Czy biuro rachunkowe jest administratorem danych czy procesorem

Piotr Glen

Autor: Piotr Glen

Dodano:
Dokument archiwalny
Czy biuro rachunkowe jest administratorem danych czy procesorem

Administrator danych to podmiot, który decyduje o celach i środkach ich przetwarzania. Prosecor przetwarza dane jedynie „na zlecenia” administratora i sam nie może z nich korzystać we własnych celach. Jaki status w związku z tym będzie miało biuro rachunkowe?

Administrator danych (ADO) to organ, jednostka organizacyjna, podmiot lub osoba fizyczna czy prawna prowadząca działalność gospodarczą, decydujące o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 ustawy o ochronie danych osobowych – uodo). Jeśli podmiot przetwarza dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, ustawowych, to jest administratorem danych.

Przykład

Administratorem danych będzie spółka reprezentowana przez zarząd, firma prywatna reprezentowana przez właściciela, samorządowa jednostka organizacyjna reprezentowana przez dyrektora, czy urząd reprezentowany przez wójta, burmistrza, czy ministra itp.

Przetwarzanie danych to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych – art. 4 ust. 2 uodo.

Procesor, inaczej „podmiot przetwarzający”, oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Jeżeli więc administrator danych zleca podmiotowi zewnętrznemu przetwarzanie danych, za które odpowiada administrator, dla i w imieniu administratora, to wtedy mówimy o powierzeniu danych do przetwarzania.

Podmiot, któremu powierzono dane do przetwarzania, nie jest ich administratorem, nie decyduje, co można z tymi danymi zrobić, nie może ich wykorzystywać dla własnych celów. Jest to procesor, który realizuje zadania i cele określone przez administratora danych.

Biuro rachunkowe – procesor czy administrator danych

Biuro rachunkowe jest z jednej strony administratorem danych, bo przetwarza dane swoich pracowników, współpracowników, kontrahentów, czy klientów. Z drugiej natomiast strony jest najczęściej procesorem, bo są mu powierzane dane z innych firm, współpracujących z biurem, na przykład w zakresie obsługi księgowo-kadrowej. To te firmy są administratorami danych, a powierzają do zewnętrznego biura rachunkowego dane czy to swoich pracowników, czy dotyczące transakcji, w celu realizacji odpowiednich usług.

Administrator danych może powierzyć innemu podmiotowi przetwarzanie danych, ale w drodze umowy zawartej na piśmie. Podmiot przetwarzający (procesor) może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (art. 31 ustawy o ochronie danych osobowych). Na często padające pytanie, czy pracodawca zlecający podmiotowi zewnętrznemu prowadzenie obsługi księgowej ma również obowiązek zawarcia z nim umowy powierzenia przetwarzania danych osobowych, należy odpowiedzieć twierdząco. Tak, ma taki obowiązek, gdyż wynika to z ustawy o ochronie danych osobowych, a prowadzenie dokumentacji księgowej wiąże się nierozerwalnie z przetwarzaniem danych osobowych pracowników.

Pracodawca, udostępniając dane osobowe pracowników podmiotowi zewnętrznemu w celu prowadzenia obsługi księgowej swojej dokumentacji, ma obowiązek zawrzeć z nim odrębną umowę powierzenia danych osobowych. Często pracodawca mylnie uważa, że skoro udzielił podmiotowi zewnętrznemu pełnomocnictwa do jego reprezentowania (np. przed Urzędem Skarbowym i Zakładem Ubezpieczeń Społecznych) we wszystkich sprawach związanych z prowadzeniem księgowości, to pełnomocnictwo to stanowi podstawę powierzenia przetwarzania danych osobowych.

Jest to sprzeczne z ustawą o ochronie danych osobowych, gdyż jej przepisy wyraźnie wymagają, aby umowa powierzenia przetwarzania danych osobowych była odrębną umową. Ewentualnie odpowiednie zapisy regulujące kwestie powierzenia przetwarzania danych powinny być zawarte w umowie głównej na obsługę.

Za bezpieczeństwo danych odpowiada administrator

Biuro rachunkowe, zarówno jako administrator danych, jak i procesor, zobowiązane jest zastosować odpowiednie środki bezpieczeństwa i przestrzegać zasad i przepisów dotyczących ochrony danych. Generalnie za bezpieczeństwo swoich danych zawsze odpowiada administrator, ale nie wyłącza to odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. Jeszcze bardziej rygorystycznie reguluje te kwestie ogólne rozporządzenie UE o ochronie danych (rodo), które ma obowiązywać od maja 2018 roku.

Tamtejsze zapisy mówią, że aby zapewnić przestrzeganie wymogów rozporządzenia w przypadku przetwarzania, którego w imieniu administratora ma dokonać podmiot przetwarzający, administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów, które zapewniają wystarczające gwarancje – w szczególności, jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania.

Ważne:

Stosowanie przez podmiot przetwarzający zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji może posłużyć za element wykazujący wywiązywanie się z obowiązków administratora.

Piotr Glen

Autor: Piotr Glen

doświadczony administrator bezpieczeństwa informacji pełniący tę funkcję dla wielu firm i instytucji, trener i audytor

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl
Strona używa plików cookies. Korzystając ze strony użytkownik wyraża zgodę na używanie plików cookies.
wiper-pixel