Poradnik Przedsiębiorcy

Upoważnienie do przetwarzania danych osobowych - wzór z omówieniem

Odpowiedzialnym za ochronę danych osobowych jest ich administrator. W praktyce jednak nie tylko on przetwarza dane osobowe - często robią to jego pracownicy. Czy osoby, które faktycznie dokonują operacji na danych, powinny posiadać upoważnienie do przetwarzania danych osobowych? Jeżeli tak, to jak je stworzyć?

Kto może przetwarzać dane osobowe?

Dane osobowe mogą przetwarzać wyłącznie osoby, którym nadano upoważnienie do ich przetwarzania. Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO) nie wskazuje wprost obowiązku udzielania pisemnych upoważnień do przetwarzania danych osobowych. Jednocześnie administrator jest zobowiązany do zachowania rozliczalności wypełniania obowiązków wynikających z RODO. Właśnie z tej zasady wywodzony jest obowiązek administratora udzielania upoważnień do przetwarzania danych osobowych. W innym wypadku administrator nie byłby w stanie zachować kontroli nad tym jak i przez kogo przetwarzane są dane.

Zatem wszystkie osoby, które faktycznie dokonują operacji na danych osobowych, czyli zbierają je, archiwizują, zmieniają, usuwają - powinny dla tych celów otrzymać upoważnienie nadane przez administratora danych.

Brak literalnego wskazania w RODO obowiązku udzielenia upoważnienia do przetwarzania danych osobowych nie oznacza, że administrator jest z niego zwolniony. Zasada rozliczalności wymaga od administratora udzielenia upoważnienia do przetwarzania danych osobowych.

Pobierz wzór upoważnienia do przetwarzania danych osobowych w formacie PDF oraz DOCX!

Do pobrania:

pdf
Upoważnienie do przetwarzania danych - wzór.pdf druk do ręcznego wypełnienia
docx
Upoważnienie do przetwarzania danych - wzór.docx edytowanie, wydrukowanie, zapisywanie

Kogo upoważnić do przetwarzania danych osobowych?

W praktyce okazuje się, że takie upoważnienia powinny być nadawane osobom pracującym/współpracującym w większości działów, ponieważ:

  • w dziale kadr - przetwarza się zarówno dane pracowników, jaki i kandydatów do pracy;
  • w dziale handlu - przetwarza się dane klientów;
  • w dziale zaopatrzenia - przetwarza się dane kontrahentów;
  • w dziale marketingu - przetwarza się dane w tworzonych w tym celu bazach.

W firmie dane mogą przetwarzać nie tylko pracownicy etatowi, ale i zleceniobiorcy, dziełobiorcy, a także praktykanci.
Pytaniem jest, kogo upoważnić, gdy korzysta się z usług świadczonych przez zewnętrzną firmę? Wówczas współpracę w zakresie ochrony danych powinna regulować umowa powierzenia przetwarzania danych osobowych. Postanowieniami umowy administrator danych osobowych może nadać upoważnienie przedstawicielowi podmiotu, któremu dane są powierzane, do nadawania upoważnień jego pracownikom w imieniu pierwotnego administratora.

Kto nadaje upoważnienie do przetwarzania danych osobowych?

Upoważnienie do przetwarzania danych osobowych co do zasady nadaje administrator danych osobowych lub osoba go reprezentująca. Zatem w przypadku jednoosobowych działalności gospodarczych upoważnienie do przetwarzania danych będzie nadawał przedsiębiorca, a w przypadku spółek z.o.o. członek zarządu. Warto, by w procesie nadawania upoważnień uczestniczył również kierownik danego działu, nadzorując zakres nadawanego upoważnienia w odniesieniu do faktycznych zadań, jakie będą przez daną osobę wykonywane.

Jakie informacje powinny znaleźć się w upoważnieniu?

W upoważnieniu powinny znaleźć się obligatoryjne informacje takie, jak:

  • data nadania upoważnienia;
  • imię i nazwisko osoby, której upoważnienie jest nadawane;
  • cel przetwarzania danych (może nim być powołanie na konkretne stanowisko w firmie);
  • zakres, czyli do jakich konkretnie zbiorów danych, kategorii danych osobowych daną osobę upoważniamy;
  • identyfikator osoby upoważnionej, jeżeli dane osobowe, na jakich pracuje, przetwarzane są w systemie informatycznym;
  • podpis administratora lub osoby go reprezentującej.

Ponadto na druku upoważnienia można zamieścić klauzulę zobowiązującą upoważnioną osobę do utrzymania danych i sposobów ich zabezpieczania w tajemnicy. Decydując się na to, należy pamiętać o miejscu na datę i podpis osoby upoważnionej. 

Ewidencja osób upoważnionych

Nadane pisemne upoważnienie jest podstawą do uzupełnienia wpisu w Ewidencji osób upoważnionych, która również będzie miała istotne znaczenie dla zachowania zasady rozliczalności.