Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Jak nadawać upoważnienia do przetwarzania danych osobowych. Wzory dokumentów i dobre praktyki

Prezentuję kolejną część serii artykułów dotyczących dokumentacji ochrony danych osobowych. Znajdą tu Państwo szablon samego dokumentu upoważnienia, a także instrukcję dotyczącą praktycznego stosowania upoważnień do przetwarzania danych osobowych.

Podstawa prawna

Nadawanie upoważnień osobom przetwarzającym dane osobowe, to obowiązek przewidziany w art. 37 ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku Dz.U. 1997 Nr 133 poz. 883, dalej: uodo.

art. 37 ustawy o ochronie danych osobowych

„Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.”

W ramach nowelizacji uodo, od 1 stycznia 2015, dodano także art 36 a ust. 2 pkt. 1 ppk c), który mówi o tym, że: Administrator Danych (lub Administrator Bezpieczeństwa Informacji jeśli został powołany), ma obowiązek „zapoznać osoby upoważnione do przetwarzania danych osobowych z przepisami o ochronie danych osobowych”.

I to wszystko, jeśli chodzi o przepisy prawne regulujące nadawanie upoważnień. Ustawodawca nie wskazał ani formy, ani nie dał żadnych precyzyjnych wytycznych. Nie mamy więc odgórnej, ustawowej instrukcji, jak dokument upoważnienia powinien wyglądać, ani jaki powinien przebiegać proces jego nadawania.

W związku z powyższym, opieram się na orzecznictwie i sygnalizacjach GIODO, orzecznictwie sądów administracyjnych oraz własnym, prawie 10 letnim doświadczeniu praktycznym.

Po co tak naprawdę jest upoważnienie?

Upoważnienie do przetwarzania danych osobowych to dokument w którym administrator danych, ceduje prawo do ich przetwarzania na swoich współpracowników.

Nadanie upoważnień (poza spełnieniem ustawowego obowiązku), to następujące korzyści dla administratora danych:

Korzyści z nadawania upoważnień:

  • Fakt nadania upoważnienia, ma w swoim założeniu minimalizować ryzyko wycieku danych osobowych. Pracownik, który otrzymuje dokument do podpisania, będzie bardziej świadom ciążącej na nim odpowiedzialności.
  • Upoważnienia porządkują wewnętrzną strukturę organizacyjną. Pracownicy otrzymują upoważnienia do konkretnych zbiorów danych i tylko w tych zbiorach mogą przetwarzać dane osobowe.
  • Moment nadania upoważnienia dobrze „pieczętuje” czynność zapoznania pracowników z przepisami i wewnętrznymi regulacjami z zakresu ochrony danych osobowych (tj. najczęściej: szkolenia).
  • Nadawanie upoważnień jest ściśle powiązane z ich ewidencjonowaniem. W razie incydentów związanych z ochroną danych osobowych często konieczne jest ustalenie czy dany pracownik działał w ramach nadanego mu upoważnienia.
  • Dla samego administratora danych osobowych, nadawanie upoważnień w wielu sytuacjach może zwolnić go całkowicie lub częściowo od poniesienia odpowiedzialności związanej z incydentem danych osobowych.

Kto może nadawać upoważnienie do przetwarzania danych osobowych?

W myśl art. 37 uodo, upoważnienia nadaje administrator danych osobowych. A więc osoba reprezentująca spółkę czy organ.

Niektórzy administratorzy danych chcą mieć pełną kontrolę nad nadawaniem upoważnień i podpisywać każde upoważnienie osobiście.

Inni upoważniają do nadawania upoważnień, Administratora Bezpieczeństwa Informacji (dalej: ABI) bądź jeszcze inne osoby.

W średnich i dużych organizacjach zalecam aby upoważnienia były nadawane przez ABI-ego. Decydują tu względy praktyczne. Oczekiwanie na podpis Prezesa czy innej osoby reprezentującej administratora danych trwa czasem bardzo długo. Przez ten czas dane przetwarzane są bez upoważnienia. A to duże ryzyko.

Jeśli administrator danych nie nadaje upoważnień osobiście, konieczne jest odpowiednie umocowanie osoby nadającej upoważnienia. Można to zrobić na kilka różnych sposobów.

Pierwszy z nich (najprostszy), to upoważnienie ABIego do nadawania upoważnień w polityce bezpieczeństwa. Sama Polityka bezpieczeństwa podpisywana jest przez osobę uprawnioną do reprezentacji organizacji. Z momentem podpisania Polityki bezpieczeństwa, ABI zostanie więc umocowany do nadawania upoważnień.

Drugi sposób, to odrębny dokument upoważnienia, podpisany przez osobę uprawnioną do reprezentacji Administratora danych. Wzór dokumentu załączam do pobrania za pośrednictwem linku poniżej:

Pobierz szablon wyznaczenia ABI i upoważnienia go do nadawania upoważnień

Pobierz

W jakiej formie nadawać upoważnienia do przetwarzania danych osobowych?

Przepisy nie determinują formy nadawania upoważnień. W związku z powyższym, upoważnienia możemy nadawać w formie papierowej i elektronicznej.

W praktyce najczęściej stosowane są następujące rozwiązania:

Upoważnienia nadawane w formie pisemnej, podpisywane przez pracownika:

To rozwiązanie najbezpieczniejsze. Mamy pisemne potwierdzenie nadania upoważnienia, a więc najlepszy możliwy dowód na to, że pracownik został prawidłowo upoważniony. Jednocześnie jest to rozwiązanie najbardziej czasochłonne. Musimy każdorazowo zadbać o odręczny podpis i doręczenie dokumentu dwóm osobom: osobie podpisującej upoważnienie (ABI lub Prezes) oraz upoważnianemu pracownikowi.

W przypadku organizacji posiadających rozproszoną strukturę (np. sieć oddziałów), rozwiązanie może okazać się problematyczne. Pomiędzy zatrudnieniem pracownika, a jego faktycznym upoważnieniem może minąć miesiąc.

Upoważnienie nadawane w formie mailowej, za potwierdzeniem pracownika:

Rozwiązaniem bardziej elastycznym jest nadanie upoważnienia za pomocą wysyłki maila do pracownika. To rozwiązanie znacznie szybsze, dzięki któremu łatwiejsze jest upoważnienie pracownika niezwłocznie po zatrudnieniu. Możemy wezwać pracownika do potwierdzenia odbioru upoważnienia. Daje nam to dodatkową gwarancję i dowód na to, że pracownik otrzymał upoważnienie. Oczywiście będzie to dowód gorszej „jakości” niż podpis pracownika. Również w świadomości pracownika lepiej „zapisze się” upoważnienie w wersji papierowej.

Upoważnienie nadawane w formie mailowej, bez potwierdzenia pracownika.:

To rozwiązanie najbardziej elastyczne. W praktyce sprawdza się najlepiej w dużych organizacjach, gdzie upoważniamy większą ilość pracowników na rozproszonym obszarze. Jednocześnie rozwiązanie najbardziej ryzykowne (ale wciąż zgodne z przepisami prawa).

Które z powyższych rozwiązań jest najlepsze? Nie ma tu jednoznacznej odpowiedzi ani recepty idealnej.

 Wszystko zależy od konkretnej sytuacji. Jeśli mamy zwartą na jednym obszarze strukturę organizacyjną. Ponadto przetwarzamy dużą ilość danych osobowych (zwłaszcza danych wrażliwych), to zalecam upoważnienia pisemne. Dają największą gwarancję i najlepiej wpływają na poziom świadomości pracowników.

Inaczej ma się sprawa, jeśli przetwarzamy zwykłe dane osobowe, oferując produkty czy usługi w relacji typu: biznes dla biznesu. Zwłaszcza, kiedy mamy rozproszoną na dużym terytorium strukturę. Sama wysyłka upoważnień tradycyjną drogą pocztą, może generować znaczące koszty. A przede wszystkim duże obciążenia czasowe. Oczywiście ABI może jeździć po całym kraju i upoważniać każdego nowego pracownika z osobna. Ale tutaj wracam znów do kwestii kosztów i adekwatności całego przedsięwzięcia.

