Z LEXTRA PRZY KAWIE O PRAWIE - Funkcjonowanie RODO w przedsiębiorstwie cz. XI

W ramach dzisiejszego spotkania „Z LEXTRA PRZY KAWIE O PRAWIE”,

FUNKCJONOWANIE RODO cz. XI

Upoważnienie do przetwarzania danych osobowych

Upoważnienie do przetwarzania danych osobowych to nadanie tego uprawnienia osobie, która będzie miała dostęp do danych osobowych, mając na uwadze faktyczny zakres czynności, jakie dana osoba wykonuje w związku z dostępem i przetwarzaniem danych.

Osoba upoważniona do przetwarzania danych osobowych powinna zostać zobowiązana do zachowania poufności danych osobowych (tajemnicy). Samo upoważnienie wystawiane powinno być tylko tym osobom, które faktycznie dane osobowe będą przetwarzać w ramach wykonywanej pracy lub świadczonych usług (nawet jeśli taka osoba nie będzie miała wpływu na treść danych, a uzyska sam dostęp).

Co do zasady upoważnienie do przetwarzania danych osobowych wystawiane jest imiennie. Nie powinno ono wywodzić się z samej treści wiążącej strony umowy, aczkolwiek może być jej częścią. Ważnym jest, by było wystawione w formie papierowej tak, by pracownik mógł się pod nim podpisać własnoręcznie. Istotne jest udowodnienie, że upoważnienie zostało wystawione zgodnie z zasadą rozliczalności.

Jak powinno wyglądać upoważnienie do przetwarzania danych osobowych?

Dokument ten powinien zawierać takie dane jak:

- datę i miejsce wystawienia;

- informacje o aktualnym administratorze danych osobowych;

- dane osoby upoważnionej;

- zakres danych, które osoba upoważniona będzie miała prawo przetwarzać;

- cel upoważnienia;

- postanowienie, że przetwarzanie danych osobowych przez wskazaną osobę będzie odbywać się zgodnie z poleceniami administratora i przez określony czas (zwykle do momentu rozwiązania lub wygaśnięcia umowy, z możliwością cofnięcia upoważnienia w dowolnym momencie);

- postanowienie o obowiązku zachowania poufności również po cofnięciu upoważnienia/wygaśnięciu umowy;

- podpisy stron;

Ewidencja osób upoważnionych

W myśl przepisów RODO, nie ma obowiązku prowadzenia ewidencji osób upoważnionych, aczkolwiek może się ona przydać w przypadku np. kontroli. Prowadzenie takiego rejestru jest praktyczne, gdyż administrator danych osobowych ma wszystkie zobowiązania zebrane w jednym rejestrze. Zalecane jest wpisanie do ewidencji daty wystawienia upoważnienia oraz jego wycofania/wygaśnięcia.

Sankcje

Dostęp do danych osobowych i/lub dokonywanie na nich zmian bez upoważnienia jest rozumiane jako naruszenie przepisów o ochronie danych osobowych oraz może skutkować karami dla administratora, dlatego ważnym jest, aby upoważnienia były wystawiane dla każdej osoby, który ma styczność z danymi osobowymi oraz by były one regularnie aktualizowane, bowiem przetwarzanie danych osobowych to proces ciągły wymagający stałego monitorowania przez administratora danych osobowych.