Dostęp do danych osobowych mogą mieć wyłącznie osoby do tego upoważnione przez administratora danych. Co koniecznie musi się znaleźć w takim upoważnieniu?
Samo RODO nie przedstawia takich szczegółowych wytycznych. W rozporządzeniu można jedynie trafić na informację o tym, że osoby upoważnione do przetwarzania danych osobowych muszą się zobowiązać do zachowania tajemnicy lub podlegać odpowiedniemu ustawowemu obowiązkowi z nią związanemu. Ponadto osoby te działają wyłącznie na polecenie administratora.
Forma upoważnienia
Przepisy nie określają formy ani nie narzucają jednego wzoru takiego upoważnienia. Upoważnienie do przetwarzania danych może być odpowiednim punktem, paragrafem w umowie o pracę, w opisie stanowiska pracy czy w zakresie obowiązków służbowych. Upoważniony pracownik podpisuje się pod upoważnieniem i jest świadomy swojej odpowiedzialności oraz zakresu uprawnień, czynności, jakie może wykonać, przetwarzając dane osobowe. Nie może więc być mowy o upoważnieniu ustnym.
Jakie elementy musi zawierać upoważnienie
Jeżeli administrator zdecyduje się na wprowadzenie odrębnego dokumentu pt. „Upoważnienie do przetwarzania danych”, to powinien mieć on dość elastyczne brzmienie. Powinien oczywiście określać:
– administratora danych,
– miejsce i datę wystawienia,
– wskazywać imię, nazwisko i stanowisko służbowe pracownika, któremu nadaje się upoważnienie.
W dalszej części powinno opisywać, że pracownik otrzymuje upoważnienie do przetwarzania danych osobowych na wyznaczonym stanowisku pracy, zgodnie z powierzonymi obowiązkami pracowniczymi oraz poleceniami administratora danych. Administrator nie zamyka sobie wtedy możliwości oddelegowania pracownika do innych obowiązków i prac, np. przy zastępstwie za innego pracownika.
Zakres upoważnienia powinien wynikać z charakteru zajmowanego stanowiska pracy. Jednak szczegółowy zakres uprawnień powinien być opisany w ewidencji osób upoważnionych lub wynikać z funkcjonalności systemów informatycznych służących do przetwarzania danych, gdzie najczęściej zakresy uprawnień przypisane są do rodzaju konta użytkownika, do konkretnego stanowiska pracy.
To, kto wnioskuje o nadanie uprawnień dla pracownika i kto je przyznaje – powinna określać wewnętrzna procedura nadawania i odbierania uprawnień do przetwarzania danych, zwłaszcza w systemie informatycznym.
Upoważnienie nadaje się na czas zatrudnienia z prawem jego zmiany lub odwołania w każdym czasie. Trudno jest w samym upoważnieniu jednoznacznie określić datę ustania upoważnienia. Powinna być ona uzupełniona w ewidencji osób upoważnionych, najczęściej w momencie zakończenia zatrudnienia. Upoważnienie powinno również zobowiązywać osobę upoważnioną do zachowania tajemnicy danych osobowych. Tajemnica danych osobowych nie ulega przedawnieniu i musi być zachowana również po ustaniu zatrudnienia, a dotyczy nie tylko samych danych osobowych, ale także środków i sposobów ich zabezpieczenia.
Ewidencja osób upoważnionych
Poza samym upoważnieniem, RODO nakłada również obowiązek prowadzenia przez administratora ewidencji osób, które zostały upoważnione do przetwarzania danych osobowych. Wspomniany dokument powinien podawać:
– imię i nazwisko osoby upoważnionej,
– datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
– identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
Chcesz wiedzieć więcej co i jak zmienia RODO? Zapraszamy do lektury:
- Rejestr czynności przetwarzania danych osobowych
- Prawo do bycia zapomnianym
- Prawo do przenoszalności danych
- Zgoda dziecka na przetwarzanie danych
- Obowiązek aktualizowania uzyskanej już raz zgody na przetwarzanie danych
- Anonimizacja a pseudonimizacja
- Obowiązek zgłaszania naruszeń
- Powierzanie przetwarzania danych
- Umowa powierzania przetwarzania danych osobowych
- Rozszerzony obowiązek informacyjny
