Czy zgodnie z RODO procesor musi mieć zgodę na przetwarzanie powierzonych danych osobowych

Biuro rachunkowe, które prowadzi obsługę kadrowo-płacową na zlecenie swoich klientów, w zakresie przetwarzania danych osobowych jest traktowane jako podmiot przetwarzający (procesor). Oznacza to, że korzysta z danych osobowych przekazanych przez klienta (przetwarza je) na podstawie powierzenia przetwarzania danych osobowych. Klient (administrator danych) przekazuje do biura rachunkowego dane osobowe pracowników w celu realizacji usługi kadrowo-płacowej, czyli zgodnie z prawem ochrony danych powierza te dane do przetwarzania. Klient wciąż jest administratorem przekazanych danych i to on odpowiada za ich bezpieczeństwo. Biuro nie musi uzyskiwać od pracowników klienta zgody na przetwarzanie ich danych, które przekazał mu klient. To po stronie klienta leży obowiązek posiadania podstawy do wykorzystywania tych danych, np. musi uzyskać zgodę, a w przypadku pracowników będzie to realizacja umowy.

Podstawą przetwarzania tych danych przez biuro rachunkowe jest to, że zostały mu one powierzone (przekazane) do przetwarzania. Należy pamiętać, że przekazanie (powierzenie) danych przez klienta do biura rachunkowego musi się odbyć na podstawie umowy powierzenia. Określa to art. 28 unijnego rozporządzenia ogólnego o ochronie danych (RODO). W takiej umowie trzeba określić przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Nie trzeba podpisywać oddzielnej umowy, zapisy o powierzeniu danych do przetwarzania mogą znaleźć się również w głównej umowie na obsługę kadrowo-płacową z klientem.