Administrator czy podmiot przetwarzający – uregulowanie współpracy z klientem a ochrona danych osobowych

Czy wiesz jaką rolę pełnisz w trakcie świadczenia usług księgowych i finansowych? Rolę administratora czy podmiotu przetwarzającego? Wiesz jakie zadania i obowiązki z tego wynikają?

 

Przetwarzanie danych osobowych jest nieodłącznym elementem usług księgowych i finansowych. Należy pamiętać, że kwestie związane z przetwarzaniem danych osobowych powinny być uporządkowane jeszcze przed rozpoczęciem współpracy z klientem. Przedsiębiorca powinien być świadomy tego, czy w trakcie świadczenia usług pełni rolę administratora danych osobowych, czy też podmiotu przetwarzającego.

 

Rola administratora i podmiotu przetwarzającego

W dużym uogólnieniu, administrator decyduje o celu przetwarzania i środkach jakich do tego celu użyje. Ponadto, administrator często kieruje się standardami wykonywania zawodu oraz ma ustawowo przypisaną niezależność. Ta niezależność uniemożliwia przyjmowanie wskazówek od klientów, co wpływałoby na czynności przetwarzania. Administrator też decyduje o tym kiedy zakończyć przetwarzanie danych lub posiłkuje się przy tym wytycznymi ustawowymi.

Podmiot przetwarzający, zwany też procesorem, nie przetwarza danych osobowych we własnym celu. Ponadto procesor nie decyduje o środkach przetwarzania, a także usuwa dane z polecenia administratora.

 

 Powyższa problematyka ma zastosowanie w obszarze usług księgowych i finansowych i jest jedną z kwestii, która powinna być uregulowana już na pierwszym etapie rozpoczynania współpracy z klientem.

 

Jakie błędy popełniają podmioty przetwarzające?

Rola procesora pociąga za sobą obowiązek zawarcia umowy powierzenia danych osobowych do przetwarzania. Czynność ta z pozoru jest banalna, ale mimo upływu blisko 4 lat od rozpoczęcia stosowania przepisów RODO, nadal popełniane są błędy przy jej realizowaniu – m.in.:

  • niewykazywanie informacji o dalszych podmiotach przetwarzających,
  • niewykazywanie informacji o transferze danych poza Europejski Obszar Gospodarczy,
  • brak usuwania danych osobowych po zakończeniu świadczenia usług.

 

W związku z powyższym w trakcie trwania tegorocznego Kongresu Księgowych i Ekspertów Finansowych organizowanego przez Polski Instytut Rozwoju Biznesu, w ramach swojej prelekcji przedstawię wskazówki pozwalające na ustalenie, czy w trakcie świadczenia usług pełnimy rolę administratora czy podmiotu przetwarzającego. Postaram się też wyjaśnić, na które elementy umowy powierzenia danych osobowych do przetwarzania warto zwrócić uwagę w trakcie jej formułowania i podpisywania. Krótko porozmawiamy także o tym, jak kształtują się obowiązki przy regulowaniu współpracy z klientami podczas pełnienia roli administratora.

 

Serdecznie zapraszam – tutaj znajduje się link do zapisów na >> Kongres Księgowych i Ekspertów Finansowych << 

 

 Kacper Rączkowiak – inspektor ochrony danych osobowych, prawnik. Realizuje kompleksowe usługi z zakresu ochrony danych osobowych dla klientów Grant Thornton Frąckowiak, w tym także outsourcing funkcji inspektora ochrony danych. Audytor wewnętrzny systemu zarządzania bezpieczeństwem informacji zgodnego z normą PN-ISO/IEC 27001:2017. Absolwent Uniwersytetu Mikołaja Kopernika w Toruniu. W przeszłości zajmował także stanowiska administratora bezpieczeństwa informacji. Łączył te funkcję z pracą w dziale prawnym dużej spółki giełdowej.

 

mm

Starszy specjalista ds. ochrony danych osobowych (IOD), Grant Thornton Frąckowiak sp. z o.o. sp. k.

Zobacz także

Skomentuj