Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Administrator przetwarza dane osobowe… Ale czy zawsze robi to osobiście? Przedsiębiorca posiadający status administratora danych najczęściej zatrudnia pracowników, którzy wykonują faktyczne operacje na gromadzonych danych osobowych – dział kadr zajmuje się rekrutacją, przetwarzając dane kandydatów do pracy, marketingowcy tworzą bazy mailingowe, dział handlowy realizuje zamówienia klientów indywidualnych. Jaki jest status tych osób? W jaki sposób administrator upoważnia pracowników do przetwarzania danych osobowych? Czy tylko pracownik powinien legitymować się takim upoważnieniem?

robot sprzątający

reklama


Od praktykanta do prezesa

Z brzmienia art. 37 ustawy o ochronie danych osobowych wynika jasno: „do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych”. Upoważnienie takie posiadać muszą więc wszystkie osoby, które podlegając administratorowi danych, w ramach swoich obowiązków, rzeczywiście uzyskują dostęp do danych osobowych i wykonują jakiekolwiek operacje na tych danych – zbierają je, przechowują, zmieniają lub usuwają. 

Mowa tutaj więc nie tylko o pracownikach, ale również o osobach fizycznych działających na rzecz administratora na podstawie innych stosunków prawnych, w tym zleceniobiorcach, wykonawcach działających na podstawie umowy o dzieło i… praktykantach!

Lepiej mieć to na piśmie…

Przepisy ustawy o ochronie danych osobowych nie nakładają na administratorów danych obowiązku udzielania upoważnień na piśmie. W praktyce często stosowana jest forma elektroniczna, np. w postaci e-maila. Przepisy nie wykluczają przy tym oczywiście możliwości ustnego udzielenia stosownego upoważnienia.

Warto jednak, choćby w celach dowodowych, na wypadek ewentualnej kontroli, posiadać odpowiednie upoważnienia sporządzone w formie pisemnej. Ponadto zwykle sugeruję klientom, aby zapoznanie się z treścią takiego pisemnego upoważnienia potwierdzali swym podpisem pracownicy. Pozwala to w szczególności na wykazanie, że pracownik został zapoznany z zakresem udzielonego upoważnienia, co ma niebagatelne znaczenie w kontekście obowiązku zapewnienia przez administratora odpowiedniego poziomu bezpieczeństwa danych.

Sekretarka nie zajrzy do kieszeni prezesa

Mówiąc o zakresie upoważnienia, ten zgodnie z przepisami, musi być adekwatny. Innymi słowy, nie ma potrzeby, aby dział marketingu miał wgląd do akt pracowniczych, a kadrowa posiadała pełną bazę klientów spółki. Podstawową zasadą ochrony danych osobowych jest racjonalizowanie dostępu do tych danych i ograniczenie go tylko do sytuacji, gdy dostęp taki jest niezbędny do wykonania określonych czynności. I tak, sekretariat nie może mieć dostępu do danych płacowych, gdyż dane te nie są potrzebne do prawidłowego wykonania obowiązków pracowniczych osób w sekretariacie zatrudnionych.

Choć przepisy nie precyzują, w jaki sposób określić zakres upoważnienia, zwykle sugeruję precyzyjnie wskazać, jakie operacje i na jakich danych może wykonywać osoba upoważniona. Stosowany niekiedy zabieg odwołania się do treści stosunku pracy i obowiązków pracowniczych może spowodować powstanie w niektórych sytuacjach wątpliwości co do zakresu upoważnienia.

Upoważnienie, co z nim?

Prócz zakresu i - co oczywiste - oznaczenia osoby, której udzielono upoważnienia, winno ono określać administratora danych, który upoważnienia udzielił, a także datę nadania oraz wygaśnięcia upoważnienia, jeśli udzielono go na czas oznaczony. Często stosowana w praktyce klauzula „na okres trwania stosunku pracy/zlecenia” jest dopuszczalna i w mojej ocenie w pełni odpowiada wymogom ustawowym.

Biurokracja przede wszystkim

Sformalizowanie procedur związanych z ochroną danych osobowych jest tak duże, że nie jest zaskoczeniem fakt, iż wykaz osób upoważnionych stanowi obligatoryjny element prowadzonej przez administratora danych dokumentacji z zakresu ochrony danych osobowych. Trudno jednak dziwić się takiemu posunięciu ustawodawcy. Administrator musi mieć kontrolę nad tym, kto działając w jego imieniu przetwarza dane, natomiast w przypadku dużych podmiotów, zatrudniających niekiedy tysiące osób, mogłoby to być trudne.

Bartosz Pudo

Bartosz PudoPrawnik związany z Kancelarią Adwokatów i Radców Prawnych Ślązak, Zapiór i Wspólnicy. Koordynuje wszystkie procesy wdrażania procedur z zakresu ochrony danych osobowych u klientów. Zajmuje się także sprawami z zakresu prawa własności intelektualnej oraz prawa konkurencji. Prelegent na licznych konferencjach naukowych oraz autor publikacji z zakresu prawa autorskiego i prawa własności przemysłowej.

Absolwent Wydziału Prawa i Administracji Uniwersytetu Śląskiego w Katowicach. Obecnie doktorant w Katedrze Prawa Cywilnego i Prawa Prywatnego Międzynarodowego. Laureat nagrody przyznawanej przez Ministra Nauki i Szkolnictwa Wyższego w konkursie na najlepsze prace naukowe, organizowanego przez Urząd Patentowy RP. Zdobywca wyróżnienia w konkursie prawa własności intelektualnej, prawa nowych technologii i prawa telekomunikacyjnego Itelect.

Autor bloga personalia.com.pl poświęconego tematyce ochrony danych osobowych.


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *