Upoważnienia do przetwarzania danych osobowych

Przed 25 maja 2018 roku, czyli przed wejściem RODO, zastanawiano się, czy nowe przepisy będą wymagały wydawania upoważnień do przetwarzania danych osobowych oraz prowadzenia ewidencji osób upoważnionych. Jak się okazało — po wprowadzaniu przepisów RODO — wspomniane obowiązki zostały utrzymane.

Upoważnienia do przetwarzania danych osobowych

Katarzyna Grum

14 sierpnia 2019

Zakres upoważnienia do przetwarzania danych osobowych

Zacznijmy od kwestii najważniejszej, czyli od zakresu upoważnienia do przetwarzania danych osobowych. Takie upoważnienie wydaje administrator danych osobowych — jest to jego obowiązek, podstawą do tego jest art.29 przepisów RODO:

Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

Należy zaznaczyć, że zakres oraz cel upoważnienia powinien być ograniczony do minimum. Zakres powinien pozwalać na prawidłowe wykonywanie swoich obowiązków przez pracownika upoważnionego do przetwarzania danych. 

Zakres upoważnienia pracownika powinien być określany przez kierownika danej firmy w porozumieniu z przełożonym osoby upoważnianej. Ten zakres może również ustalić kierownik np. działu lub innej jednostki organizacyjnej, do której należy pracownik. Co ciekawe ustalanie zakresu przetwarzania danych osobowych powinno odbywać się w porozumieniu z Inspektorem Danych — jeśli oczywiście przedsiębiorstwo go wcześniej powołało. Jednak do jego obowiązków nie powinno należeć wydawanie upoważnień do przetwarzania danych osobowych, a jedynie określanie zakresu takiego upoważnienia.

Kogo i kiedy można upoważnić do przetwarzania danych osobowych?

Jak pokazuje praktyka, w każdym z firmowych działów przetwarza się w jakiś sposób dane osobowe, więc upoważnienia mogą być wydawane osobom w nich pracujących, np.

  • dział handlu — przetwarza się dane klientów,

  • dział marketingu — przetwarza się dane w tworzonych w bazach danych,

  • dział kadr — przetwarza się dane kandydatów oraz pracowników.

Upoważnieni do przetwarzania danych mogą być nie tylko pracownicy etatowi, ale również osoby realizujący umowę o dzieło lub zlecenie, a także praktykanci.

Jeżeli firma korzysta z usług zewnętrznej firmy, to kogo należy upoważnić? W takiej sytuacji powinno się zawrzeć umowę powierzenia przetwarzania danych osobowych, a mimo to administratorem danych osobowych pozostaje ich pierwotny administrator. W ramach tej umowy administrator danych może nadać upoważnienie przedstawicielowi podmiotu, któremu dane zostały powierzone — do nadawania upoważnień w imieniu “pierwotnego właściciela”.

Kto nadaje pracownikowi upoważnienie do przetwarzania danych osobowych? Jest to administrator danych osobowych lub osoba go reprezentująca. W przypadku firm jednoosobowych takie upoważnienie wydaje przedsiębiorca, a w przypadku spółek z ograniczoną odpowiedzialnością — członek zarządu. Warto, aby w procesie nadawania upoważnienia uczestniczył kierownik działu, który może nadzorować również wcześniej wspomniany zakres upoważnienia, ponieważ ma wgląd w faktyczne zadania, jakie będą wykonywane przez osobę upoważnioną.

Ewidencja osób upoważnionych

Oprócz samego nadania upoważnienia danych administrator ma obowiązek prowadzenia ewidencji osób upoważnionych, która powinna zawierać:

  • imię i nazwisko osoby upoważnionej — oprócz tego należy zapisać identyfikator (login) używany w systemie informatycznym wykorzystywanym do przetwarzania danych; jest to istotne, ponieważ system musi umożliwiać kontrolę dostępu, a zazwyczaj z takiego systemu korzysta więcej niż jedna osoba, więc należy nadać im odrębne identyfikatory;

  • datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych.

Ewidencja jest również dobrym miejscem, by zawrzeć informacje o stanowisku pracy osoby upoważnionej. Dzięki temu można ustalić, czy podany zakres rzeczywiście odpowiada czynnościom, jakimi zajmuje się osoba upoważniona.

Cykliczna weryfikacja upoważnionych osób

Przed 25 maja 2018 roku, czyli przed wejściem RODO, zastanawiano się, czy nowe przepisy będą wymagały wydawania upoważnień do przetwarzania danych osobowych oraz prowadzenia ewidencji osób upoważnionych. Jak się okazało — po wprowadzaniu przepisów RODO — wspomniane obowiązki zostały utrzymane.

Cykliczna weryfikacja upoważnionych osób to nic innego, jak sprawdzanie co jakiś czas upoważnień pracowników pod względem zachodzących zmian w organizacji, np. czy osoba wykonuje te same obowiązki, czy może dostała awans i upoważnienie jest już nieaktualne? Cykliczna weryfikacja osób upoważnionych do przetwarzania danych zalicza się do tzw. dobrych praktyk.

Jak sama nazwa wskazuje, weryfikacja jest cykliczna i powinna odbywać się co jakiś czas — ustala to firma indywidualnie, w zależności od swoich potrzeb, wielkości przedsiębiorstwa etc.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawny dla firm
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!