Upoważnienie do przetwarzania danych osobowych jest konieczne wszędzie tam, gdzie użytkownik udostępnia swoje dane. Sprawdź, kto powinien je otrzymać i co powinno się w nim znaleźć. Dlaczego jest tak ważne i jak ma się do RODO?
Dane osobowe to bardzo poufne informacje. Administrowanie i posługiwanie się nimi jest obarczone szeregiem restrykcyjnych przepisów i zasad, których należy przestrzegać. Aby nie popełnić błędu, warto znać podstawowe reguły dotyczące przetwarzania danych osobowych. Co wiąże się z upoważnieniem do przetwarzania danych osobowych? Odpowiedź znajdziesz w poniższym artykule!
Upoważnienie do przetwarzania danych – kto powinien je otrzymać?
Upoważnienie do przetwarzania danych obejmuje jedynie te osoby, którym zostało ono nadane. Zgodnie z rozporządzeniem Parlamentu Europejskiego i Radu Unii Europejskiej nr 2016/679 z 2016 roku, które dotyczy ochrony osób fizycznych odnośnie do danych osobowych, ich przetwarzania i ich swobodnego przepływu, nie ma bezpośredniego obowiązku wyrażania pisemnej zgody dotyczącej przetwarzania takich danych. Jednak według ustaleń UE, administrator danych osobowych jest zobowiązany do stosowania się do obowiązków, które wynikają z RODO.
To właśnie z RODO i wszystkich powinności, które z niego wynikają, wyłania się obowiązek administratora, czyli osoby, która ma dostęp do danych osobowych i upoważnienia do ich przetwarzania. Jest to niezbędna praktyka. Gdyby nie ona, administrator nie miałby kontroli nad przepływem danych i tym, kto i w jaki sposób ich używa. Wynika z tego, że wszystkie osoby, które mają styczność z działaniami, w których obręb wchodzą dane osobowe, powinny otrzymać i ubiegać się o upoważnienie o ich wykorzystanie od ich administratora.
Powierzenie danych a upoważnienie do ich przetwarzania
Warto rozróżniać pojęcia powierzenie i upoważnienie do przetwarzania danych osobowych. Oba z nich określają zakres upoważnienia do przetwarzania danych. Pierwsze występuje wówczas, kiedy to podmiot zewnętrzny uzyskuje prawo do posługiwania się danymi osobowymi na mocy zawartej umowy. Upoważnienie do przetwarzania danych to przekazanie praw i uprawnień do zarządzania danymi osobowymi pracownikowi, który wchodzi w skład struktur wewnętrznych tej samej firmy.
Zgodnie z obowiązującą do 2018 roku ustawą o ochronie danych osobowych z roku 1997 wymagane było, aby system informatyczny, który umożliwia zarządzanie danymi osobowymi był obsługiwany przez osoby, które uprzednio uzyskały upoważnienie od administratora danych. Podobnie ma się to do artykułu 29 RODO, choć nie jest to jednoznacznie wskazane, aby pracownik był zobowiązany do posiadania pisemnego upoważnienia. Nadal sugeruje się jednak stosowanie upoważnień pisemnych, by kontrolować to, kto posiada dostęp do danych osobowych podmiotu.
Informacje, które powinny znaleźć się w upoważnieniu do przetwarzania danych
Przy formułowaniu upoważnienia do przetwarzania danych osobowych należy w nim zamieścić najważniejsze informacje dotyczące jego zakresu. Najważniejsze elementy, które powinny się znaleźć na dokumencie, to:
- imię i nazwisko osoby, która jest odbiorcą upoważnienia;
- data nadania upoważnienia;
- cel, który motywuje nadanie takiego upoważnienia;
- zakres dostępności danych, którego dotyczy upoważnienie;
- podpis administratora;
- jeżeli osoba mająca w posiadaniu nasze dane pracuje na systemie informatycznym — identyfikator tej osoby.
W upoważnieniu dotyczącym przetwarzania danych osobowych należy również zamieścić klauzulę, która mówi o utrzymaniu danych w tajemnicy, a także o odpowiedzialności za ich zabezpieczenie przez osobę upoważnioną.
