Biuro rachunkowe – administrator danych czy procesor

Administrator danych to organ, jednostka organizacyjna, podmiot lub osoba fizyczna czy prawna prowadząca działalność gospodarczą, decydujące o celach i środkach przetwarzania danych osobowych. Czyli administratorem danych jest jednostka, gdzie dane osobowe są przetwarzane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, ustawowych. Będzie to więc na przykład spółka reprezentowana przez zarząd, firma prywatna reprezentowana przez właściciela, samorządowa jednostka organizacyjna reprezentowana przez dyrektora czy urząd reprezentowany przez wójta, burmistrza czy ministra itp.

Możemy też śmiało powiedzieć, że każdy pracodawca jest administratorem danych z racji przetwarzania danych swoich pracowników. Natomiast nie każdy administrator danych musi być pracodawcą, chociażby osoba fizyczna prowadząca jednoosobową działalność gospodarczą, na przykład właściciel sklepu internetowego, który nie zatrudnia pracowników, ale przetwarza dane klientów swojego sklepu.

Natomiast procesor, inaczej „podmiot przetwarzający”, oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora danych. Jeżeli więc administrator danych zleca podmiotowi zewnętrznemu przetwarzanie danych, za które odpowiada administrator, dla i w imieniu administratora, to wtedy mówimy o powierzeniu danych do przetwarzania. Podmiot, któremu powierzono dane do przetwarzania, nie jest ich administratorem, nie decyduje, co można z tymi danymi zrobić, nie może ich wykorzystywać do własnych celów. Jest to procesor, który realizuje zadania i cele określone przez administratora danych.

Biuro rachunkowe jest z jednej strony administratorem danych, bo przetwarza dane swoich pracowników, współpracowników, kontrahentów czy klientów. Z drugiej natomiast strony jest najczęściej procesorem, bo są mu powierzane dane z innych firm, współpracujących z biurem, na przykład w zakresie obsługi księgowo-kadrowej. To te firmy są administratorami danych, a powierzają do zewnętrznego biura rachunkowego dane czy to swoich pracowników, czy dotyczące transakcji, w celu realizacji odpowiednich usług.

Administrator danych może powierzyć innemu podmiotowi przetwarzanie danych, ale w drodze umowy zawartej na piśmie. Podmiot przetwarzający (procesor) może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. Na często więc padające pytanie, czy pracodawca zlecający podmiotowi zewnętrznemu prowadzenie obsługi księgowej, ma również obowiązek zawarcia z nim umowy powierzenia przetwarzania danych osobowych, należy odpowiedzieć twierdząco. Tak, ma taki obowiązek, gdyż wynika to z przepisów prawa, a prowadzenie dokumentacji księgowej wiąże się nierozerwalnie z przetwarzaniem danych osobowych pracowników.