LexDigital

Upoważnienie do przetwarzania danych osobowych

Jest jednym z wymagań, które stawia przed nami RODO w art. 29 — Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego: "Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora danych, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego."

Upoważnienie do przetwarzania danych osobowych

Oraz w art. 32 ust. 4 - Bezpieczeństwo przetwarzania:

Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

Wydaje się proste? Nic bardziej mylnego. O czym należy pamiętać, projektując proces zarządzania upoważnieniami do przetwarzania danych osobowych w organizacji?

network, web, skyline

Kto może nadawać upoważnienia?

Najłatwiej byłoby powiedzieć: Inspektor ochrony danych osobowych.

Niestety nie jest to odpowiednio umocowana osoba, choć wielu Administratorów uważa, że jest to idealna osoba do zaplanowania wydawania oraz nadzoru nad upoważnieniami.

Właśnie! Administrator danych osobowych — to jego obowiązkiem jest nadawanie upoważnień do przetwarzania danych. Jak w każdym procesie operacyjnym w organizacji istnieje potrzeba wdrożenia w proces osób, które będą mogły odciążyć Administratora z tego zadania. Najczęściej takimi osobami są pracownicy działu Kadr czy HR, gdzie bardzo naturalnym elementem zatrudnienia nowego pracownika jest przekazanie mu niezbędnych kwestionariuszy i formularzy do uzupełnienia, przekazania dokumentacji do zapoznania oraz wydanie upoważnienia do przetwarzania danych.

WAŻNE: Administrator danych osobowych ma obowiązek umocować osoby wydające upoważnienia odpowiednim pełnomocnictwem!

circuit board, computer, chip

Kogo upoważniamy do przetwarzania danych osobowych?

Jak wskazują art. 29 RODO oraz art. 32 ust. 4 RODO: Administrator oraz Podmiot przetwarzający powinni upoważnić każdą osobę mającą dostęp do danych osobowych, które przetwarza na ich polecenie.

W praktyce oznacza to każdą osobę w organizacji, która ma dostęp do danych osobowych. Intuicyjne wydaje się podejście, że upoważnienia wydajemy osobom, które mają dostęp do danych osobowych w systemach IT — pracownicy biurowi, ale należy również pamiętać o osobach, które przetwarzają dane w formie papierowej np. jako pracownicy produkcyjni czy magazynowi. Oprócz pracowników należy upoważnić również współpracowników, ponieważ upoważnienie nie dotyczy tylko relacji na podstawie kodeksu pracy i umowy o pracę, ale również innych umów cywilnoprawnych.

electrician, lego, repair

Jaka powinna być forma upoważnienia do przetwarzania danych osobowych?

Odpowiadając szczerze: forma powinna być łatwa do zarządzania oraz skuteczna co do zrozumienia osób upoważnionych, do czego tak naprawdę ich zobowiązujemy.

Na szczęście przepisy prawne nie wskazują, jaka jest prawidłowa forma wydawania upoważnienia. Rekomendujemy jednak, aby była to forma, która będzie w przyszłości mogła posłużyć jako dowód tj. forma papierowa lub elektroniczna.

circuit board, circuits, control center

Treść upoważnienia — propozycja LexDigital

Rekomendujemy, aby treść upoważnienia była transparentna i zrozumiała dla jego odbiorcy. Bazujemy na 3 elementach, które naszym zdaniem są w nim najważniejsze:

  • upoważnienie do przetwarzania danych,
  • zobowiązanie do zachowania danych oraz informacji w tajemnicy,
  • oświadczenie o zapoznaniu się z dokumentacją RODO istniejącą w Spółce.

Przykładowa treść:

UPOWAŻNIENIE do przetwarzania danych osobowych w XXX

Działając w imieniu XXX, na podstawie art. 29 Ogólnego Rozporządzenia o Ochronie Danych Osobowych upoważniam do przetwarzania danych osobowych w imieniu Administratora, w zakresie wynikającym z piastowanego stanowiska, postanowień umowy oraz poleceń służbowych.

circuit board, conductor tracks, circuits

Jednocześnie, wraz z nadanym upoważnieniem, zobowiązuję Państwa do przestrzegania przepisów dotyczących ochrony danych osobowych ze szczególnym uwzględnieniem Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - RODO) i Ustawy z dnia 10 maja 2018 roku o Ochronie Danych Osobowych (Dz. U. z 2018 poz. 1000 ze zm.) oraz wprowadzonych i wdrożonych do stosowania przez Spółkę procedur postępowania i wewnętrznych polityk.

Niniejsze upoważnienie traci moc najpóźniej z dniem odwołania albo rozwiązania lub wygaśnięcia umowy o pracę, umowy zlecenia, umowy o dzieło lub innej umowy cywilnoprawnej łączącej Państwa ze XXX.

server, space, the server room

Niniejsze upoważnienie nie uprawnia do udzielania dalszych upoważnień.

