W maju 2018 roku weszły w życie nowe regulacje prawne dotyczące kwestii ochrony danych osobowych. Dokument znany pod nazwą RODO zmienił wiele przepisów dotyczących tego zagadnienia, usprawniając ochronę najbardziej wrażliwych danych. Zanim wszedł on jednak w życie wiele osób, w tym przedsiębiorców, zastanawiało się, czy dokona on jakichś zmian w kwestii obowiązku wydawania upoważnień np. dla pracowników do przetwarzania danych osobowych, a także prowadzenia ewidencji osób upoważnionych. Praktyka życia codziennego pokazała, że wszelkie regulacje prawne w tym zakresie zostały utrzymane w mocy i nie wprowadzono w nich żadnych drastycznych zmian. Warto dowiedzieć się, jak w praktyce wygląda procedura udzielania upoważnień pracownikom odnośnie do przetwarzania danych osobowych w świetle konieczności szczególnej ochrony poufności tych wrażliwych informacji.
Przetwarzanie danych osobowych – zakres upoważnienia
Zasadniczo w świetle obowiązującego prawa najważniejszym podmiotem, który ma prawo do udzielania zgody na przetwarzanie danych osobowych w określonych sytuacjach, jest administrator danych osobowych. Jedynym wyjątkiem są szczególne sytuacje, o których wspomina prawo unijne albo prawo określonego państwa członkowskiego. W praktyce istnieje jednak wymóg ograniczenia zakresu wydawanego upoważnienia do minimum. Najlepiej, aby wspomniany zakres dotyczył jedynie sytuacji, gdy ewentualny brak dostępu do możliwości przetwarzania danych osobowych w praktyce uniemożliwiałby danemu pracownikowi sprawne wykonywanie przypisanych mu obowiązków służbowych.
O zakresie upoważnienia pracownika do przetwarzania danych osobowych decyduje kierownik firmy, który działa w porozumieniu z przełożonym danej osoby. Często zadanie określenia konkretnego zakresu upoważnienia powierza się kierownikowi działu albo innej jednostki organizacyjnej, w której jest zatrudniona dana osoba. Jeśli w przedsiębiorstwie ktoś pełni funkcję Inspektora Danych, należy również poprosić go o zdanie w tej sprawie. Generalnie jednak zakres jego obowiązków ogranicza się tylko do ustalania zakresu upoważnienia. Nie zajmuje się on natomiast jego wydawaniem.
Pracownicy upoważnieni do przetwarzania danych osobowych
Właściwie w każdym z firmowych działów przy różnych sytuacjach niezbędne może okazać się przetwarzanie danych osobowych. To oznacza, że stosownego upoważnienia w tej sprawie można udzielić na przykład pracownikom działu kadr, marketingu, handlu itp. Co więcej, konkretne pełnomocnictwo można wydać nie tylko na rzecz pracownika etatowego. W określonych sytuacjach z uprawnienia tego mogą korzystać także zleceniobiorcy, osoby wykonujące pracę w oparciu o umowę o dzieło, a nawet stażyści i praktykanci.
Nadawanie pracownikom upoważnień do przetwarzania danych osobowych
Upoważnienie dla pracownika w kwestii dotyczącej przetwarzania danych osobowych wydaje zawsze administrator danych osobowych lub reprezentująca go osoba. W firmach jednoosobowych jest to zazwyczaj sam przedsiębiorca, natomiast w spółkach z ograniczoną odpowiedzialnością członek zarządu. Kierownik działu, w którym pracuje dana osoba, ma prawo wglądu w przyznawane uprawnienia. Jest to związane z jego faktycznym zaznajomieniem z określonymi obowiązkami przypadającymi w udziale danej osobie.
Upoważnienie zewnętrznej firmy do przetwarzania danych osobowych
Zdarza się, że pewne usługi są wykonywane przez przedstawicieli firm outsourcingowych współpracujących z danym podmiotem. W takiej sytuacji zaleca się, aby administratorem danych w dalszym ciągu pozostała ta sama osoba, z zewnętrzną firmą należy jednak zawrzeć osobną umowę, zwaną też umową powierzenia. W praktyce nadaje się upoważnienie przedstawicielowi danego podmiotu do nadawania upoważnień innym osobom w imieniu pierwotnego administratora zgromadzonych danych osobowych.
Regularna weryfikacja osób upoważnionych
W firmach często dochodzi do rotacji na określonych stanowiskach pracy. Zgodnie z zasadami tzw. dobrych praktyk trzeba zatem na bieżąco sprawdzać, czy dana osoba może jeszcze dysponować upoważnieniem do przetwarzania określonych danych osobowych, czy też nie. Weryfikację tych spraw należy przeprowadzać regularnie. O jej częstotliwości decydują jednak w głównej mierze kwestie indywidualne, np. wielkość przedsiębiorstwa, charakter prowadzonej przez nie działalności, liczba zatrudnianych pracowników itp.
Jak ewidencjonować osoby upoważnione do przetwarzania danych osobowych?
Do obowiązków administratora danych po udzieleniu upoważnienia zalicza się ewidencjonowanie osób upoważnionych do przetwarzania danych osobowych. W specjalnie prowadzonej w tym celu dokumentacji powinny znaleźć się imię i nazwisko osoby upoważnionej wraz z loginem wykorzystywanym do przetwarzania danych (loginy pozwalają na skontrolowanie, kto dokładnie ma prawo do przetwarzania danych osobowych), a także zakres upoważnienia i datę jego nadania oraz ustania.
W ewidencji warto zaznaczyć też, jakie stanowisko piastuje dana osoba. Dzięki temu można łatwo zweryfikować, czy przyznany zakres upoważnienia rzeczywiście odpowiada zakresowi wykonywanych obowiązków służbowych.
Autor: Łukasz Stachurski
Źródła: