Nadawanie upoważnień do przetwarzania danych osobowych

Administratorem danych osobowych, czyli podmiotem upoważnionym do wykonywania różnych operacji na danych osobowych może być konkretna firma. Nie oznacza to jednak, że uprawnienia administratora zyskuje automatycznie każdy pracownik danego przedsiębiorstwa. Wymagane jest w tym celu nadanie wybranym osobom odpowiedniego upoważnienia. Operacje na danych osobowych to m.in.: zbieranie, utrwalanie, przechowywanie, opracowywanie, modyfikowanie, udostępnianie czy usuwanie danych.

Nadawanie upoważnień do przetwarzania danych osobowych

Rafał Stępniewski

9 kwietnia 2018

Administratorem danych osobowych, czyli podmiotem upoważnionym do wykonywania różnych operacji na danych osobowych może być konkretna firma. Nie oznacza to jednak, że uprawnienia administratora zyskuje automatycznie każdy pracownik danego przedsiębiorstwa. Wymagane jest w tym celu nadanie wybranym osobom odpowiedniego upoważnienia. Operacje na danych osobowych to m.in.: zbieranie, utrwalanie, przechowywanie, opracowywanie, modyfikowanie, udostępnianie czy usuwanie danych.

Powierzenie czy upoważnienie

Warto na samym początku rozróżnić pojęcie powierzenia oraz upoważnienia do przetwarzania danych. O powierzeniu mówimy w sytuacji, kiedy przetwarzanie danych odbywa się na podstawie umowy przez zewnętrzny podmiot. Z kolei upoważnienie to nadanie uprawnienia do przetwarzania danych osobowych pracownikowi wewnątrz struktury tego samego przedsiębiorstwa.

Obowiązująca do 24 maja br. ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych w art. 37 wymagała, aby system informatyczny, który pozwala na przetwarzanie danych osobowych był obsługiwany wyłącznie przez osoby, które zostały do tego upoważnione przez administratora danych osobowych. Podobne rozwiązanie wynika z art. 29 RODO, choć nie zostało  jednoznacznie wskazane, aby istniał obowiązek pisemnego nadawania upoważnienia pracownikowi do przetwarzania danych osobowych. Wciąż jednak zalecane jest stosowanie upoważnień papierowych  w celu kontroli nad tym, kto posiada dostęp do danych. Dobrym rozwiązaniem jest także prowadzenie rejestru upoważnień, czyli wykazu pracowników wraz ze wskazaniem zakresu ich dostępu do danych i czynności przetwarzania oraz stałe jego aktualizowanie.

Jak powinno wyglądać upoważnienie do przetwarzania danych osobowych

Przepisy prawa nie przewidują szczegółowych wytycznych co do treści upoważnienia do przetwarzania danych osobowych. Taki dokument powinien zawierać informacje o aktualnym administratorze oraz dane pracownika, któremu przyznawane jest uprawnienie wraz z datą i miejscem wystawienia.

Kolejnym niezbędnym elementem w dokumencie jest wskazanie zakresu danych, które pracownik będzie miał prawo przetwarzać. W przeciwieństwie do krajowej, dotychczas obowiązującej ustawy o ochronie danych osobowych, RODO skupia się na procesach przetwarzania danych, a nie na ich zbiorach. Oznacza to, że w upoważnieniu powinny znaleźć się informacje o tym, do jakich procesów przetwarzania pracownik będzie miał dostęp.

Upoważnienie powinno również zawierać zapis mówiący o tym, że przetwarzanie danych osobowych przez wskazanego pracownika będzie odbywać się zgodnie z poleceniami administratora i przez określony czas – zwykle do momentu zakończenia zatrudnienia w danej firmie. Warto dodać też zapis umożliwiający cofnięcie upoważnienia w dowolnym momencie.

Zalecanym elementem upoważnienia jest również nałożenie na pracownika obowiązku zachowania poufności nie tylko przez okres, w którym przetwarza on dane, ale również po cofnięciu upoważnienia oraz ewentualnym rozwiązaniu umowy o pracę.

Upoważnienie powinno być sporządzone w formie pisemnej, aby pracownik mógł się pod nim podpisać. W ten sposób potwierdza, że jest świadomy ciążącej na nim odpowiedzialności oraz zakresu, w jakim będzie mógł przetwarzać dane. Upoważnienie może być osobnym dokumentem,  jak również stanowić dodatkowy punkt w umowie o pracę podpisywanej w momencie rozpoczęcia zatrudnienia (o ile początkowy zakres obowiązków przewiduje przetwarzanie danych osobowych).

Przetwarzanie bez upoważnienia

Unijne przepisy dotyczące ochrony danych osobowych określają (również w art. 29), że szczególne przepisy prawa krajowego lub europejskiego mogą zezwolić na przetwarzanie danych osobowych bez konieczności posiadania stosownego upoważnienia. Takie szczególne prawa posiadają np. osoby sprawujące stanowiska kontrolne lub nadzorcze.

Ewidencja osób upoważnionych

Administrator  może również prowadzić rejestr osób posiadających takie uprawnienia. Na gruncie poprzednio obowiązujących przepisów prowadzenie rejestru było obowiązkiem administratora. W nowym porządku prawnym, po rozpoczęciu stosowania RODO, nie ma już konieczności prowadzenia takiej ewidencji, a prowadzenie rejestru należy wyłącznie do dobrych praktyk.

Rejestr upoważnień może być przydatny w przypadku kontroli oraz konieczności wskazania, którzy pracownicy posiadali dostęp do poufnych danych i mogą być odpowiedzialni za wystąpienie incydentu, np. wycieku danych. Prowadzenie rejestru jest praktycznym rozwiązaniem – administrator ma wszelkie upoważnienia zebrane w jednym miejscu i może je na bieżąco aktualizować.

Upoważnienia powinny być stale aktualizowane w następujących przypadkach:

  • zmiana zakresu obowiązków pracownika,
  • rozpoczęcie współpracy z nowym pracownikiem,
  • rozwiązanie umowy z pracownikiem upoważnionym do przetwarzania danych.

Dostęp do danych bez upoważnienia

Jedynie osoby posiadające nadane przez administratora upoważnienia są uprawnione do przetwarzania danych w zakresie ustalonym w tym dokumencie. Dokonywanie jakichkolwiek zmian bez upoważnienia będzie stanowiło naruszenie przepisów o ochronie danych osobowych i może skutkować karami dla administratora.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!