Administrator przetwarza dane osobowe… Ale czy zawsze robi to osobiście? Przedsiębiorca posiadający status administratora danych najczęściej zatrudnia pracowników, którzy wykonują faktyczne operacje na gromadzonych danych osobowych – dział kadr zajmuje się rekrutacją, przetwarzając dane kandydatów do pracy, marketingowcy tworzą bazy mailingowe, dział handlowy realizuje zamówienia klientów indywidualnych. Jaki jest status tych osób? W jaki sposób administrator upoważnia pracowników do przetwarzania danych osobowych? Czy tylko pracownik powinien legitymować się takim upoważnieniem?
reklama
Z brzmienia art. 37 ustawy o ochronie danych osobowych wynika jasno: „do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych”. Upoważnienie takie posiadać muszą więc wszystkie osoby, które podlegając administratorowi danych, w ramach swoich obowiązków, rzeczywiście uzyskują dostęp do danych osobowych i wykonują jakiekolwiek operacje na tych danych – zbierają je, przechowują, zmieniają lub usuwają.
Mowa tutaj więc nie tylko o pracownikach, ale również o osobach fizycznych działających na rzecz administratora na podstawie innych stosunków prawnych, w tym zleceniobiorcach, wykonawcach działających na podstawie umowy o dzieło i… praktykantach!
Przepisy ustawy o ochronie danych osobowych nie nakładają na administratorów danych obowiązku udzielania upoważnień na piśmie. W praktyce często stosowana jest forma elektroniczna, np. w postaci e-maila. Przepisy nie wykluczają przy tym oczywiście możliwości ustnego udzielenia stosownego upoważnienia.
Warto jednak, choćby w celach dowodowych, na wypadek ewentualnej kontroli, posiadać odpowiednie upoważnienia sporządzone w formie pisemnej. Ponadto zwykle sugeruję klientom, aby zapoznanie się z treścią takiego pisemnego upoważnienia potwierdzali swym podpisem pracownicy. Pozwala to w szczególności na wykazanie, że pracownik został zapoznany z zakresem udzielonego upoważnienia, co ma niebagatelne znaczenie w kontekście obowiązku zapewnienia przez administratora odpowiedniego poziomu bezpieczeństwa danych.
Mówiąc o zakresie upoważnienia, ten zgodnie z przepisami, musi być adekwatny. Innymi słowy, nie ma potrzeby, aby dział marketingu miał wgląd do akt pracowniczych, a kadrowa posiadała pełną bazę klientów spółki. Podstawową zasadą ochrony danych osobowych jest racjonalizowanie dostępu do tych danych i ograniczenie go tylko do sytuacji, gdy dostęp taki jest niezbędny do wykonania określonych czynności. I tak, sekretariat nie może mieć dostępu do danych płacowych, gdyż dane te nie są potrzebne do prawidłowego wykonania obowiązków pracowniczych osób w sekretariacie zatrudnionych.
Choć przepisy nie precyzują, w jaki sposób określić zakres upoważnienia, zwykle sugeruję precyzyjnie wskazać, jakie operacje i na jakich danych może wykonywać osoba upoważniona. Stosowany niekiedy zabieg odwołania się do treści stosunku pracy i obowiązków pracowniczych może spowodować powstanie w niektórych sytuacjach wątpliwości co do zakresu upoważnienia.
Prócz zakresu i - co oczywiste - oznaczenia osoby, której udzielono upoważnienia, winno ono określać administratora danych, który upoważnienia udzielił, a także datę nadania oraz wygaśnięcia upoważnienia, jeśli udzielono go na czas oznaczony. Często stosowana w praktyce klauzula „na okres trwania stosunku pracy/zlecenia” jest dopuszczalna i w mojej ocenie w pełni odpowiada wymogom ustawowym.
Sformalizowanie procedur związanych z ochroną danych osobowych jest tak duże, że nie jest zaskoczeniem fakt, iż wykaz osób upoważnionych stanowi obligatoryjny element prowadzonej przez administratora danych dokumentacji z zakresu ochrony danych osobowych. Trudno jednak dziwić się takiemu posunięciu ustawodawcy. Administrator musi mieć kontrolę nad tym, kto działając w jego imieniu przetwarza dane, natomiast w przypadku dużych podmiotów, zatrudniających niekiedy tysiące osób, mogłoby to być trudne.
Prawnik związany z Kancelarią Adwokatów i Radców Prawnych Ślązak, Zapiór i Wspólnicy. Koordynuje wszystkie procesy wdrażania procedur z zakresu ochrony danych osobowych u klientów. Zajmuje się także sprawami z zakresu prawa własności intelektualnej oraz prawa konkurencji. Prelegent na licznych konferencjach naukowych oraz autor publikacji z zakresu prawa autorskiego i prawa własności przemysłowej.
Absolwent Wydziału Prawa i Administracji Uniwersytetu Śląskiego w Katowicach. Obecnie doktorant w Katedrze Prawa Cywilnego i Prawa Prywatnego Międzynarodowego. Laureat nagrody przyznawanej przez Ministra Nauki i Szkolnictwa Wyższego w konkursie na najlepsze prace naukowe, organizowanego przez Urząd Patentowy RP. Zdobywca wyróżnienia w konkursie prawa własności intelektualnej, prawa nowych technologii i prawa telekomunikacyjnego Itelect.
Autor bloga personalia.com.pl poświęconego tematyce ochrony danych osobowych.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
|
|
|
|
|
|