Forma i zakres upoważnienia do przetwarzania danych osobowych
Uprawnienia i obowiązki wynikające z przepisów o ochronie danych osobowych często są częściowo oddelegowywane przez administratora do innych osób. Co do formy, to RODO nie określa, w jaki sposób takie upoważnienie ma być sformalizowane. Jednak ze względów praktycznych najlepszą formą jest pisemna wersja upoważnienia. Pozwala to administratorowi na zachowanie zasady rozliczalności. Tenże administrator powinien upoważnić do przetwarzania danych osobowych wszystkie zatrudnione na umowę o pracę osoby, których obowiązki polegają na przetwarzaniu danych osobowych.
Zwykłe upoważnienie nie jest remedium na całe zagadnienie związane z upoważnieniem do przetwarzania danych osobowych. Ważne jest, by taki dokument został uprzednio odpowiednio dopasowany do konkretnego stanowiska i zakresu poszczególnych czynności związanych z przetwarzaniem danych. By stale monitorować aktualność danych i upoważnień, warto jest prowadzić ich ewidencję. Wynika to z tego, że wiele informacji i dokumentów się dezaktualizuje.
Kto nadaje upoważnienie do przetwarzania danych osobowych?
Według powszechnie pojmowanej zasady odpowiedzialność za upoważnienie nadaje administrator tychże lub osoba bezpośrednio go reprezentująca. W przypadku jednoosobowej działalności gospodarczej nadawcą upoważnienia będzie przedsiębiorca, czyli właściciel firmy. Jeżeli chodzi o spółki z ograniczoną odpowiedzialnością, będzie nim członek zarządu. Należy wspomnieć, że pożądane jest, by w nadawaniu upoważnienia uczestniczył kierownik działu. Jego rolą będzie nadzór nad zakresem zadań wykonywanych przez daną osobę.
Na co zwrócić uwagę przy nadawaniu upoważnienia do przetwarzania danych osobowych?
Jak już wspomnieliśmy, upoważnienie do przetwarzania danych powinny posiadać wszystkie osoby fizyczne, które na co dzień współpracują z administratorem danych, niezależnie od formy, jaką ta współpraca przybiera. W poszczególnych przypadkach takie upoważnienie może zostać nadane osobom, które okresowo zostały przypisane do wykonania zleconego zadania. Aby odpowiedzieć sobie na pytanie, komu i czy nadawać upoważnienie, czy też raczej podpisać porozumienie, należy zwrócić uwagę na następujące aspekty:
- czy osoba pracująca z danymi używa sprzętu firmowego, czy też prywatnego;
- czy dokumentacja związana z przetwarzaniem danych pozostaje na terenie firmy, czy też jest używana poza jej obrębem.
Upoważnienie będzie zatem odpowiednie w przypadku osoby, która całość swojej pracy wykonuje tylko w miejscu pracy i na firmowym sprzęcie, przy czym nie ekspediuje dokumentów poza obszar firmy.
Kto powinien być upoważniony do przetwarzania danych?
Upoważnienie do przetwarzania danych najczęściej otrzymują pracownicy działu kadr. I nie ma w tym nic dziwnego, wszak to właśnie tu przetwarzane są zarówno dane pracowników, jak i osób ubiegających się o zatrudnienie. Ponadto podmiotami przetwarzającymi zostają przedstawiciele:
- działu handlu, który obejmuje dane rozmaitych klientów;
- działu zaopatrzenia, który obejmuje dane kontrahentów;
- działu marketingu, w którym przetwarza się dane w odpowiednich bazach.
W przypadku, gdy korzysta się z usług świadczonych z ramienia firmy zewnętrznej, należy wystosować specjalną umowę, która określać będzie zakres ochrony danych osobowych. Administrator poprzez postanowienia umowy może nadać podmiotowi z zewnątrz możliwość upoważnienia swoich pracowników w imieniu głównego administratora.
Upoważnienie do przetwarzania danych jest istotnym elementem w zarządzaniu informacjami. Ewidencjonowanie i dobre zarządzanie rejestrem upoważnień do przetwarzania danych osobowych wpływa na poprawienie jakości bezpieczeństwa i kontroli.