Czy biuro rachunkowe jest administratorem danych czy procesorem

Administrator danych (ADO) to organ, jednostka organizacyjna, podmiot lub osoba fizyczna czy prawna prowadząca działalność gospodarczą, decydujące o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 ustawy o ochronie danych osobowych – uodo). Jeśli podmiot przetwarza dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, ustawowych, to jest administratorem danych.

Przetwarzanie danych to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych – art. 4 ust. 2 uodo.

Procesor, inaczej „podmiot przetwarzający”, oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Jeżeli więc administrator danych zleca podmiotowi zewnętrznemu przetwarzanie danych, za które odpowiada administrator, dla i w imieniu administratora, to wtedy mówimy o powierzeniu danych do przetwarzania.

Podmiot, któremu powierzono dane do przetwarzania, nie jest ich administratorem, nie decyduje, co można z tymi danymi zrobić, nie może ich wykorzystywać dla własnych celów. Jest to procesor, który realizuje zadania i cele określone przez administratora danych.

Biuro rachunkowe jest z jednej strony administratorem danych, bo przetwarza dane swoich pracowników, współpracowników, kontrahentów, czy klientów. Z drugiej natomiast strony jest najczęściej procesorem, bo są mu powierzane dane z innych firm, współpracujących z biurem, na przykład w zakresie obsługi księgowo-kadrowej. To te firmy są administratorami danych, a powierzają do zewnętrznego biura rachunkowego dane czy to swoich pracowników, czy dotyczące transakcji, w celu realizacji odpowiednich usług.

Administrator danych może powierzyć innemu podmiotowi przetwarzanie danych, ale w drodze umowy zawartej na piśmie. Podmiot przetwarzający (procesor) może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (art. 31 ustawy o ochronie danych osobowych). Na często padające pytanie, czy pracodawca zlecający podmiotowi zewnętrznemu prowadzenie obsługi księgowej ma również obowiązek zawarcia z nim umowy powierzenia przetwarzania danych osobowych, należy odpowiedzieć twierdząco. Tak, ma taki obowiązek, gdyż wynika to z ustawy o ochronie danych osobowych, a prowadzenie dokumentacji księgowej wiąże się nierozerwalnie z przetwarzaniem danych osobowych pracowników.

Pracodawca, udostępniając dane osobowe pracowników podmiotowi zewnętrznemu w celu prowadzenia obsługi księgowej swojej dokumentacji, ma obowiązek zawrzeć z nim odrębną umowę powierzenia danych osobowych. Często pracodawca mylnie uważa, że skoro udzielił podmiotowi zewnętrznemu pełnomocnictwa do jego reprezentowania (np. przed Urzędem Skarbowym i Zakładem Ubezpieczeń Społecznych) we wszystkich sprawach związanych z prowadzeniem księgowości, to pełnomocnictwo to stanowi podstawę powierzenia przetwarzania danych osobowych.

Jest to sprzeczne z ustawą o ochronie danych osobowych, gdyż jej przepisy wyraźnie wymagają, aby umowa powierzenia przetwarzania danych osobowych była odrębną umową. Ewentualnie odpowiednie zapisy regulujące kwestie powierzenia przetwarzania danych powinny być zawarte w umowie głównej na obsługę.

Biuro rachunkowe, zarówno jako administrator danych, jak i procesor, zobowiązane jest zastosować odpowiednie środki bezpieczeństwa i przestrzegać zasad i przepisów dotyczących ochrony danych. Generalnie za bezpieczeństwo swoich danych zawsze odpowiada administrator, ale nie wyłącza to odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. Jeszcze bardziej rygorystycznie reguluje te kwestie ogólne rozporządzenie UE o ochronie danych (rodo), które ma obowiązywać od maja 2018 roku.

Tamtejsze zapisy mówią, że aby zapewnić przestrzeganie wymogów rozporządzenia w przypadku przetwarzania, którego w imieniu administratora ma dokonać podmiot przetwarzający, administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów, które zapewniają wystarczające gwarancje – w szczególności, jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania.