Upoważnienia do przetwarzania danych osobowych

Przed 25 maja 2018 roku, czyli przed wejściem RODO, zastanawiano się, czy nowe przepisy będą wymagały wydawania upoważnień do przetwarzania danych osobowych oraz prowadzenia ewidencji osób upoważnionych. Jak się okazało — po wprowadzaniu przepisów RODO — wspomniane obowiązki zostały utrzymane.

  • Rafał Stępniewski
  • /
  • 14 sierpnia 2019

Zakres upoważnienia do przetwarzania danych osobowych

Zacznijmy od kwestii najważniejszej, czyli od zakresu upoważnienia do przetwarzania danych osobowych. Takie upoważnienie wydaje administrator danych osobowych — jest to jego obowiązek, podstawą do tego jest art.29 przepisów RODO:

Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

Należy zaznaczyć, że zakres oraz cel upoważnienia powinien być ograniczony do minimum. Zakres powinien pozwalać na prawidłowe wykonywanie swoich obowiązków przez pracownika upoważnionego do przetwarzania danych. 

Zakres upoważnienia pracownika powinien być określany przez kierownika danej firmy w porozumieniu z przełożonym osoby upoważnianej. Ten zakres może również ustalić kierownik np. działu lub innej jednostki organizacyjnej, do której należy pracownik. Co ciekawe ustalanie zakresu przetwarzania danych osobowych powinno odbywać się w porozumieniu z Inspektorem Danych — jeśli oczywiście przedsiębiorstwo go wcześniej powołało. Jednak do jego obowiązków nie powinno należeć wydawanie upoważnień do przetwarzania danych osobowych, a jedynie określanie zakresu takiego upoważnienia.

Kogo i kiedy można upoważnić do przetwarzania danych osobowych?

Jak pokazuje praktyka, w każdym z firmowych działów przetwarza się w jakiś sposób dane osobowe, więc upoważnienia mogą być wydawane osobom w nich pracujących, np.

  • dział handlu — przetwarza się dane klientów,

  • dział marketingu — przetwarza się dane w tworzonych w bazach danych,

  • dział kadr — przetwarza się dane kandydatów oraz pracowników.

Upoważnieni do przetwarzania danych mogą być nie tylko pracownicy etatowi, ale również osoby realizujący umowę o dzieło lub zlecenie, a także praktykanci.

Jeżeli firma korzysta z usług zewnętrznej firmy, to kogo należy upoważnić? W takiej sytuacji powinno się zawrzeć umowę powierzenia przetwarzania danych osobowych, a mimo to administratorem danych osobowych pozostaje ich pierwotny administrator. W ramach tej umowy administrator danych może nadać upoważnienie przedstawicielowi podmiotu, któremu dane zostały powierzone — do nadawania upoważnień w imieniu “pierwotnego właściciela”.

Kto nadaje pracownikowi upoważnienie do przetwarzania danych osobowych? Jest to administrator danych osobowych lub osoba go reprezentująca. W przypadku firm jednoosobowych takie upoważnienie wydaje przedsiębiorca, a w przypadku spółek z ograniczoną odpowiedzialnością — członek zarządu. Warto, aby w procesie nadawania upoważnienia uczestniczył kierownik działu, który może nadzorować również wcześniej wspomniany zakres upoważnienia, ponieważ ma wgląd w faktyczne zadania, jakie będą wykonywane przez osobę upoważnioną.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Ewidencja osób upoważnionych

Oprócz samego nadania upoważnienia danych administrator ma obowiązek prowadzenia ewidencji osób upoważnionych, która powinna zawierać:

  • imię i nazwisko osoby upoważnionej — oprócz tego należy zapisać identyfikator (login) używany w systemie informatycznym wykorzystywanym do przetwarzania danych; jest to istotne, ponieważ system musi umożliwiać kontrolę dostępu, a zazwyczaj z takiego systemu korzysta więcej niż jedna osoba, więc należy nadać im odrębne identyfikatory;

  • datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych.

Ewidencja jest również dobrym miejscem, by zawrzeć informacje o stanowisku pracy osoby upoważnionej. Dzięki temu można ustalić, czy podany zakres rzeczywiście odpowiada czynnościom, jakimi zajmuje się osoba upoważniona.

Cykliczna weryfikacja upoważnionych osób

Przed 25 maja 2018 roku, czyli przed wejściem RODO, zastanawiano się, czy nowe przepisy będą wymagały wydawania upoważnień do przetwarzania danych osobowych oraz prowadzenia ewidencji osób upoważnionych. Jak się okazało — po wprowadzaniu przepisów RODO — wspomniane obowiązki zostały utrzymane.

Cykliczna weryfikacja upoważnionych osób to nic innego, jak sprawdzanie co jakiś czas upoważnień pracowników pod względem zachodzących zmian w organizacji, np. czy osoba wykonuje te same obowiązki, czy może dostała awans i upoważnienie jest już nieaktualne? Cykliczna weryfikacja osób upoważnionych do przetwarzania danych zalicza się do tzw. dobrych praktyk.

Jak sama nazwa wskazuje, weryfikacja jest cykliczna i powinna odbywać się co jakiś czas — ustala to firma indywidualnie, w zależności od swoich potrzeb, wielkości przedsiębiorstwa etc.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

O autorze

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Zapraszamy do kontaktu
Tagi: RODO w firmie RODO
Powiązane posty
Popularne Tagi

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!