Odpowiedzialnym za ochronę danych osobowych jest ich administrator. W praktyce jednak nie tylko on przetwarza dane osobowe - często robią to jego pracownicy. Czy osoby, które faktycznie dokonują operacji na danych, powinny posiadać upoważnienie do przetwarzania danych osobowych? Jeżeli tak, to jak je stworzyć?
Kto może przetwarzać dane osobowe?
Dane osobowe mogą przetwarzać wyłącznie osoby, którym nadano upoważnienie do ich przetwarzania. Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO) nie wskazuje wprost obowiązku udzielania pisemnych upoważnień do przetwarzania danych osobowych. Jednocześnie administrator jest zobowiązany do zachowania rozliczalności wypełniania obowiązków wynikających z RODO. Właśnie z tej zasady wywodzony jest obowiązek administratora udzielania upoważnień do przetwarzania danych osobowych. W innym wypadku administrator nie byłby w stanie zachować kontroli nad tym jak i przez kogo przetwarzane są dane.
Zatem wszystkie osoby, które faktycznie dokonują operacji na danych osobowych, czyli zbierają je, archiwizują, zmieniają, usuwają - powinny dla tych celów otrzymać upoważnienie nadane przez administratora danych.
Pobierz wzór upoważnienia do przetwarzania danych osobowych w formacie PDF oraz DOCX!
Kogo upoważnić do przetwarzania danych osobowych?
W praktyce okazuje się, że takie upoważnienia powinny być nadawane osobom pracującym/współpracującym w większości działów, ponieważ:
- w dziale kadr - przetwarza się zarówno dane pracowników, jaki i kandydatów do pracy;
- w dziale handlu - przetwarza się dane klientów;
- w dziale zaopatrzenia - przetwarza się dane kontrahentów;
- w dziale marketingu - przetwarza się dane w tworzonych w tym celu bazach.
Kto nadaje upoważnienie do przetwarzania danych osobowych?
Upoważnienie do przetwarzania danych osobowych co do zasady nadaje administrator danych osobowych lub osoba go reprezentująca. Zatem w przypadku jednoosobowych działalności gospodarczych upoważnienie do przetwarzania danych będzie nadawał przedsiębiorca, a w przypadku spółek z.o.o. członek zarządu. Warto, by w procesie nadawania upoważnień uczestniczył również kierownik danego działu, nadzorując zakres nadawanego upoważnienia w odniesieniu do faktycznych zadań, jakie będą przez daną osobę wykonywane.
Jakie informacje powinny znaleźć się w upoważnieniu?
W upoważnieniu powinny znaleźć się obligatoryjne informacje takie, jak:
- data nadania upoważnienia;
- imię i nazwisko osoby, której upoważnienie jest nadawane;
- cel przetwarzania danych (może nim być powołanie na konkretne stanowisko w firmie);
- zakres, czyli do jakich konkretnie zbiorów danych, kategorii danych osobowych daną osobę upoważniamy;
- identyfikator osoby upoważnionej, jeżeli dane osobowe, na jakich pracuje, przetwarzane są w systemie informatycznym;
- podpis administratora lub osoby go reprezentującej.
Ponadto na druku upoważnienia można zamieścić klauzulę zobowiązującą upoważnioną osobę do utrzymania danych i sposobów ich zabezpieczania w tajemnicy. Decydując się na to, należy pamiętać o miejscu na datę i podpis osoby upoważnionej.
Ewidencja osób upoważnionych
Nadane pisemne upoważnienie jest podstawą do uzupełnienia wpisu w Ewidencji osób upoważnionych, która również będzie miała istotne znaczenie dla zachowania zasady rozliczalności.
