Każda osoba działająca z upoważnienia administratora i mająca dostęp do danych osobowych przetwarza je wyłącznie na polecenie administratora.

O co zatem chodzi w nadawaniu upoważnień i dlaczego należy to robić? Otóż, nadawanie upoważnień pracownikom i współpracownikom administratora ma na celu to, aby administrator miał kontrolę nad tym kto uzyskuje dostęp do danych oraz w jakim zakresie. Nadanie upoważnienia przez administratora zapobiega nieuprawnionemu wprowadzaniu danych, zmianie czy usuwaniu danych. Chodzi o to, żeby dana osoba miała dostęp tylko do tych danych (dotyczy to również systemów informatycznych), które są niezbędne do wykonywania przez nią jej obowiązków.

KTO NADAJE UPOWAŻNIENIE DO PRZETWARZANIA DANYCH?

Upoważnienie do przetwarzania danych nadaje administrator lub osoba przez niego wyznaczona.

Oznacza to, że na przykład w spółce z o.o. upoważnienie nadaje członek zarządu. Natomiast przy prowadzeniu jednoosobowej działalności gospodarczej – sam przedsiębiorca.

.

UPOWAŻNIENIE DO PRZETWARZANIA DANYCH – CO POWINNO SIĘ W NIM ZNALEŹĆ?

Co powinno znaleźć się w upoważnieniu?

• data nadania upoważnienia;
• imię i nazwisko osoby, której nadaje się upoważnienie;
• cel przetwarzania danych (np. wskazanie zajmowanego stanowiska);
• zakres upoważnienia;
• login / identyfikator w przypadku przetwarzania danych w programie / systemie informatycznym;
• podpis administratora.

JAK OKREŚLIĆ ZAKRES UPOWAŻNIENIA?

Administrator powinien określić do jakich danych pracownik/ współpracownik ma mieć dostęp.

Po pierwsze, można to zrobić poprzez wskazanie konkretnych zbiorów danych, np. zbiór pracownicy, zbiór marketingowy.

Po drugie, można określić zakres upoważnienia poprzez odwołanie się do stanowiska danej osoby oraz obowiązków wskazanych w umowie z tą osobą:

Upoważniam [ ___ ] zatrudnionego na stanowisku [ ___ ] do przetwarzania danych osobowych w zakresie niezbędnym do wykonywania przez niego obowiązków wskazanych w umowie o pracę z dnia [ ___ ].

Ponadto, administrator powinien wskazać w upoważnieniu do jakich systemów informatycznych osoba upoważniona ma dostęp.

FORMA UPOWAŻNIENIA

Upoważnienie można nadać zarówno w formie pisemnej jak i elektronicznej.

Uwaga!

Osoba, która w przedsiębiorstwie ma dostęp do danych szczególnej kategorii powinna posiadać pisemne upoważnienie od administratora.

Jednak czym są te dane szczególnej kategorii? Są to dane, które ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych. Obejmują one również przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej. W końcu mogą to być dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Nadawanie upoważnień w postaci elektronicznej należy uznać za wykonanie obowiązku nadania upoważnień w formie pisemnej. W świetle zasady rozliczalności jakąkolwiek postać, w tym elektroniczną, która pozwala na udokumentowanie spełnienia obowiązków celem wykazania przestrzegania przepisów, a w tym przypadku wykonania obowiązku wynikającego z art. 29 RODO, należy uznać za prawidłową.
Opinia Prezesa UODO z dn. 29.11.2019 r. (https://uodo.gov.pl/pl/225/1278).

EWIDENCJA UPOWAŻNIEŃ

Z pewnością, upoważnienie jest jednym ze środków bezpieczeństwa, które wpływa na zapewnienie zgodności z przepisami w zakresie ochrony danych. Dlatego każde z upoważnień powinno zostać wpisane do ewidencji upoważnień, w której wskażemy takie informacje jak:

• osoba, której nadano upoważnienie;
• data nadania upoważnienia;
• zakres upoważnienia;
• identyfikator (login) w przypadku przetwarzania danych w systemie informatycznym;
• data odwołania / wygaśnięcia upoważnienia.

Prowadzenie takiej ewidencji pozwala administratorowi zapanować nad tym kto posiada upoważnienie oraz w jakim zakresie.

* * *

Podsumowując, po pierwsze nadaj pracownikowi/ współpracownikowi upoważnienie. Następnie, przemyśl jaki powinien być zakres upoważnienia, tj. do jakich faktycznie danych pracownik powinien mieć dostęp. Następnie wpisz informację o nadaniu upoważnienia do ewidencji upoważnień.