iSecure logo
Blog

Jak powinno wyglądać upoważnienie do przetwarzania danych osobowych?

Upoważnienia do przetwarzania danych osobowych to standardowy temat pojawiający się podczas działań podejmowanych w ramach wdrażania przepisów prawa ochrony danych osobowych w organizacji.  Mimo dość ustrukturyzowanej formuły upoważnienia, pojawia się szereg wątpliwości w kontekście obowiązku wydania samego dokumentu czy jego ostatecznej formy. W artykule postaramy się przybliżyć najważniejsze kwestie związane z upoważnieniami i jednocześnie odpowiedzieć na podstawowe, często pojawiające się pytania.

Upoważnienie do przetwarzania danych osobowych – obowiązek czy praktyka?

Aby precyzyjnie odpowiedzieć na wskazane pytanie, należy odwołać się do przepisów, które obecnie już nie obowiązują. Kwestię upoważnień określała ustawa o ochronie danych osobowych z 1997 r. Jej przepisy nie tylko wskazywały na konieczność nadawania upoważnień, ale również odnosiły się do obligatoryjności ewidencjowania dokumentacji. Czy tak ugruntowane podejście zostało zmienione przez przepisy RODO? Co trzeba przyznać, to z pewnością fakt, iż w aktualnie obowiązującym stanie prawnym nie ma już obowiązku udzielania pisemnych upoważnień każdej osobie bez względu na jej dostęp do danych osobowych. Jednakże to, o czym warto pamiętać, to przede wszystkim jedna z naczelnych zasad RODO – rozliczalność. Oznacza to, że choć przepisy prawne nie definiują wprost obowiązku wydawania upoważnień, to jako konsekwencja praktycznego zastosowania wskazanej zasady, niezbędne jest ich nadawanie oraz ewidencjonowanie. Administrator jako podmiot odpowiedzialny za poziom bezpieczeństwa danych osobowych w swojej organizacji, powinien móc wykazać w każdej chwili, że osoby, które wykonują szereg operacji na danych osobowych, zostały do tego rodzaju działania w odpowiedni sposób upoważnione.

 

Co upoważnienie powinno zawierać?

Jak już zostało wyjaśnione, doskonale wiemy, że dla zachowania i realizacji jednej z fundamentalnych zasad wynikających z RODO, konieczne wydaje się nadawanie i ewidencjonowanie upoważnień do przetwarzania danych osobowych. W dalszym etapie analizy, należy zastanowić się, jaka powinna być treść upoważnienia, czyli co taki dokument powinien zawierać, aby był prawnie skuteczny i spełniał swoją rolę. Dlaczego warto tę kwestię określić? Bowiem przepisy prawne nie wskazują wprost, co upoważnienie powinno zawierać, nie ma również ujednoliconego wzoru dokumentu.

Według przyjętej praktyki, bez wątpienia upoważnienie do przetwarzania danych osobowych powinno zawierać informacje o osobie, dla której upoważnienie jest wydane. Co istotne, konieczne jest przy tym spełnienie zasady minimalizacji danych. Wydaje się zatem, że wystarczające będą dane, które pozwolą zidentyfikować osobę upoważnioną – imię i nazwisko. Często spotykaną praktyką jest dodanie na upoważnieniu informacji o numerze ID pracownika, stanowisku, nazwy działu czy zespołu, w którym pracuje. Podyktowane jest to celem odróżnienia pracowników o tych samych imionach i nazwiskach.

Poza danymi identyfikującymi konkretną osobę, należy bezwzględnie określić zakres przyznanych dostępów do danych osobowych. Po raz kolejny trzeba odwołać się do praktyki, która zakres traktuje tożsamo z procesami przetwarzania danych osobowych zidentyfikowanymi u administratora danych. Warto również określić, na jaki okres upoważnienie zostało wydane, ewentualnie w dokumentach wewnętrznych dodać zapisy o cofnięciu uprawnień i jego formie.

Często stosowanym rozwiązaniem jest dodanie w treści upoważnienia zobowiązania do przestrzegania przepisów RODO oraz innych norm dotyczących przetwarzania informacji, a także wewnętrznych regulacji i procedur wraz z pouczeniem o możliwej odpowiedzialności.

Z kwestii czysto technicznych warto wspomnieć o konieczności opatrzenia dokumentu datą oraz stosownym podpisem (zwykle jest to osoba działająca na podstawie pełnomocnictwa udzielonego przez administratora).

Na samym końcu dokumentu, warto dodać treść oświadczenia, pod którym podpis złoży sam pracownik. Powinien on oświadczyć, że w pełni zrozumiał treść upoważnienia i akceptuje obowiązujące u administratora zasady przetwarzania danych osobowych. Administrator powinien zadbać o to, aby jeszcze przed rozpoczęciem przetwarzania danych osobowych przez pracownika, udostępnić mu wszelkie obowiązujące polityki, procedury i regulacje dotyczące bezpieczeństwa informacji funkcjonujące w organizacji.

