Poradnik Przedsiębiorcy

Upoważnienie do przetwarzania danych osobowych - wzór z omówieniem

Odpowiedzialnym za ochronę danych osobowych jest ich administrator. W praktyce jednak nie tylko on przetwarza dane osobowe - często robią to jego pracownicy. Czy osoby, które faktycznie dokonują operacji na danych, powinny posiadać upoważnienie do przetwarzania danych osobowych? Jeżeli tak, to jak je stworzyć?

Kto może przetwarzać dane osobowe?

Dane osobowe mogą przetwarzać wyłącznie osoby, którym nadano upoważnienie do ich przetwarzania. Zatem wszystkie osoby, które faktycznie dokonują operacji na danych osobowych, czyli zbierają je, archiwizują, zmieniają, usuwają - powinny dla tych celów otrzymać upoważnienie nadane przez administratora danych.

 

Art. 37 ustawy o ochronie danych osobowych

Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

Kogo upoważnić do przetwarzania danych osobowych?

W praktyce okazuje się, że takie upoważnienia powinny być nadawane osobom pracującym/współpracującym w większości działów, ponieważ:

  • w dziale kadr - przetwarza się zarówno dane pracowników, jaki i kandydatów do pracy;

  • w dziale handlu - przetwarza się dane klientów;

  • w dziale zaopatrzenia - przetwarza się dane kontrahentów;

  • w dziale marketingu - przetwarza się dane w tworzonych w tym celu bazach.

 

Uwaga!

W firmie dane mogą przetwarzać nie tylko pracownicy etatowi, ale i zleceniobiorcy, dziełobiorcy, a także praktykanci.

 

Pytaniem jest, kogo upoważnić, gdy korzysta się z usług świadczonych przez zewnętrzną firmę? Wówczas współpracę w zakresie ochrony danych powinna regulować umowa powierzenia przetwarzania danych osobowych, ale administratorem tych danych pozostaje wciąż ich “pierwotny właściciel”. Postanowieniami umowy administrator danych osobowych może nadać upoważnienie przedstawicielowi podmiotu, któremu dane są powierzane, do nadawania upoważnień jego pracownikom w imieniu pierwotnego administratora.

Kto nadaje upoważnienia do przetwarzania danych osobowych?

Upoważnienie do przetwarzania danych osobowych co do zasady nadaje administrator danych osobowych lub osoba go reprezentująca. Zatem w przypadku jednoosobowych działalności gospodarczych upoważnienie do przetwarzania danych będzie nadawał przedsiębiorca, a w przypadku spółek z.o.o. członek zarządu. Warto, by w procesie nadawania upoważnień uczestniczył również kierownik danego działu, nadzorując zakres nadawanego upoważnienia w odniesieniu do faktycznych zadań, jakie będą przez daną osobę wykonywane.

Jakie informacje powinny znaleźć się w upoważnieniu?

W upoważnieniu powinny znaleźć się obligatoryjne informacje takie, jak:

  • data nadania upoważnienia;

  • imię i nazwisko osoby, której upoważnienie jest nadawane;

  • cel przetwarzania danych (może nim być powołanie na konkretne stanowisko w firmie);

  • zakres, czyli do jakich konkretnie zbiorów danych, kategorii danych osobowych daną osobę upoważniamy;

  • identyfikator osoby upoważnionej, jeżeli dane osobowe, na jakich pracuje, przetwarzane są w systemie informatycznym;

  • podpis administratora lub osoby go reprezentującej.

Ponadto na druku upoważnienia można zamieścić klauzulę zobowiązującą upoważnioną osobę do utrzymania danych i sposobów ich zabezpieczania w tajemnicy. Decydując się na to, należy pamiętać o miejscu na datę i podpis osoby upoważnionej.  

Ewidencja osób upoważnionych

Nadane pisemne upoważnienie jest podstawą do uzupełnienia wpisu w Ewidencji osób upoważnionych, której prowadzenie nakazuje ustawa o ochronie danych osobowych. Za prowadzenie ewidencji odpowiedzialny jest administrator danych.

Do pobrania:

pdf
Dokument bez tytułu (4).pdf druk do ręcznego wypełnienia
docx
Dokument bez tytułu (2).docx edytowanie, wydrukowanie, zapisywanie