Pytania pochodzą z Serwisu Prawa Pracy i Ubezpieczeń Społecznych:
Osoba fizyczna prowadzi biuro rachunkowe. Zatrudnia doradcę podatkowego na umowę o pracę. Głównie świadczy usługi dla firm - podpisuje umowy na prowadzenie księgowości, jak również kadr (całej dokumentacji kadrowej, w tym akt osobowych).
Czy ma obowiązek rejestracji w GIODO?
Odpowiedź: w omawianym przypadku nie ma obowiązku zgłaszania zbioru danych do rejestracji Głównego Inspektora Danych Osobowych (GIODO).
Uzasadnienie: stosownie do art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2015 r. poz. 2135 z póżn. zm.) - dalej u.o.d.o., podmiotem zobowiązanym do zgłoszenia zbioru danych do rejestracji jestadministrator danych.
Ze stanu faktycznego przedstawionego w pytaniu wynika że biuro rachunkowe nie jest administratorem danych, lecz powierzone mu zostało przetwarzanie danych, w związku prowadzeniem księgowości i prowadzeniem dokumentacji kadrowej. Działanie takie jest dopuszczalne, bowiem 31.1 u.o.d.o. pozwala administratorowi danych (w omawianym przypadku klientom biura rachunkowego) powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Umowa ta powinna określać zakres i cel przetwarzania danych (art. 31.2 u.o.d.o.).
Na podmiot, któremu powierzono przetwarzanie danych, nałożony jest jedynie obowiązek podjęcia środków zabezpieczających powierzony mu zbiór danych (art. 31.3 u.o.d.o.). Według Janusza Barty chodzi tu o środki techniczne i organizacyjne zabezpieczające dane przede wszystkim przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (Janusz Barta. Ochrona danych osobowych. Komentarz, wyd. VI, Lex 2015). W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
Zobacz: Pracodawcy muszą przestrzegać ustawy o danych osobowych
Podmiot, któremu powierzono przetwarzanie danych ponosi odpowiedzialność za przetwarzanie danych niezgodnie z umową (art. 31.4 u.o.d.o.), natomiast przepisy aktów prawnych nie obarczają tegoż podmiotu obowiązkiem zgłaszania zbioru danych do rejestracji GIODO, ponieważ ten spoczywa tylko na administratorze danych.
Nawet przy przyjęciu, że biuro rachunkowe jest administratorem danych, to w omawianym przypadku i tak będzie zwolnione z obowiązku rejestracji zbioru danych GIODO. Zgodnie bowiem z treścią art. 43.1 punkty 4 i 5 u.o.d.o. z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się oraz danych dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta. Należy zatem stwierdzić, iż skoro w omawianym przypadku biuro rachunkowe zatrudnia doradcę podatkowego oraz świadczy usługi na podstawie umów cywilnoprawnych, to jest zwolnione z obowiązku rejestracji zbioru danych GIODO.