nr tel.: 22 390 91 05

Inne marki
Rzetelnej Grupy

Rzetelny Regulamin Rzetelny Prawnik Rzetelna Umowa Prawo Konsumenckie Rzetelny Konkurs

Nadawanie upoważnień do przetwarzania danych osobowych

Autor: Rafał Stępniewski Data: 09 kwietnia 2018

Administratorem danych osobowych, czyli podmiotem upoważnionym do wykonywania różnych operacji na danych osobowych może być konkretna firma. Nie oznacza to jednak, że uprawnienia administratora zyskuje automatycznie każdy pracownik danego przedsiębiorstwa. Wymagane jest w tym celu nadanie wybranym osobom odpowiedniego upoważnienia. Operacje na danych osobowych to m.in.: zbieranie, utrwalanie, przechowywanie, opracowywanie, modyfikowanie, udostępnianie czy usuwanie danych.

Powierzenie czy upoważnienie

Warto na samym początku rozróżnić pojęcie powierzenia oraz upoważnienia do przetwarzania danych. O powierzeniu mówimy w sytuacji, kiedy przetwarzanie danych odbywa się na podstawie umowy przez zewnętrzny podmiot. Z kolei upoważnienie to nadanie uprawnienia do przetwarzania danych osobowych pracownikowi wewnątrz struktury tego samego przedsiębiorstwa.

Obowiązująca do 24 maja br. ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych w art. 37 wymagała, aby system informatyczny, który pozwala na przetwarzanie danych osobowych był obsługiwany wyłącznie przez osoby, które zostały do tego upoważnione przez administratora danych osobowych. Podobne rozwiązanie wynika z art. 29 RODO, choć nie zostało  jednoznacznie wskazane, aby istniał obowiązek pisemnego nadawania upoważnienia pracownikowi do przetwarzania danych osobowych. Wciąż jednak zalecane jest stosowanie upoważnień papierowych  w celu kontroli nad tym, kto posiada dostęp do danych. Dobrym rozwiązaniem jest także prowadzenie rejestru upoważnień, czyli wykazu pracowników wraz ze wskazaniem zakresu ich dostępu do danych i czynności przetwarzania oraz stałe jego aktualizowanie.

Jak powinno wyglądać upoważnienie do przetwarzania danych osobowych

Przepisy prawa nie przewidują szczegółowych wytycznych co do treści upoważnienia do przetwarzania danych osobowych. Taki dokument powinien zawierać informacje o aktualnym administratorze oraz dane pracownika, któremu przyznawane jest uprawnienie wraz z datą i miejscem wystawienia.

Kolejnym niezbędnym elementem w dokumencie jest wskazanie zakresu danych, które pracownik będzie miał prawo przetwarzać. W przeciwieństwie do krajowej, dotychczas obowiązującej ustawy o ochronie danych osobowych, RODO skupia się na procesach przetwarzania danych, a nie na ich zbiorach. Oznacza to, że w upoważnieniu powinny znaleźć się informacje o tym, do jakich procesów przetwarzania pracownik będzie miał dostęp.

Upoważnienie powinno również zawierać zapis mówiący o tym, że przetwarzanie danych osobowych przez wskazanego pracownika będzie odbywać się zgodnie z poleceniami administratora i przez określony czas – zwykle do momentu zakończenia zatrudnienia w danej firmie. Warto dodać też zapis umożliwiający cofnięcie upoważnienia w dowolnym momencie.

Zalecanym elementem upoważnienia jest również nałożenie na pracownika obowiązku zachowania poufności nie tylko przez okres, w którym przetwarza on dane, ale również po cofnięciu upoważnienia oraz ewentualnym rozwiązaniu umowy o pracę.

Upoważnienie powinno być sporządzone w formie pisemnej, aby pracownik mógł się pod nim podpisać. W ten sposób potwierdza, że jest świadomy ciążącej na nim odpowiedzialności oraz zakresu, w jakim będzie mógł przetwarzać dane. Upoważnienie może być osobnym dokumentem,  jak również stanowić dodatkowy punkt w umowie o pracę podpisywanej w momencie rozpoczęcia zatrudnienia (o ile początkowy zakres obowiązków przewiduje przetwarzanie danych osobowych).

Przetwarzanie bez upoważnienia

Unijne przepisy dotyczące ochrony danych osobowych określają (również w art. 29), że szczególne przepisy prawa krajowego lub europejskiego mogą zezwolić na przetwarzanie danych osobowych bez konieczności posiadania stosownego upoważnienia. Takie szczególne prawa posiadają np. osoby sprawujące stanowiska kontrolne lub nadzorcze.

Ewidencja osób upoważnionych

Administrator  może również prowadzić rejestr osób posiadających takie uprawnienia. Na gruncie poprzednio obowiązujących przepisów prowadzenie rejestru było obowiązkiem administratora. W nowym porządku prawnym, po rozpoczęciu stosowania RODO, nie ma już konieczności prowadzenia takiej ewidencji, a prowadzenie rejestru należy wyłącznie do dobrych praktyk.

Rejestr upoważnień może być przydatny w przypadku kontroli oraz konieczności wskazania, którzy pracownicy posiadali dostęp do poufnych danych i mogą być odpowiedzialni za wystąpienie incydentu, np. wycieku danych. Prowadzenie rejestru jest praktycznym rozwiązaniem – administrator ma wszelkie upoważnienia zebrane w jednym miejscu i może je na bieżąco aktualizować.

Upoważnienia powinny być stale aktualizowane w następujących przypadkach:

  • zmiana zakresu obowiązków pracownika,
  • rozpoczęcie współpracy z nowym pracownikiem,
  • rozwiązanie umowy z pracownikiem upoważnionym do przetwarzania danych.

Dostęp do danych bez upoważnienia

Jedynie osoby posiadające nadane przez administratora upoważnienia są uprawnione do przetwarzania danych w zakresie ustalonym w tym dokumencie. Dokonywanie jakichkolwiek zmian bez upoważnienia będzie stanowiło naruszenie przepisów o ochronie danych osobowych i może skutkować karami dla administratora.

Jeżeli ar­ty­kuł przydał Ci się, udostępnij go in­nym. Pomóż nam dzielić się wiedzą. Dzięki po­niż­szym przy­ci­skom zaj­mie ci to chwilę.


Podziel się na Facebook Podziel się na Twitter Podziel się na LinkedIn