parlando per buon senso, non conoscendo le varie norme in ambito sicurezza, ti conviene tenere i vari log in separati, anche perché se il tizio avrà bisogno di aggiungere dipendenti o deve aggiungerne 1-2, oppure una valanga, ma in ogni caso non è un lavoro continuo, quindi può benissimo fare un login quando ne ha bisogno, di mondo anche da non far cazzate(è pieno di ebeti a questo mondo).
I clienti in genere li fa chi riceve la richiesta, quindi i dipendenti(o chi che sia), però se preferisci puoi salvare i vari dati e fin quando l'amministratore non accetta non vengono salvati sul database.
Riguardo i clienti è più rognosa, se un cliente cambia indirizzo o sbaglia a inserire qualche campo come fai? Potresti inoltrare le richieste di modifiche dal cliente all'amministratore, ma in questo caso addio privacy, quindi per me ti conviene lasciar modificare al cliente, se questo cambia via gli si rispedirà il documento, oppure puoi tener traccia dei documenti(chi è l'interessato, quando è stato fatto il documento, etc), e quando il cliente modifica i dati si controlla tra i documenti e in caso li si ristampano, tanto in un azienda la carta non manca.