Upoważnienie do przetwarzania danych osobowych – czym jest i po co je wystawiać?
Czym jest upoważnienie do przetwarzania danych osobowych i dlaczego należy je wystawić? Jak zrobić to poprawnie oraz czym jest rejestr (ewidencja) osób upoważnionych? Na te i inne pytania odpowiemy w serii artykułów o upoważnieniach do przetwarzania danych osobowych.
Czym w ogóle jest upoważnienie?
To nic innego jak (zazwyczaj) dokument, który określa, do jakich danych osobowych może mieć dostęp pracownik na konkretnym stanowisku.
Upoważnienie do przetwarzania danych osobowych – dlaczego jest ono wymagane?
Zacznijmy od przepisów prawa. W RODO możemy odnaleźć następujący zapis prawny na temat tego, kto może przetwarzać dane osobowe Administratora:
Art. 29 RODO
„Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.”
Z tego przepisu wynika, że nie można przetwarzać danych osobowych bez polecenia administratora. Przyjmuje się więc, że każda osoba, która działa w imieniu Administratora, zanim uzyska dostęp do danych, powinna otrzymać stosowne upoważnienie.
Proces wystawiania upoważnień jest też ważny z perspektywy jeszcze jednego obowiązku ciążącego na Administratorze – wdrażanie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać (tj. zasada rozliczalności). Wystawianie upoważnień i umożliwianie konkretnych dostępów pracownikowi angażuje Administratora do kontrolowania dostępów i uporządkowania procesu nadawanych uprawnień, co zwiększa bezpieczeństwo przetwarzanych danych w organizacji.
Po co wystawiać upoważnienia do przetwarzania danych osobowych?
Po pierwsze, oczywiście prawo tego od nas wymaga. Jednak sam proces posiada wiele zalet dla przedsiębiorcy. Dbając o ochronę danych osobowych i dostęp jednostek do konkretnych zbiorów danych dba też o dobro i ochronę swojego biznesu, kontrolując dostępy zarówno do zbiorów danych jak i systemów informatycznych. Może dzięki temu na bieżąco kontrolować kto od kiedy i jaki posiadał dostęp. Posiadając nad tym kontrolę, w sytuacji przykładowo rozwiązania stosunku pracy z pracownikiem możliwe jest szybkie i sprawne odebranie konkretnych uprawnień chroniąc tym samym dane osobowe klientów ale też dbając o ochronę biznesu. Z praktyki wiemy, że sam proces nadawania upoważnień porządkuje kwestie kadrowe i organizacyjne związane z dostępami do konkretnych danych osobowych ale też przy okazji informacji biznesowych. Uświadamia też luki organizacyjne. Ważne jest to z perspektywy planu ciągłości działania organizacji.
Komu wystawiamy upoważnienia?
Wszystkim osobom, które mają styczność (nawet sporadyczną) z danymi osobowymi, tzn. przetwarzają je, pod warunkiem zawarcia z taką osobą umowy. Konieczność wystawienia upoważnienia nie jest uzależniona od formy współpracy (czyli umowy cywilnoprawne również). Upoważnienie może dotyczyć również umów stażowych czy też w niektórych sytuacjach praktyk. W tym przypadku zalecamy podejście indywidualne, tj. rozpatrzenie zasadności nadania upoważnienia praktykantowi.
Uwaga!
Kwestią sporną może okazać się sytuacja, gdzie zawarta jest umowa B2B (business – to – business), tj. umowa pomiędzy osobą samozatrudnioną, a firmą dla której mają być realizowane usługi (Administrator Danych Osobowych) czyli umowa między dwoma podmiotami gospodarczymi. Najczęściej (i takie rozwiązanie praktykujemy) w przypadku, gdy osoba zatrudniona na B2Bpracuje tylko dla naszej firmy (i mamy ku temu pewność) traktujemy go jako pełnoprawnego pracownika i wystawiamy upoważnienie do przetwarzania danych. W innym przypadku, gdy zatrudniony współpracuje z więcej niż jednym podmiotem, lepszym rozwiązaniem będzie podpisanie z pracownikiem umowy powierzenia przetwarzania danych osobowych. Ważne jest to z perspektywy odpowiedzialności wobec danych, do których osoba zatrudniona ma dostęp, w tym sposobie ich przetwarzania i ochrony – zwłaszcza, jeśli odbywa się to na prywatnym sprzęcie czy też osoba wykonuje pracę poza siedzibą firmy.
Komu nie wystawiamy upoważnień?
Pracownikom, którzy nie mają w ogóle dostępu do danych osobowych, najczęściej są to osoby odpowiedzialne za utrzymanie czystości w budynku, dozorcy, czy gospodarze obiektów.
Upoważnienie do przebywania w obszarze przetwarzania danych osobowych
Należy pamiętać, że w sytuacji, gdy pracownik nie ma dostępu do danych osobowych, ale pracuje w miejscu, gdzie takie dane się znajdują, Administrator Danych Osobowych powinien wystawić odrębny dokument – upoważnienie do przebywania w obszarze przetwarzania danych osobowych. Konieczność nadania takiego upoważnienia należy jednak rozpatrzeć każdorazowo i indywidualnie.
Zobacz przykład:
Pracownik na stanowisku specjalista ds. utrzymania porządku i czystości ze względu na charakter swojej pracy nie nie potrzebuje przetwarzać dane osobowe Administratora, aby móc wykonywać swoje obowiązki. Jednakże, podczas wykonywania swoich obowiązków będzie znajdował się w obszarze przetwarzania danych a to już wymaga stosownego upoważnienia. Pomimo braku bezpośredniego dostępu do danych (a przynajmniej teoretycznie tak powinno się to odbywać – osoba, która nie została upoważniona do przetwarzania danych osobowych nie powinna mieć do nich dostępu) powinna zostać upoważniona do samego przebywania w obszarze przetwarzania.
Działanie to jest istotne w przypadku udokumentowania, iż osoba ta została upoważniona do samego przebywania na konkretnym obszarze w celach rozliczalności w przyszłości, a także kontroli nad dostępem do konkretnych pomieszczeń pracowników.