Upoważnienie do przetwarzania danych osobowych a uprawnienie

Oba wyrazy brzmią bardzo podobnie. W języku prawniczym oznaczają jednak zupełnie co innego. Upoważnienie do przetwarzania danych osobowych, to termin prawniczy. Wymóg nadania upoważnienia wynika z art. 37 uodo. Upoważnienie dokumentowane jest w odpowiedni sposób (pisemny lub elektroniczny).

Uprawnienie to termin informatyczny. Czynność faktyczna polegająca na założeniu konta, nadania loginu i hasła do systemu, a także określonego zakresu dostępu do zasobów systemu.

Nadawanie upoważnień może być zsynchronizowane z nadawaniem uprawnień w systemie informatycznym. W dokumencie upoważnienia możemy też wskazać do jakich konkretnie systemów informatycznych ma dostęp wybrany pracownik.

Jak odpowiednio zgrać moment nadania upoważnienia z zatrudnieniem i szkoleniem?

Jak efektywnie szkolić przed nadawaniem upoważnień?

Sprawdź naszą innowacyjną metodę szkolenia pracowników. Przekonaj się sam, że e-learningi nie muszą być nudnymi, brzydkimi "slajdumentami". Przeklikaj wersję demo. Zobacz nasze e-szkolenia

Podczas mojej prawie 10 letniej już praktyki zawodowej, nie spotkałem się z tzw. „stanem idealnym”. Czyli sytuacją, kiedy absolutnie każdy pracownik posiada aktualne upoważnienie oraz szkolenie już w momencie pierwszych czynności przetwarzania danych osobowych. Zwłaszcza w dużych organizacjach, osiągnięcie takie stanu może być niemożliwe.

Pojawiać się będą sytuacje w których nowo zatrudniony pracownik musi rozpocząć pracę, a np. ABI jest na urlopie. Nie ma więc kto podpisać upoważnienia do przetwarzania danych osobowych. Możemy oczywiście wstrzymać pracę nowo zatrudnionej osoby ale tym samym możemy sprowokować inne ryzyka dla organizacji.

Do stanu idealnego warto dążyć ale z pełną świadomością, że jest to ideał, nie zawsze możliwy do pełnego osiągnięcia.

 

Co powinno znaleźć się w treści upoważnienia do przetwarzania danych osobowych?

Przykładową treść upoważnienia mogą Państwo pobrać za pomocą poniższego linku:

Pobierz szablon upoważnienia

Pobierz

Albo...

...pójdź na skróty i pracuj na poszerzonych pakietach szablonów, których autorami są eksperci Kancelarii Lex Artist – lidera na rynku ochrony danych osobowych w Polsce. Więcej informacji znajdziesz na poniższym porównaniu:

 

Pakiet darmowy

0 zł
  • Upoważnienie do przetwarzania danych

Pakiet Rozszerzony

620 zł
  • Pakiet podstawowy + poniższe elementy
  • Pakiet 5 szkoleń e-learningowych dla pracowników
  • Szablon umowy powierzenia, zgodny z RODO
  • Szablony klauzul: informacyjnej, zgody na przetwarzanie
  • Szablon ewidencji nadanych uprawnień w systemach IT
  • Pakiet dla ABI: Jawny Rejestr Zbiorów, powołanie / odwołanie

Pakiet Podstawowy

210 zł
  • Upoważnienie do przetwarzania danych
  • Ewidencja upoważnień
  • Polityka Bezpieczeństwa
  • Instrukcja Zarządzania Systemami Informatycznymi
  • Instrukcja wdrażania

Dlaczego upoważnienie wygląda właśnie w ten sposób? Według mnie jest to bardzo uniwersalna i praktyczna wersja.

Upoważnienie zawiera wskazanie zbioru danych do którego upoważniamy pracownika. Co prawda ustawa nie nakazuje wprost wskazywać do jakiego zbioru upoważniamy, jednak zdecydowanie zalecam takie rozwiązanie. Dlaczego?

Powodów jest co najmniej kilka. Po pierwsze, poza samym upoważnieniem do przetwarzania danych osobowych, musimy prowadzić również ewidencje osób upoważnionych (art. 39 ust. 1 uodo). W tym przypadku ustawodawca wprost nakazuje opisać zakres upoważnienia.

Po drugie wskazanie zbioru, do jakiego upoważniamy pracownika, ma znaczenie praktyczne. Jestem zdecydowanym zwolennikiem budowania praktycznych systemów ochrony danych osobowych.

Nadając upoważnienie pracownika kadr do zbioru „kadry”, podkreślamy jego odpowiedzialność za przetwarzane dane. To również wpływa na poziom świadomości i odpowiedzialności.

Odpowiedzialność podkreśla również zapis mówiący o tym, że pracownik zobowiązuje się zachować dane w poufności i że jest świadom że udostępnienie danych stanowi ciężkie naruszenie obowiązków pracowniczych.

Jak odpowiednio dobrać zakres upoważnienia?

Każdy ABI zastanawiał się kiedyś nad tym do ilu zbiorów upoważnić dane pracownika. Dla przykładu zastanówmy się nad zbiorem „kadrowym”. Teoretycznie, zgodnie z definicją przetwarzania danych osobowych z art. 7 ust. 2 uodo, każdy z pracowników przetwarza przynajmniej w podstawowym zakresie dane osobowe swoich kolegów i koleżanek z pracy.

Czy jednak oznacza to, że powinniśmy każdego pracownika upoważnić do zbioru kadrowego? Idąc dalej tym tokiem rozumowania, zastanówmy się nad zakresem upoważnienia dla pracowników recepcji. W praktyce mogą mieć oni dostęp do wszystkich zbiorów danych osobowych. Choćby w trakcie adresowania i wysyłania korespondencji.

Logiczne więc wydaje się upoważnienie wszystkich pracowników organizacji do zbioru „pracownicy” oraz pracowników recepcji do wszystkich zbiorów danych osobowych.

Jednak takie rozumowanie jest logiczne tylko pozornie. Sens upoważnienia leży w podkreśleniu roli danego pracownika przy dostępie do konkretnych danych osobowych. Jeśli upoważnimy wszystkich pracowników do zbioru „pracownicy”, to gwarantuję, że pojawią się „ciekawscy”, pytający o wysokość wynagrodzeń swoich kolegów i koleżanek. Przecież otrzymali upoważnienie do zbioru „pracownicy”!

W związku z powyższym, zdecydowanie nie rekomenduję „szafowania” upoważnieniami. Aby system działał skutecznie, powinniśmy upoważnić do przetwarzania danych w zbiorze, jedynie wybrane osoby. Jeśli chodzi o zbiór kadrowy, takimi osobami powinni być pracownicy działu kadr (HR, personalny) czy księgowości, którzy na co dzień mają dostęp do teczek akt osobowych czy systemów kadrowo – płacowych.

Oczywiście nie da się przyjąć tutaj idealnie – precyzyjnego kryterium podziału. Zawsze będzie pewna dowolność w ocenie czy pracownik A powinien otrzymać upoważnienie do zbioru kadrowego, czy jeszcze nie. Na pewno pomóc może ustalenie czy dany pracownik ma dostęp np. do systemu kadrowo płacowego.

Dlatego też zdecydowanie zalecam, aby doprecyzowaniem zakresu upoważnień były uprawnienia dostępu pracowników do konkretnych systemów informatycznych.

Czy upoważniać do konkretnych czynności oraz wskazywać obszary gdzie dane mogą być przetwarzane?

Tutaj prawo nie daje nam odpowiedzi wprost. Odpowiedzi daje za to praktyka. Spotkałem się kiedyś z realną sytuacją, kiedy ABI nadał upoważnienia do przetwarzania danych osobowych, wskazując dokładnie pomieszczenia w których te dane będą mogły być przetwarzane.

Intencje były oczywiście dobre. Pracownicy organizacji o której mowa, często wyjeżdżali w teren. Pracując w terenie w różnych lokalizacjach w Polsce, wysyłali dokumenty czy ich zdjęcia ze swoich smartfonów.

ABI wcześniej wytłumaczył im, że przetwarzanie danych osobowych, to wszelkie operacje na danych, a także że przetwarzanie danych niezgodnie z treścią upoważnienia, jest przestępstwem. Jednocześnie Dyrektor wyraził pełną zgodę i akceptację na transfer zwykłych danych, za pomocą urządzeń mobilnych. W ten sposób pracownicy zostali postawienie przed trudnym wyborem. Albo narażą się ABIemu i nie podpiszą upoważnienia. Albo podpiszą dokument, jednocześnie narażając się Dyrektorowi oraz przepisom prawa.

Pracownicy woleli narazić się ABIemu i kolektywnie odmówili podpisania tak skonstruowanych upoważnień.

Czy upoważnienia można nadawać tylko osobom zatrudnionym na podstawie umowy o pracę?

W praktyce spotykamy się z różnymi formami zatrudnienia. Umowy o pracę, umowy cywilnoprawe i współpraca na podstawie działalności gospodarczej (tzw. samozatrudnienie). Niezależnie od formy prawnej, osoby współpracujące czy zatrudnione, posiadają często szerokie dostępy do danych osobowych. Według mnie niezależnie od formy współpracy, właściwszym trybem będzie nadanie upoważnienia.

Sytuacja komplikuje się w przypadku osób samozatrudnionych (na podstawie działalności gospodarczej). Tutaj jestem zdania, że w przypadku, kiedy faktycznie mamy do czynienia z formą stałej współpracy, gdzie samozatrudniony jest freelancerem, to właściwsze będzie nadanie upoważnienia.

Jeśli osoba fizyczna prowadząca działalność gospodarczą w praktyce prowadzi przedsiębiorstwo, zatrudnia współpracowników i nie jesteśmy jej jedynym Kontrahentem – właściwa będzie umowa powierzenia.

A co jeśli pracownik odmówi podpisania upoważnienia?

Zdarzało mi się doradzać początkującym ABIm, którzy żalili się, że pracownicy nie chcą podpisywać upoważnień.

Odmowa podpisania upoważnienia, może mieć różne przyczyny. Często te przyczyny są dość racjonalne. Niektórzy pracownicy obawiają się tego, że upoważnienie podpisywane jest „z datą wsteczną”. Zdecydowanie odradzam takie praktyki. Budzą one obawy współpracowników.

Pamiętajmy również o tym, że na podstawie art. 105 kodeksu postępowania administracyjnego, Generalny Inspektor Ochrony Danych Osobowych, bada stan faktyczny na dzień dzisiejszy. Inspektorzy nie mają podstaw prawnych do kwestionowania tego, że upoważnienia nadano dopiero w 2016 roku, tymczasem uodo obowiązuje od 1997 roku.

Oczywiście, jeśli mamy dużą organizację, a system ochrony danych osobowych jest „bardzo świeży” (budowany np. tydzień przed kontrolą), to inspektorzy to zauważą. Nie mogą wskazać tego jako uchybienia ale musimy liczyć się z tym, że potraktują nas z większą dozą podejrzliwości.

Jeśli zakres upoważnienia opiszemy w sposób niespójny i chaotyczny, to także może sprawić, że pracownicy będą bali się podpisywać dokument. Chodzi o przypadki, które opisałem już w jednym z akapitów. Na przykład: kiedy pracownicy przetwarzają dane w wielu lokalizacjach, a tymczasem na upoważnieniu bardzo wąsko sprecyzowano obszar przetwarzania danych osobowych.

Niektórzy pracownicy dostrzegają pewne braki w zabezpieczeniu danych osobowych. Na przykład brak niszczarek czy szaf zamykanych na klucz dla dokumentacji zawierającej dane osobowe. Odmowa podpisania upoważnienia, może wynikać z obaw, że administrator danych osobowych, w ten sposób chce przerzucić odpowiedzialność na pracowników.

Nie pozostaje nam wtedy nic innego, jak wytłumaczyć, że za samo zapewnienie środków zabezpieczeń odpowiada administrator danych osobowych. Pracownik rzadko kiedy ma wpływ na możliwość zakupu niszczarki czy zamykanej na klucz szafy.

Jeśli dobrze dobraliśmy zakres upoważnienia i wytłumaczyliśmy pracownikom, że nadanie upoważnienia jest obowiązkiem prawnym, spoczywającym na administratorze danych, to zrobiliśmy wszystko co możliwe.

Jeśli wszystkie metody porozumienia się zawiodą, możemy nadać upoważnienie tylko mailowo, nie zbierając podpisu od takiego pracownika (jeśli stosujemy procedurą pisemną). Oczywiście dobrze by było taką „awaryjną” procedurę opisać w Polityce Bezpieczeństwa.

Podsumowanie

Upoważnienie do przetwarzania danych osobowych to kluczowy element systemu ochrony danych osobowych.

Jednocześnie ustawodawca zostawił nam dużo swobody w zakresie sposobu i formy nadawania upoważnień. Każdy sposób i każda forma będzie miała swoje mocne i słabe strony.

Zastanówmy się i „przegadajmy” temat w gronie osób decyzyjnych, zanim podejmiemy finalną decyzję. Współpracownicy pomogą podjąć najlepsze możliwe decyzje.

I jeszcze jedna bardzo ważna sprawa. Nawet niezbyt fortunnie dobrane rozwiązanie, będzie zawsze lepsze niż całkowity brak upoważnień.

Dlatego lepiej zacząć działać teraz. Jeśli okaże się, że wybrane przez nas rozwiązanie nie działa „na żywym organizmie”, zawsze można je zmienić.

Profesjonalne wsparcie

Mamy nadzieję, że poradnik był dla Ciebie pomocny. Jeśli chcesz skorzystać z pomocy przy szkoleniu upoważnianych pracowników, zapraszamy do skorzystania z naszej pomocy. Oferujemy szkolenia stacjonarne oraz innowacyjne, interaktywne e-learningi.
Więcej

Źródła:

  • 9 letnie doświadczenie pełnieniaia funkcji ABI lub wsparcia ABI w ponad 100 organizacjach. Kilka tysięcy godzin szkoleniowych (w tym szkoleń dla ABI).
  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922),
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. ( U. z 2004 r. Nr 100, poz. 1024 ) w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. ( Dz. U. Poz. 745) w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji 

Powiązane artykuły

Jak skutecznie szkolić z ochrony danych osobowych?
Odpowiedzialność za bezprawne wysyłanie informacji handlowych
Powierzenie danych osobowych – odpowiedzialność i orzecznictwo

12 Odpowiedzi

  1. Grzesiek

    “Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych”. Mam dylemat, bo z tego zapisu nie wynika, że ma to być “zmaterializowane” upoważnienie (forma pisemna lub elektroniczna). Czy upoważnienie nadane ustnie przez administratora danych (reprezentanta administratora danych) też będzie wypełniało ten ustawowy zapis?

    1. Kancelaria Lex Artist

      Zgadza się. Upoważnienia można nadawać ustnie. Problem w tym, że jeśli dojdzie do wycieku danych, to kontrola GIODO czy prokuratura, pierwsze co zrobi, to zapyta czy ABI/ADO, nadał upoważnienia do przetwarzania danych osobowych.
      Jak potwierdzimy wtedy fakt nadania upoważnienia? Będziemy mieli tylko słowo, przeciwko słowu.

      1. Grzesiek

        Wniosek jest więc taki, że obowiązujące w Polsce prawo dotyczące ochrony danych osobowych jest bardzo niedoskonałe. W jednym miejscu nakazuje np. zawierać umowy powierzenia przetwarzania danych osobowych w formie pisemnej (art. 31 ust. 1 UODO), chociaż zgodnie z kodeksem cywilnym umowy i kontrakty ustne również obowiązują i mają moc prawną. Z drugiej strony w przypadku nadawania upoważnień do przetwarzania danych osobowych nie wskazują formy takiego upoważnienia, czym stwarzają pole do nadużyć i nadinterpretacji.

  2. Karolina

    Witam 🙂
    Czy mogę prosić o wyjaśnienie (takie najprostsze) czym się różni rejestr zbiorów danych (na przykład tych jawnych, które powinnam umieścić na stronie internetowej) od zbiorów prowadzonych w jednostce (a które wprowadzam w upoważnieniach dla pracowników). Się pogubiłam…
    Pozdrawiam

    1. Kancelaria Lex Artist

      Każdy administrator danych osobowych musi wiedzieć, jakie zbiory są przetwarzane w jego organizacji. Dlatego jednym z elementów polityki bezpieczeństwa jest wykaz zbiorów danych osobowych. Czyli wskazanie nazw tych zbiorów (np. kadry, rekrutacja, księga korespondencji). Podstawa prawne prowadzenia tego rejestru/wykazu to Rozporządzenie w sprawie warunków technicznych i organizacyjnych z 2004 roku.
      Z kolei za jawnym rejestrem stoi inny akt prawny (Rozporządzenie w sprawie sposobu prowadzenia przez Administratora Bezpieczeństwa Informacji rejestru zbiorów danych – zostało podpisane przez Ministra Administracji i Cyfryzacji w dniu 25 maja 2015 roku) i inna idea.
      Jawny rejestr ma być takim „ułatwieniem” dla ABI. Czyli jeśli są jakieś zbiory danych osobowych, które powinny być zgłaszane do GIODO, to (o ile to nie są dane wrażliwe), jeśli zgłosimy ABIego do GIODO, to zbiorów nie trzeba już zgłaszać. Wystarczy ująć je w jawnym rejestrze.
      Podsumowując – wewnętrzny wykaz zbiorów danych to element dokumentacji ochrony danych osobowych. Niezbędny w każdym przypadku.
      Jawny rejestr zbiorów to trochę element „interakcji” z regulatorem (GIODO). To specjalny rejestr który w niektórych przypadkach może pozwolić nam na niezgłaszanie baz danych do GIODO.
      Ale tutaj przeczyta o nim Pani znacznie więcej 🙂
      https://blog-daneosobowe.pl/my-juz-wiemy-jak-prowadzic-jawny-rejestr-zbiorow-danych-osobowych/

  3. Karolina

    Witam. Czy w przypadku przetwarzania danych osobowych których nie jesteśmy administratorem (zostały nam powierzone przez inny podmiot) powinniśmy nadać naszym pracownikom upoważnienia do ich przetwarzania?

    1. Łukasz Zegarek

      Każdy pracownik (również zatrudniany przez tzw. Procesora, czyli podmiot tylko przyjmujący dane w powierzenie) mający dostęp do danych osobowych (nieważne, czy powierzonych, czy nie) musi posiadać upoważnienie do przetwarzania danych osobowych. W opisanej przez Panią sytuacji warto natomiast rozstrzygnąć, kto ma nadawać upoważnienia – Procesor bezpośrednio zatrudniający pracownika, czy powierzający Administrator Danych, do którego należą dane osobowe. Oba warianty są powszechnie stosowane. To na jaki się Państwo zdecydują, najlepiej uregulować w samej umowie powierzenia.

  4. renata

    czy w przypadku kiedy ADO nie powołał w firmie funkcji ABI to czy może powołać inną funkcję wśród swoich pracowników jak np. Koordynator ds ochrony danych osobowych który podpisywałby upoważnienia i pełnił taką funkcję kontrolną?

    1. Łukasz Zegarek

      Tak, jest taka możliwość. Bardzo ważne, żeby w takim przypadku, osobie która ma nadawać upoważnienia w imieniu ADO, Administrator Danych nadał stosowne uprawnienie.
      Na marginesie – co ciekawe, sama ustawa o ochronie danych osobowych nie wymienia w wykazie “typowych” obowiązków ABI nadawania przez niego upoważnień. Jakkolwiek jeśli ABI już jest powołany, to nadawanie upoważnień najczęściej należy do jego obowiązków. Natomiast w świetle prawa może się to odbywać dopiero po nadaniu ABI stosownego uprawnienia przez ADO.

Zostaw odpowiedź