……….……….................... ……….………...............................

Miejscowość, data (pełnomocnik Administratora)

OŚWIADCZENIE O POUFNOŚCI

W związku z udzielonym mi powyżej upoważnieniem do przetwarzania osobowych, niniejszym zobowiązuję się do zachowania w tajemnicy przetwarzanych danych osobowych oraz sposobów ich zabezpieczenia stosowanych przez XXX zarówno w trakcie trwania umowy, jak również po jej ustaniu.

Jest to oczywiście tylko jeden z możliwych scenariuszy w podejściu do upoważnień. Pożądanym podejściem jest też nadawanie upoważnień macierzowa, tzn. upoważniamy do konkretnych procesów przetwarzania (z RCP) lub zgodnie z zadaniami na konkretnym stanowisku (bazując na karcie stanowiskowej, jeżeli taka istnieje).

fiber optic cable, glass fiber, it

Przechowywanie nadanych upoważnień do przetwarzania danych osobowych

Jeszcze jedna ważna zasada, zgodna z powyższym zaleceniem do co funkcji upoważnienia jako dowodu, który w przyszłości może posłużyć do udokumentowania upoważnienia przed organem nadzorczym czy Administratorem. Ważne jest, aby przechowywać upoważnienia do przetwarzania danych w formie przeszukiwalnej. Powtarzamy to do znudzenia, ale i tym razem powinniśmy pilnować zasady rozliczalności.

To może być umieszczenie upoważnienia do przetwarzania danych w profilu pracownika w kadrowym systemie informatycznym, prowadzenie rejestru upoważnień oraz katalogu treści upoważnień z opisem pliku danymi osobowymi pracownika lub najbardziej bezpiecznie byłoby wskazać: opis pliku unikalnym numerem pracobiorcy :)

cpu, processor, macro

Szukając pomocy w przepisach prawa, warto odnieść się do § 3 Rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej. Rozporządzenie wskazuje, iż akta osobowe złożone są z czterech części. W § 3 pkt 2 lit. a) Rozporządzenia czytamy, że w części B akt osobowych pracownika powinny znaleźć się m.in. oświadczenia lub dokumenty dotyczące danych osobowych, gromadzone w związku z nawiązaniem stosunku pracy. Jest to więc kolejna z opcji przechowywania upoważnienia — część B akt osobowych pracownika. Forma przechowywania upoważnień ma gwarantować ich dostępność, w sytuacjach, w których będziemy o nie odpytani.

Co zrobić, aby nadawanie upoważnień do przetwarzania danych stało się skutecznym środkiem bezpieczeństwa?

Ostatni, ale najważniejszy punkt naszych rozważań. Upoważnienie do przetwarzania danych osobowych pełni rolę środka bezpieczeństwa. Oznacza to, że jest jednym z organizacyjnych środków bezpieczeństwa, które wdraża Administrator lub podmiot przetwarzający w celu zagwarantowania odpowiedniego poziomu ochrony danych osobowych każdej osoby fizycznej, której dane przetwarza.

robot, artificial intelligence, woman

Wydanie upoważnienia nie jest niczym skomplikowanym — ważne jest, aby stworzyć w organizacji kulturę bezpieczeństwa, która pozwoli pracownikom i współpracownikom na zrozumienie, czym dla nich tak naprawdę jest upoważnienie?

Rekomendujemy, aby podzielić upoważnienia na dwa rodzaje:

  1. Upoważnienie do przetwarzania zwykłych kategorii danych,
  2. Upoważnienie do przetwarzania szczególnych kategorii danych.

To rozróżnienie pozwala na postawienie akcentu na dane szczególnej kategorii. Takie upoważnienie otrzymuje bardzo niewielka pula osób w organizacji. Pokazujemy tym, jak ważne jest, aby dane wrażliwe były zabezpieczone w sposób szczególny.

Poza podziałem upoważnień rekomendujemy, aby podczas szkolenia onboardingowego szkolący przedstawiał rolę upoważnień w budowaniu systemu ochrony danych osobowych w Spółce.

Polecane

Upoważnienie do przetwarzania danych osobowych

Upoważnienie do przetwarzania danych osobowych

Jest jednym z wymagań, które stawia przed nami RODO w art. 29 — Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego: "Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora danych, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego."

Cookiesy, zgody i RODO oraz nowy projekt raportu od EDPB

Cookiesy, zgody i RODO oraz nowy projekt raportu od EDPB

Kwestie regulacji dotyczących plików cookie oraz zgody na ich używanie od dawna intrygują osoby zajmujące się ochroną danych osobowych. Jak obecnie wygląda ta kwestia? Jakie akty prawne dotyczą zasady używania ciasteczek w Polsce oraz jak ewoluuje ten temat w Unii Europejskiej?

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk