew przepisom ustawy o rachunkowości prowadzi działalność usługową w zakresie prowadzenia ksiąg rachunkowych bez spełnienia obowiązku zawarcia umowy ubezpieczenia OC, podlega grzywnie albo karze ograniczenia wolności (art. 79 pkt 7 ustawy o rachunkowości).

PRZYKŁAD

Jan Kowalski i Anna Kowalska prowadzą biuro rachunkowe w formie spółki cywilnej, której są jedynymi wspólnikami. Klientami tego biura są osoby fizyczne rozliczające się na KPiR, ryczał, PIT-y roczne, deklaracje VAT. Biuro zajmuje się też sprawami kadrowymi (akta osobowe pracowników klientów), listami płac, sprawami ZUS.

Czy ubezpieczenie OC musi posiadać każdy ze wspólników, czy wystarczy, że takie ubezpieczenie posiadać będzie biuro jako spółka?

Obowiązek zawarcia umowy ubezpieczenia spoczywa na każdym z przedsiębiorców (a nie na biuru rachunkowym jako spółce cywilnej) - wspólników prowadzących usługowo księgi rachunkowe. Brak wykupienia polisy dla każdego ze wspólników, i to dla każdego co najmniej na minimalną sumę gwarancyjną, stanowi naruszenie przepisów ustawy i skutkuje sankcjami (grzywna, kara ograniczenia wolności).

Zważywszy, że spółka cywilna nie posiada osobowości prawnej, nie stanowi też jednostki organizacyjnej posiadającej podmiotowość prawną jak spółki osobowe. Spółka cywilna nie stanowi podmiotu prawa. W obrocie prawnym występują jej wspólnicy. Działając w ramach spółki cywilnej zaciągają oni zobowiązania, za które są odpowiedzialni solidarnie, oraz nabywają majątek, który tak długo, jak długo trwa spółka, objęty jest ich wspólnością. Każdy ze wspólników spółki cywilnej jest odrębnym przedsiębiorcą i każdy podlega osobno rejestracji w Centralnej Ewidencji i Informacji o Działalności Gospodarczej.

Skoro spółka cywilna nie ma odrębnej podmiotowości, tym samym nie może być stroną umowy (np. ubezpieczenia OC). W przypadku zawierania umowy, w tym także umowy ubezpieczenia, jako jej stronę należy wskazać wszystkich wspólników spółki prowadzących wspólnie działalność w formie spółki cywilnej (wewnętrzny podział obowiązków między wspólników nie ma tutaj znaczenia).

ENCYKLOPEDIA KSIĘGOWEGO

Administrator danych - jest to organ, jednostka organizacyjna, podmiot lub osoba, które decydują o celach i środkach przetwarzania danych osobowych.

Administratorem danych mogą być:

● organy państwowe,
● organy samorządu terytorialnego,
● państwowe i komunalne jednostki organizacyjne,
● podmioty niepubliczne realizujące zadania publiczne,
● osoby fizyczne i osoby prawne oraz jednostki organizacyjne niebędące osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, posiadające siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej).

PODSTAWA PRAWNA:

● art. 9 ustawy z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej - Dz.U. z 2014 r. poz. 1662

● art. 3 ust. 2, art. 31, art. 36-36a, art. 37, art. 39-39a, art. 41, art. 43 ust. 1 pkt 4-5 i pkt 8, art. 53 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych - j.t. Dz.U. z 2015 r. poz. 2135; ost.zm. Dz.U. z 2015 r. poz. 2281

● art. 4 ust. 3 pkt 2-6, art. 76h, art. 79 pkt 7 ustawy z 29 września 1994 r. o rachunkowości - j.t. Dz.U. z 2013 r. poz. 330; ost.zm. Dz.U. z 2015 r. poz. 1893

● § 2-5 rozporządzenia Ministra Finansów z 6 listopada 2014 r. w sprawie obowiązkowego ubezpieczenia odpowiedzialności cywilnej przedsiębiorców wykonujących działalność z zakresu usługowego prowadzenia ksiąg rachunkowych - Dz.U. z 2014 r., poz. 1616

Emilia Bartkowiak

radca prawny