Upoważnienie do przetwarzania danych – o czym należy pamiętać

Data: 26-06-2015 r.

Każdy, kto przetwarza dane osobowe powinien mieć do tego upoważnienie nadane przez administratora danych. W praktyce jednak to często administratorzy bezpieczeństwa zajmują się nadawaniem takich upoważnień. Sprawdź, jaką formę i zakres powinno mieć takie upoważnienie.

Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych (art. 37 ustawy o ochronie danych osobowych). Upoważnienie do przetwarzania danych osobowych służy bezpieczeństwu przetwarzanych danych osobowych i jest ściśle połączone z tymi dokumentami. Administrator danych do przetwarzania danych osobowych może dopuścić wyłącznie osoby, które takowe upoważnienie otrzymały (art. 37 uodo).

Kto nadaje upoważnienia

To administrator danych nadaje upoważnienia do przetwarzania danych osobowych (art. 37 uodo). Nie oznacza to automatycznie, że to np. sam prezes spółki, jako osoba reprezentująca administratora danych, musi osobiście nadawać upoważnienia dla wszystkich pracowników.

Wystarczy, że przekaże odpowiednie pełnomocnictwo do wydawania upoważnień wskazanej przez siebie osobie. W praktyce są stosowane różne rozwiązania. Najczęstszym jest jednak sytuacja, w której to administrator bezpieczeństwa informacji nadaje w imieniu administratora danych upoważnienia.

Forma i zakres upoważnienia

Ustawa o ochronie danych osobowych nie przesądza o formie oraz zakresie upoważnienia. Reguluje ona jedynie zakres informacji wymaganych przez ewidencję osób upoważnionych do przetwarzania danych osobowych. U większości administratorów danych upoważnienie jest wydawane w formie papierowej.

Niektórzy administratorzy danych chcą się pozbyć zbędnej „papierologii” i zmieniają formę wydawanych upoważnień na elektroniczną. W takiej sytuacji może pojawić się jednak problem dowodowy w razie kontroli GIODO. Trudno jest bowiem wykazać, że rzeczywiście upoważnienie zostało wydane.

Upoważnienia dla wszystkich

Oczywistym jest, że upoważnić do przetwarzania danych osobowych należy pracowników, którzy mają dostęp do danych osobowych w związku z realizacją obowiązków pracowniczych, niezależnie od tego, jaka jest forma ich zatrudnienia. Obowiązek ten dotyczy również osób, które mają czasowy dostęp do danych osobowych jako stażyści czy praktykanci.

Przepisy o ochronie danych osobowych nie rozróżniają osób mających dostęp do danych osobowych ze względu na formę współpracy. Pewnym wyjątkiem mogą być osoby prowadzące działalność gospodarczą, które współpracują z administratorem danych na podstawie umowy o współpracę.

W takim przypadku możliwe jest, zamiast ich upoważnienia, podpisanie umów powierzenia przetwarzania danych osobowych w rozumieniu art. 31 ustawy o ochronie danych osobowych. Wybór pomiędzy upoważnieniem a podpisaniem umowy powierzenia zależy od formy współpracy.

Ewidencjonowanie upoważnień

Kolejnym obowiązkiem, jaki narzuca ustawa o ochronie danych osobowych w odniesieniu do upoważnień, jest konieczność ich ewidencjonowania. W odróżnieniu od przepisu art. 37 ustawy o ochronie danych osobowych, który to nie wskazywał zakresu upoważnienia, art. 39 uodo w sposób wyczerpujący wskazuje zakres informacji, jaki powinien się znaleźć w ewidencji upoważnień.

Są to:

  • imię i nazwisko osoby upoważnionej,

  • zakres upoważnienia,

  • data nadania i ustania upoważnienia oraz

  • identyfikator użytkownika, jeżeli dane osobowe są przetwarzane w systemach informatycznych.

Włodzimierz Dola, aplikant radcowski, ekspert ds. ochrony danych osobowych

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Array ( [docId] => 37396 )
Array ( [docId] => 37396 )

Array ( [docId] => 37396 )