Poradnik Przedsiębiorcy

Osoba upoważniona do przetwarzania danych osobowych - warto wiedzieć!

Temat ochrony danych osobowych wśród polskich podmiotów cieszy się coraz większą popularnością. O ile duże korporacje zawsze dbały o to, by dostosować się do regulacji prawnych w tym zakresie, o tyle w mikro, małych i średnich firmach świadomość w zakresie ochrony danych osobowych jest dość mała. Firmy te z reguły nie zdają sobie sprawy z obowiązków i procedur jakich powinny dopełnić. Jedną z tak istotnych kwestii jest nadanie odpowiednich uprawnień do przetwarzania danych osobowych osobom pracującym w firmie. Czym są dane osobowe? Na jakie grupy można je podzielić? Na czym polega przetwarzanie danych osobowych? Kim jest osoba upoważniona do przetwarzania danych osobowych? Wyjaśniamy poniżej.

Dane osobowe i ich rodzaje

Zgodnie z rozporządzeniem RODO przez dane osobowe należy rozumieć wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Pod warunkiem, że identyfikacja nie będzie wymagała nadmiernych kosztów, czasu lub działań. Są to tzw. dane osobowe zwykłe, np. imię, nazwisko, PESEL, data urodzenia.

Drugą grupą danych osobowych są dane osobowe wrażliwe (szczególnie chronione), które podlegają szczególnym regulacjom w zakresie ich ochrony. Do tego typu danych można zaliczyć dane ujawniające:

  • pochodzenie rasowe lub etniczne,

  • poglądy polityczne,

  • przekonania religijne lub filozoficzne,

  • przynależność wyznaniową, partyjną lub związkową,

  • stan zdrowia,

  • kod genetyczny,

  • nałogi,

  • informacje o życiu seksualnym,

  • informacje dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Na czym polega przetwarzanie danych osobowych?

Przetwarzanie danych osobowych to wszelkiego rodzaju działania dokonywane na danych osobowych występujących w firmie. Należy do nich zaliczyć np.:

  • zbieranie,

  • utrwalanie,

  • opracowywanie,

  • przechowywanie,

  • udostępnianie,

  • zmienianie,

  • niszczenie,
  • usuwanie

danych osobowych.

Przetwarzanie danych osobowych jest możliwe jedynie wówczas, gdy:

  • osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;

  • jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;

  • jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;

  • jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;

  • jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Ważne!

Prawnie usprawiedliwionym celem przetwarzania danych osobowych jest:

  • marketing bezpośredni własnych produktów lub usług administratora danych;

  • dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Kim jest osoba upoważniona do przetwarzania danych osobowych?

Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

Upoważnienie do przetwarzania danych osobowych powinno zostać sporządzone w formie pisemnej i zawierać takie dane jak:

  • data nadania upoważnienia;

  • imię i nazwisko osoby, której upoważnienie jest nadawane;

  • cel przetwarzania danych (może nim być powołanie na konkretne stanowisko w firmie);

  • zakres, czyli do jakich konkretnie zbiorów danych, kategorii danych osobowych daną osobę upoważniamy;

  • identyfikator osoby upoważnionej, jeżeli dane osobowe, na jakich pracuje, przetwarzane są w systemie informatycznym;

  • podpis administratora lub osoby go reprezentującej.

Każdy z pracowników zatrudnionych w firmie powinien otrzymać upoważnienie do przetwarzania danych osobowych w zakresie, jaki faktycznie jest mu niezbędny do wykonywania swoich obowiązków.

Dział marketingu powinien mieć nadane upoważnienie do przetwarzania danych osobowych ujętych w tworzonych przez siebie bazach np. potencjalnych klientów. Natomiast dział kadr w zakresie przetwarzania danych osób zatrudnionych, jak i kandydatów do pracy. Dział sprzedaży z kolei powinien otrzymać upoważnienie do przetwarzania danych nabywców.

Co ważne, żaden pracownik nie powinien otrzymywać upoważnienia na zapas. Wydanie upoważnienia jest możliwe jedynie wówczas, gdy zatrudniona osoba (na umowę o pracę, zlecenie lub o dzieło) faktycznie przetwarza określony zakres danych osobowych podczas wykonywania swoich obowiązków.

Reasumując, osobą upoważnioną do przetwarzania danych osobowych jest osoba której administrator danych (w przypadku jednoosobowych działalności gospodarczych jest nim przedsiębiorca) nadał upoważnienie w tym zakresie.