Upoważnienie do przetwarzania danych osobowych - jak, dla kogo i po co?

Administrator przetwarza dane osobowe… Ale czy zawsze robi to osobiście? Przedsiębiorca posiadający status administratora danych najczęściej zatrudnia pracowników, którzy wykonują faktyczne operacje na gromadzonych danych osobowych – dział kadr zajmuje się rekrutacją, przetwarzając dane kandydatów do pracy, marketingowcy tworzą bazy mailingowe, dział handlowy realizuje zamówienia klientów indywidualnych. Jaki jest status tych osób? W jaki sposób administrator upoważnia pracowników do przetwarzania danych osobowych? Czy tylko pracownik powinien legitymować się takim upoważnieniem?

Od praktykanta do prezesa

Z brzmienia art. 37 ustawy o ochronie danych osobowych wynika jasno: „do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych”. Upoważnienie takie posiadać muszą więc wszystkie osoby, które podlegając administratorowi danych, w ramach swoich obowiązków, rzeczywiście uzyskują dostęp do danych osobowych i wykonują jakiekolwiek operacje na tych danych – zbierają je, przechowują, zmieniają lub usuwają. 

Mowa tutaj więc nie tylko o pracownikach, ale również o osobach fizycznych działających na rzecz administratora na podstawie innych stosunków prawnych, w tym zleceniobiorcach, wykonawcach działających na podstawie umowy o dzieło i… praktykantach!

Lepiej mieć to na piśmie…

Przepisy ustawy o ochronie danych osobowych nie nakładają na administratorów danych obowiązku udzielania upoważnień na piśmie. W praktyce często stosowana jest forma elektroniczna, np. w postaci e-maila. Przepisy nie wykluczają przy tym oczywiście możliwości ustnego udzielenia stosownego upoważnienia.

Warto jednak, choćby w celach dowodowych, na wypadek ewentualnej kontroli, posiadać odpowiednie upoważnienia sporządzone w formie pisemnej. Ponadto zwykle sugeruję klientom, aby zapoznanie się z treścią takiego pisemnego upoważnienia potwierdzali swym podpisem pracownicy. Pozwala to w szczególności na wykazanie, że pracownik został zapoznany z zakresem udzielonego upoważnienia, co ma niebagatelne znaczenie w kontekście obowiązku zapewnienia przez administratora odpowiedniego poziomu bezpieczeństwa danych.

Sekretarka nie zajrzy do kieszeni prezesa

Mówiąc o zakresie upoważnienia, ten zgodnie z przepisami, musi być adekwatny. Innymi słowy, nie ma potrzeby, aby dział marketingu miał wgląd do akt pracowniczych, a kadrowa posiadała pełną bazę klientów spółki. Podstawową zasadą ochrony danych osobowych jest racjonalizowanie dostępu do tych danych i ograniczenie go tylko do sytuacji, gdy dostęp taki jest niezbędny do wykonania określonych czynności. I tak, sekretariat nie może mieć dostępu do danych płacowych, gdyż dane te nie są potrzebne do prawidłowego wykonania obowiązków pracowniczych osób w sekretariacie zatrudnionych.

Choć przepisy nie precyzują, w jaki sposób określić zakres upoważnienia, zwykle sugeruję precyzyjnie wskazać, jakie operacje i na jakich danych może wykonywać osoba upoważniona. Stosowany niekiedy zabieg odwołania się do treści stosunku pracy i obowiązków pracowniczych może spowodować powstanie w niektórych sytuacjach wątpliwości co do zakresu upoważnienia.

Upoważnienie, co z nim?

Prócz zakresu i - co oczywiste - oznaczenia osoby, której udzielono upoważnienia, winno ono określać administratora danych, który upoważnienia udzielił, a także datę nadania oraz wygaśnięcia upoważnienia, jeśli udzielono go na czas oznaczony. Często stosowana w praktyce klauzula „na okres trwania stosunku pracy/zlecenia” jest dopuszczalna i w mojej ocenie w pełni odpowiada wymogom ustawowym.

Biurokracja przede wszystkim

Sformalizowanie procedur związanych z ochroną danych osobowych jest tak duże, że nie jest zaskoczeniem fakt, iż wykaz osób upoważnionych stanowi obligatoryjny element prowadzonej przez administratora danych dokumentacji z zakresu ochrony danych osobowych. Trudno jednak dziwić się takiemu posunięciu ustawodawcy. Administrator musi mieć kontrolę nad tym, kto działając w jego imieniu przetwarza dane, natomiast w przypadku dużych podmiotów, zatrudniających niekiedy tysiące osób, mogłoby to być trudne.

Bartosz Pudo

Bartosz PudoPrawnik związany z Kancelarią Adwokatów i Radców Prawnych Ślązak, Zapiór i Wspólnicy. Koordynuje wszystkie procesy wdrażania procedur z zakresu ochrony danych osobowych u klientów. Zajmuje się także sprawami z zakresu prawa własności intelektualnej oraz prawa konkurencji. Prelegent na licznych konferencjach naukowych oraz autor publikacji z zakresu prawa autorskiego i prawa własności przemysłowej.

Absolwent Wydziału Prawa i Administracji Uniwersytetu Śląskiego w Katowicach. Obecnie doktorant w Katedrze Prawa Cywilnego i Prawa Prywatnego Międzynarodowego. Laureat nagrody przyznawanej przez Ministra Nauki i Szkolnictwa Wyższego w konkursie na najlepsze prace naukowe, organizowanego przez Urząd Patentowy RP. Zdobywca wyróżnienia w konkursie prawa własności intelektualnej, prawa nowych technologii i prawa telekomunikacyjnego Itelect.

Autor bloga personalia.com.pl poświęconego tematyce ochrony danych osobowych.

Komentuj na Facebooku

Komentarze:

comments powered by Disqus
To warto przeczytać

fot. fizkes













RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
RSS