 

Kto nadaje upoważnienie do przetwarzania danych osobowych?

Pierwsza myśl, jaka nasuwa się przy próbie odpowiedzi na to pytanie, to administrator. Jest to jak najbardziej trafna odpowiedź, bowiem to właśnie administrator jako podmiot ustalający m.in. cele przetwarzania danych, ich zakres, a także sposoby przetwarzania, powinien takie upoważnienie nadać.

Odpowiedź na to pytanie należy jednak rozszerzyć. Sam administrator, będący osobą prawną, nadaje zwykle upoważnienie poprzez osoby go reprezentujące. Podobnie zresztą przedstawia się sytuacja w przypadku prowadzenia działalności gospodarczych. Co istotne, dość często stosowaną praktyką jest również nadanie pełnomocnictwa dla pracowników (zwykle działów HR), którzy są umocowani do podpisywania w imieniu administratora upoważnień.

 

Jaka jest prawidłowa forma upoważnienia?

Kolejny raz należy wskazać, że przepisy prawne nie wskazują, jaka jest prawidłowa forma upoważnienia do przetwarzania danych osobowych. I kolejny raz należy odwołać się do powszechnie znanej i stosowanej praktyki. Przyjmuje się bowiem, że upoważnienie do przetwarzania danych osobowych powinno mieć formę pisemną bądź elektroniczną. Zdecydowanie doktryna odradza stosowanie formy ustnej. Ze względu na konieczność spełnienia choćby zasady rozliczalności, forma ta nie spełni swojej roli i nie pomoże administratorowi danych wykazać przed organem nadzorczym realizacji wymagań stawianych przez przepisy RODO.

Gdzie upoważnienie przechowywać?

Należy odwołać się do § 3 Rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej. Zgodnie z aktem prawnym, akta osobowe złożone są z czterech części. Z punktu ochrony danych osobowych najbardziej istotna jest część B. W § 3 pkt 2 lit. a) Rozporządzenia wskazane jest, że w części B akt osobowych pracownika powinny znaleźć się m.in. oświadczenia lub dokumenty dotyczące danych osobowych, gromadzone w związku z nawiązaniem stosunku pracy.

Mając na względzie powyższe, wskazać należy, że część B akt osobowych pracownika jest prawidłowym miejscem przechowywania upoważnienia do przetwarzania danych osobowych. Idąc dalej, można stwierdzić, że akta osobowe pracownika (który dane osobowe przetwarza, a nie otrzymał upoważnienia do przetwarzania danych osobowych) będą niekompletne – tym brakującym elementem będzie upoważnienie do przetwarzania danych osobowych. Warto, aby administrator we własnym interesie zadbał o prawidłowe przechowywanie dokumentów związanych z ochroną danych osobowych.

 

Podsumowując, samo upoważnienie, jak i proces jego nadawania jest niezwykle istotnym działaniem administratora gwarantującym zapewnienie zgodności z fundamentalnymi zasadami RODO. Ponadto, administrator dzięki upoważnieniom oraz ich ewidencjonowaniu ma kontrolę nad przyznanymi dostępami do danych osobowych i jednocześnie zwraca uwagę pracowników na istotność i znaczenie przetwarzania danych osobowych.

Pobierz wpis w wersji pdf

Podobne wpisy:

RODO w HR – jak zapewnić rozliczalność?

Dział HR to miejsce w organizacji, w którym niezależnie od profilu działalności firmy przetwarzany jest szeroki zakres danych osobowych. Zapewnienie zgodności z RODO i innymi przepisami dotyczącymi ochrony danych osobowych w dużej mierze spoczywa więc właśnie na tej jednostce organizacyjnej firmy. Jak wynika z naszego doświadczenia, mimo że dział HR posiada zazwyczaj największą świadomość w […]

Badanie Due Diligence spółki pod kątem ODO – dobre praktyki

Dlaczego warto zwrócić uwagę na kwestie ochrony danych osobowych przy badaniu Due Diligence? Obecnie na rynku powszechną praktyką stało się włączanie obszaru ochrony danych osobowych do badania Due Diligence spółek (dalej „DD”). Przedmiotem badania jest, co do zasady, weryfikacja systemu ochrony danych osobowych spółki tj. ustalenie czy oraz w jaki sposób spółka wdrożyła obowiązujące regulacje […]

„Zgłoś incydent!” iSecure z pomocą w analizie naruszeń ochrony danych osobowych

Ktoś z Twojej organizacji udostępnił przypadkiem wezwanie do zapłaty niewłaściwemu odbiorcy? A może wysłałeś e-mailem ważne dokumenty do wielu odbiorców spoza firmy i zapomniałeś o skorzystaniu z opcji UDW? Mam dla Ciebie złą wiadomość – najprawdopodobniej doszło do naruszenia ochrony danych osobowych. Taki incydent wymaga dogłębnej analizy, ponieważ na przedsiębiorcy ciąży szereg obowiązków związanych z […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki