Jak nadawać upoważnienia do przetwarzania danych osobowych. Wzory dokumentów i dobre praktyki

Prezentuję kolejną część serii artykułów dotyczących dokumentacji ochrony danych osobowych. Znajdą tu Państwo szablon samego dokumentu upoważnienia do przetwarzania danych osobowych, a także instrukcję dotyczącą praktycznego stosowania tego dokumentu.

Upoważnienia do przetwarzania danych osobowych – podstawa prawna

Nadawanie upoważnień osobom przetwarzającym dane osobowe, to obowiązek przewidziany w art. 37 ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku Dz.U. 1997 Nr 133 poz. 883, dalej: uodo.

art. 37 ustawy o ochronie danych osobowych

„Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.”

W ramach nowelizacji uodo, od 1 stycznia 2015, dodano także art 36 a ust. 2 pkt. 1 ppk c), który mówi o tym, że: Administrator Danych (lub Administrator Bezpieczeństwa Informacji jeśli został powołany), ma obowiązek „zapoznać osoby upoważnione do przetwarzania danych osobowych z przepisami o ochronie danych osobowych”.

I to wszystko, jeśli chodzi o przepisy prawne regulujące nadawanie upoważnień. Ustawodawca nie wskazał ani formy, ani nie dał żadnych precyzyjnych wytycznych. Nie mamy więc odgórnej, ustawowej instrukcji, jak dokument upoważnienia powinien wyglądać, ani jaki powinien przebiegać proces jego nadawania.

W związku z powyższym, opieram się na orzecznictwie i sygnalizacjach GIODO, orzecznictwie sądów administracyjnych oraz własnym, prawie 10 letnim doświadczeniu praktycznym.

Po co nam upoważnienie do przetwarzania danych osobowych?

Upoważnienie do przetwarzania danych osobowych to dokument w którym administrator danych, ceduje prawo do ich przetwarzania na swoich współpracowników.

Nadanie upoważnień (poza spełnieniem ustawowego obowiązku), to następujące korzyści dla administratora danych:

Korzyści z nadawania upoważnień:

  • Fakt nadania upoważnienia, ma w swoim założeniu minimalizować ryzyko wycieku danych osobowych. Pracownik, który otrzymuje dokument do podpisania, będzie bardziej świadom ciążącej na nim odpowiedzialności.
  • Upoważnienia porządkują wewnętrzną strukturę organizacyjną. Pracownicy otrzymują upoważnienia do konkretnych zbiorów danych i tylko w tych zbiorach mogą przetwarzać dane osobowe.
  • Moment nadania upoważnienia dobrze „pieczętuje” czynność zapoznania pracowników z przepisami i wewnętrznymi regulacjami z zakresu ochrony danych osobowych (tj. najczęściej: szkolenia).
  • Nadawanie upoważnień jest ściśle powiązane z ich ewidencjonowaniem. W razie incydentów związanych z ochroną danych osobowych często konieczne jest ustalenie czy dany pracownik działał w ramach nadanego mu upoważnienia.
  • Dla samego administratora danych osobowych, nadawanie upoważnień w wielu sytuacjach może zwolnić go całkowicie lub częściowo od poniesienia odpowiedzialności związanej z incydentem danych osobowych.

Kto może nadawać upoważnienie do przetwarzania danych osobowych?

W myśl art. 37 uodo, upoważnienia nadaje administrator danych osobowych. A więc osoba reprezentująca spółkę czy organ.

Niektórzy administratorzy danych chcą mieć pełną kontrolę nad nadawaniem upoważnień i podpisywać każde upoważnienie osobiście.

Inni upoważniają do nadawania upoważnień, Administratora Bezpieczeństwa Informacji (dalej: ABI) bądź jeszcze inne osoby.

W średnich i dużych organizacjach zalecam aby upoważnienia były nadawane przez ABI-ego. Decydują tu względy praktyczne. Oczekiwanie na podpis Prezesa czy innej osoby reprezentującej administratora danych trwa czasem bardzo długo. Przez ten czas dane przetwarzane są bez upoważnienia. A to duże ryzyko.

Jeśli administrator danych nie nadaje upoważnień osobiście, konieczne jest odpowiednie umocowanie osoby nadającej upoważnienia. Można to zrobić na kilka różnych sposobów.

Pierwszy z nich (najprostszy), to upoważnienie ABIego do nadawania upoważnień w polityce bezpieczeństwa. Sama Polityka bezpieczeństwa podpisywana jest przez osobę uprawnioną do reprezentacji organizacji. Z momentem podpisania Polityki bezpieczeństwa, ABI zostanie więc umocowany do nadawania upoważnień.

Drugi sposób, to odrębny dokument upoważnienia, podpisany przez osobę uprawnioną do reprezentacji Administratora danych. Wzór dokumentu załączam do pobrania za pośrednictwem linku poniżej:

Pobierz szablon wyznaczenia ABI i upoważnienia go do nadawania upoważnień

Pobierz

W jakiej formie nadawać upoważnienia do przetwarzania danych osobowych?

Przepisy nie determinują formy nadawania upoważnień. W związku z powyższym, upoważnienia możemy nadawać w formie papierowej i elektronicznej.

W praktyce najczęściej stosowane są następujące rozwiązania:

Upoważnienia nadawane w formie pisemnej, podpisywane przez pracownika:

To rozwiązanie najbezpieczniejsze. Mamy pisemne potwierdzenie nadania upoważnienia, a więc najlepszy możliwy dowód na to, że pracownik został prawidłowo upoważniony. Jednocześnie jest to rozwiązanie najbardziej czasochłonne. Musimy każdorazowo zadbać o odręczny podpis i doręczenie dokumentu dwóm osobom: osobie podpisującej upoważnienie (ABI lub Prezes) oraz upoważnianemu pracownikowi.

W przypadku organizacji posiadających rozproszoną strukturę (np. sieć oddziałów), rozwiązanie może okazać się problematyczne. Pomiędzy zatrudnieniem pracownika, a jego faktycznym upoważnieniem może minąć miesiąc.

Upoważnienie nadawane w formie mailowej, za potwierdzeniem pracownika:

Rozwiązaniem bardziej elastycznym jest nadanie upoważnienia za pomocą wysyłki maila do pracownika. To rozwiązanie znacznie szybsze, dzięki któremu łatwiejsze jest upoważnienie pracownika niezwłocznie po zatrudnieniu. Możemy wezwać pracownika do potwierdzenia odbioru upoważnienia. Daje nam to dodatkową gwarancję i dowód na to, że pracownik otrzymał upoważnienie. Oczywiście będzie to dowód gorszej „jakości” niż podpis pracownika. Również w świadomości pracownika lepiej „zapisze się” upoważnienie w wersji papierowej.

Upoważnienie nadawane w formie mailowej, bez potwierdzenia pracownika.:

To rozwiązanie najbardziej elastyczne. W praktyce sprawdza się najlepiej w dużych organizacjach, gdzie upoważniamy większą ilość pracowników na rozproszonym obszarze. Jednocześnie rozwiązanie najbardziej ryzykowne (ale wciąż zgodne z przepisami prawa).

Które z powyższych rozwiązań jest najlepsze? Nie ma tu jednoznacznej odpowiedzi ani recepty idealnej.

 Wszystko zależy od konkretnej sytuacji. Jeśli mamy zwartą na jednym obszarze strukturę organizacyjną. Ponadto przetwarzamy dużą ilość danych osobowych (zwłaszcza danych wrażliwych), to zalecam upoważnienia pisemne. Dają największą gwarancję i najlepiej wpływają na poziom świadomości pracowników.

Inaczej ma się sprawa, jeśli przetwarzamy zwykłe dane osobowe, oferując produkty czy usługi w relacji typu: biznes dla biznesu. Zwłaszcza, kiedy mamy rozproszoną na dużym terytorium strukturę. Sama wysyłka upoważnień tradycyjną drogą pocztą, może generować znaczące koszty. A przede wszystkim duże obciążenia czasowe. Oczywiście ABI może jeździć po całym kraju i upoważniać każdego nowego pracownika z osobna. Ale tutaj wracam znów do kwestii kosztów i adekwatności całego przedsięwzięcia.

Upoważnienie do przetwarzania danych osobowych a uprawnienie

Oba wyrazy brzmią bardzo podobnie. W języku prawniczym oznaczają jednak zupełnie co innego. Upoważnienie do przetwarzania danych osobowych, to termin prawniczy. Wymóg nadania upoważnienia wynika z art. 37 uodo. Upoważnienie dokumentowane jest w odpowiedni sposób (pisemny lub elektroniczny).

Uprawnienie to termin informatyczny. Czynność faktyczna polegająca na założeniu konta, nadania loginu i hasła do systemu, a także określonego zakresu dostępu do zasobów systemu.

Nadawanie upoważnień może być zsynchronizowane z nadawaniem uprawnień w systemie informatycznym. W dokumencie upoważnienia możemy też wskazać do jakich konkretnie systemów informatycznych ma dostęp wybrany pracownik.

Jak odpowiednio zgrać moment nadania upoważnienia z zatrudnieniem i szkoleniem?

Jak efektywnie szkolić przed nadawaniem upoważnień?

Skorzystaj z naszych innowacyjnych, interaktywnych e-szkoleń. Przekonaj się, że e-learningi nie muszą być nudnymi, brzydkimi blokami tekstu, których pracownik nie zapamięta. Brzmi interesująco? Zapraszamy do naszego e-sklepu 😉 Kup e-szkolenia

Podczas mojej prawie 10 letniej już praktyki zawodowej, nie spotkałem się z tzw. „stanem idealnym”. Czyli sytuacją, kiedy absolutnie każdy pracownik posiada aktualne upoważnienie oraz szkolenie już w momencie pierwszych czynności przetwarzania danych osobowych. Zwłaszcza w dużych organizacjach, osiągnięcie takie stanu może być niemożliwe.

Pojawiać się będą sytuacje w których nowo zatrudniony pracownik musi rozpocząć pracę, a np. ABI jest na urlopie. Nie ma więc kto podpisać upoważnienia do przetwarzania danych osobowych. Możemy oczywiście wstrzymać pracę nowo zatrudnionej osoby ale tym samym możemy sprowokować inne ryzyka dla organizacji.

Do stanu idealnego warto dążyć ale z pełną świadomością, że jest to ideał, nie zawsze możliwy do pełnego osiągnięcia.

 

Co powinno znaleźć się w treści upoważnienia do przetwarzania danych osobowych?

Przykładową treść upoważnienia mogą Państwo pobrać za pomocą poniższego linku:

Pobierz szablon upoważnienia

Pobierz
 Poniżej rozwiązanie dla tych który chcą skorzystać z naszej wiedzy eksperckiej, żeby samodzielnie wdrożyć RODO w swojej organizacji:

Dlaczego upoważnienie wygląda właśnie w ten sposób? Według mnie jest to bardzo uniwersalna i praktyczna wersja.

Upoważnienie zawiera wskazanie zbioru danych do którego upoważniamy pracownika. Co prawda ustawa nie nakazuje wprost wskazywać do jakiego zbioru upoważniamy, jednak zdecydowanie zalecam takie rozwiązanie. Dlaczego?

Powodów jest co najmniej kilka. Po pierwsze, poza samym upoważnieniem do przetwarzania danych osobowych, musimy prowadzić również ewidencje osób upoważnionych (art. 39 ust. 1 uodo). W tym przypadku ustawodawca wprost nakazuje opisać zakres upoważnienia.

Po drugie wskazanie zbioru, do jakiego upoważniamy pracownika, ma znaczenie praktyczne. Jestem zdecydowanym zwolennikiem budowania praktycznych systemów ochrony danych osobowych.

Nadając upoważnienie pracownika kadr do zbioru „kadry”, podkreślamy jego odpowiedzialność za przetwarzane dane. To również wpływa na poziom świadomości i odpowiedzialności.

Odpowiedzialność podkreśla również zapis mówiący o tym, że pracownik zobowiązuje się zachować dane w poufności i że jest świadom że udostępnienie danych stanowi ciężkie naruszenie obowiązków pracowniczych.

Jak odpowiednio dobrać zakres upoważnienia?

Każdy ABI zastanawiał się kiedyś nad tym do ilu zbiorów upoważnić dane pracownika. Dla przykładu zastanówmy się nad zbiorem „kadrowym”. Teoretycznie, zgodnie z definicją przetwarzania danych osobowych z art. 7 ust. 2 uodo, każdy z pracowników przetwarza przynajmniej w podstawowym zakresie dane osobowe swoich kolegów i koleżanek z pracy.

Czy jednak oznacza to, że powinniśmy każdego pracownika upoważnić do zbioru kadrowego? Idąc dalej tym tokiem rozumowania, zastanówmy się nad zakresem upoważnienia dla pracowników recepcji. W praktyce mogą mieć oni dostęp do wszystkich zbiorów danych osobowych. Choćby w trakcie adresowania i wysyłania korespondencji.

Logiczne więc wydaje się upoważnienie wszystkich pracowników organizacji do zbioru „pracownicy” oraz pracowników recepcji do wszystkich zbiorów danych osobowych.

Jednak takie rozumowanie jest logiczne tylko pozornie. Sens upoważnienia leży w podkreśleniu roli danego pracownika przy dostępie do konkretnych danych osobowych. Jeśli upoważnimy wszystkich pracowników do zbioru „pracownicy”, to gwarantuję, że pojawią się „ciekawscy”, pytający o wysokość wynagrodzeń swoich kolegów i koleżanek. Przecież otrzymali upoważnienie do zbioru „pracownicy”!

W związku z powyższym, zdecydowanie nie rekomenduję „szafowania” upoważnieniami. Aby system działał skutecznie, powinniśmy upoważnić do przetwarzania danych w zbiorze, jedynie wybrane osoby. Jeśli chodzi o zbiór kadrowy, takimi osobami powinni być pracownicy działu kadr (HR, personalny) czy księgowości, którzy na co dzień mają dostęp do teczek akt osobowych czy systemów kadrowo – płacowych.

Oczywiście nie da się przyjąć tutaj idealnie – precyzyjnego kryterium podziału. Zawsze będzie pewna dowolność w ocenie czy pracownik A powinien otrzymać upoważnienie do zbioru kadrowego, czy jeszcze nie. Na pewno pomóc może ustalenie czy dany pracownik ma dostęp np. do systemu kadrowo płacowego.

Dlatego też zdecydowanie zalecam, aby doprecyzowaniem zakresu upoważnień były uprawnienia dostępu pracowników do konkretnych systemów informatycznych.

Czy upoważniać do konkretnych czynności oraz wskazywać obszary gdzie dane mogą być przetwarzane?

Tutaj prawo nie daje nam odpowiedzi wprost. Odpowiedzi daje za to praktyka. Spotkałem się kiedyś z realną sytuacją, kiedy ABI nadał upoważnienia do przetwarzania danych osobowych, wskazując dokładnie pomieszczenia w których te dane będą mogły być przetwarzane.

Intencje były oczywiście dobre. Pracownicy organizacji o której mowa, często wyjeżdżali w teren. Pracując w terenie w różnych lokalizacjach w Polsce, wysyłali dokumenty czy ich zdjęcia ze swoich smartfonów.

ABI wcześniej wytłumaczył im, że przetwarzanie danych osobowych, to wszelkie operacje na danych, a także że przetwarzanie danych niezgodnie z treścią upoważnienia, jest przestępstwem. Jednocześnie Dyrektor wyraził pełną zgodę i akceptację na transfer zwykłych danych, za pomocą urządzeń mobilnych. W ten sposób pracownicy zostali postawienie przed trudnym wyborem. Albo narażą się ABIemu i nie podpiszą upoważnienia. Albo podpiszą dokument, jednocześnie narażając się Dyrektorowi oraz przepisom prawa.

Pracownicy woleli narazić się ABIemu i kolektywnie odmówili podpisania tak skonstruowanych upoważnień.

Czy upoważnienia można nadawać tylko osobom zatrudnionym na podstawie umowy o pracę?

W praktyce spotykamy się z różnymi formami zatrudnienia. Umowy o pracę, umowy cywilnoprawe i współpraca na podstawie działalności gospodarczej (tzw. samozatrudnienie). Niezależnie od formy prawnej, osoby współpracujące czy zatrudnione, posiadają często szerokie dostępy do danych osobowych. Według mnie niezależnie od formy współpracy, właściwszym trybem będzie nadanie upoważnienia.

Sytuacja komplikuje się w przypadku osób samozatrudnionych (na podstawie działalności gospodarczej). Tutaj jestem zdania, że w przypadku, kiedy faktycznie mamy do czynienia z formą stałej współpracy, gdzie samozatrudniony jest freelancerem, to właściwsze będzie nadanie upoważnienia.

Jeśli osoba fizyczna prowadząca działalność gospodarczą w praktyce prowadzi przedsiębiorstwo, zatrudnia współpracowników i nie jesteśmy jej jedynym Kontrahentem – właściwa będzie umowa powierzenia.

A co jeśli pracownik odmówi podpisania upoważnienia?

Zdarzało mi się doradzać początkującym ABIm, którzy żalili się, że pracownicy nie chcą podpisywać upoważnień.

Odmowa podpisania upoważnienia, może mieć różne przyczyny. Często te przyczyny są dość racjonalne. Niektórzy pracownicy obawiają się tego, że upoważnienie podpisywane jest „z datą wsteczną”. Zdecydowanie odradzam takie praktyki. Budzą one obawy współpracowników.

Pamiętajmy również o tym, że na podstawie art. 105 kodeksu postępowania administracyjnego, Generalny Inspektor Ochrony Danych Osobowych, bada stan faktyczny na dzień dzisiejszy. Inspektorzy nie mają podstaw prawnych do kwestionowania tego, że upoważnienia nadano dopiero w 2016 roku, tymczasem uodo obowiązuje od 1997 roku.

Oczywiście, jeśli mamy dużą organizację, a system ochrony danych osobowych jest „bardzo świeży” (budowany np. tydzień przed kontrolą), to inspektorzy to zauważą. Nie mogą wskazać tego jako uchybienia ale musimy liczyć się z tym, że potraktują nas z większą dozą podejrzliwości.

Jeśli zakres upoważnienia opiszemy w sposób niespójny i chaotyczny, to także może sprawić, że pracownicy będą bali się podpisywać dokument. Chodzi o przypadki, które opisałem już w jednym z akapitów. Na przykład: kiedy pracownicy przetwarzają dane w wielu lokalizacjach, a tymczasem na upoważnieniu bardzo wąsko sprecyzowano obszar przetwarzania danych osobowych.

Niektórzy pracownicy dostrzegają pewne braki w zabezpieczeniu danych osobowych. Na przykład brak niszczarek czy szaf zamykanych na klucz dla dokumentacji zawierającej dane osobowe. Odmowa podpisania upoważnienia, może wynikać z obaw, że administrator danych osobowych, w ten sposób chce przerzucić odpowiedzialność na pracowników.

Nie pozostaje nam wtedy nic innego, jak wytłumaczyć, że za samo zapewnienie środków zabezpieczeń odpowiada administrator danych osobowych. Pracownik rzadko kiedy ma wpływ na możliwość zakupu niszczarki czy zamykanej na klucz szafy.

Jeśli dobrze dobraliśmy zakres upoważnienia i wytłumaczyliśmy pracownikom, że nadanie upoważnienia jest obowiązkiem prawnym, spoczywającym na administratorze danych, to zrobiliśmy wszystko co możliwe.

Jeśli wszystkie metody porozumienia się zawiodą, możemy nadać upoważnienie tylko mailowo, nie zbierając podpisu od takiego pracownika (jeśli stosujemy procedurą pisemną). Oczywiście dobrze by było taką „awaryjną” procedurę opisać w Polityce Bezpieczeństwa.

Podsumowanie

Upoważnienie do przetwarzania danych osobowych to kluczowy element systemu ochrony danych osobowych.

Jednocześnie ustawodawca zostawił nam dużo swobody w zakresie sposobu i formy nadawania upoważnień. Każdy sposób i każda forma będzie miała swoje mocne i słabe strony.

Zastanówmy się i „przegadajmy” temat w gronie osób decyzyjnych, zanim podejmiemy finalną decyzję. Współpracownicy pomogą podjąć najlepsze możliwe decyzje.

I jeszcze jedna bardzo ważna sprawa. Nawet niezbyt fortunnie dobrane rozwiązanie, będzie zawsze lepsze niż całkowity brak upoważnień.

Dlatego lepiej zacząć działać teraz. Jeśli okaże się, że wybrane przez nas rozwiązanie nie działa „na żywym organizmie”, zawsze można je zmienić.

Profesjonalne wsparcie

Mamy nadzieję, że poradnik był dla Ciebie pomocny. Jeśli chcesz skorzystać z pomocy przy szkoleniu upoważnianych pracowników, zapraszamy do skorzystania z naszej pomocy. Oferujemy szkolenia stacjonarne oraz innowacyjne, interaktywne e-learningi.
Więcej

Źródła:

  • 9 letnie doświadczenie pełnieniaia funkcji ABI lub wsparcia ABI w ponad 100 organizacjach. Kilka tysięcy godzin szkoleniowych (w tym szkoleń dla ABI).
  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922),
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. ( U. z 2004 r. Nr 100, poz. 1024 ) w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. ( Dz. U. Poz. 745) w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji 

Powiązane artykuły

Odpowiedzialność IOD, czyli za co IOD może odpowiadać
korespondecja z UODO
Korespondencja z UODO – 7 najczęstszych błędów
Wdrożenie RODO - korzyści
Wdrożenie RODO – to się naprawdę opłaca!

53 Odpowiedzi

  1. Grzesiek

    „Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych”. Mam dylemat, bo z tego zapisu nie wynika, że ma to być „zmaterializowane” upoważnienie (forma pisemna lub elektroniczna). Czy upoważnienie nadane ustnie przez administratora danych (reprezentanta administratora danych) też będzie wypełniało ten ustawowy zapis?

    1. Kancelaria Lex Artist

      Zgadza się. Upoważnienia można nadawać ustnie. Problem w tym, że jeśli dojdzie do wycieku danych, to kontrola GIODO czy prokuratura, pierwsze co zrobi, to zapyta czy ABI/ADO, nadał upoważnienia do przetwarzania danych osobowych.
      Jak potwierdzimy wtedy fakt nadania upoważnienia? Będziemy mieli tylko słowo, przeciwko słowu.

      1. Grzesiek

        Wniosek jest więc taki, że obowiązujące w Polsce prawo dotyczące ochrony danych osobowych jest bardzo niedoskonałe. W jednym miejscu nakazuje np. zawierać umowy powierzenia przetwarzania danych osobowych w formie pisemnej (art. 31 ust. 1 UODO), chociaż zgodnie z kodeksem cywilnym umowy i kontrakty ustne również obowiązują i mają moc prawną. Z drugiej strony w przypadku nadawania upoważnień do przetwarzania danych osobowych nie wskazują formy takiego upoważnienia, czym stwarzają pole do nadużyć i nadinterpretacji.

      2. misu

        Czy można przyjąć że (wracając do stanu na 2016 rok) dowodem ustnego upoważnienia do przetwarzania danych klientów firmy będzie upoważnienie udzielone przez szefa pracownikowi aby ten w jego imieniu podpisywał korespondencję kierowaną do klientów firmy?

        1. Kancelaria Lex Artist

          Jeżeli administrator danych będzie w stanie wykazać, że faktycznie nastąpiło udzielenie takiego upoważnienia, to tak. Problemy wynikające z czynności dokonywanych w formie ustnej wynikają z tego, iż trudno jest ich dowieść, wystarczy bowiem, że jedna z osób zaprzeczy, iż dana czynność miała miejsce, a dowodzenie faktu dokonania czynności w formie ustnej jest dalece bardziej utrudnione, niż jakakolwiek inna forma (pisemna czy elektroniczna). Pozdrawiamy!

          1. misu

            Dziękuję za tak szybką odpowiedź. Pytanie było czysto hipotetyczne ale nie do końca precyzyjne.Uzupełniając (oczywiście cały czas odnosząc się do stanu poprzedniego np. z 2013 czy 2016 r.) czy gdyby jakieś pisma zostały podpisane przez pracownika i wysłane do klientów firmy na ustne polecenie szefa czy te pisma mogłyby być elementem potwierdzającym że doszło do ustnego upoważnienia pracownika do przetwarzania danych klientów do których wysłano korespondencję?Np. gdy kopie takich pism pozostałyby w archiwach.

  2. Karolina

    Witam 🙂
    Czy mogę prosić o wyjaśnienie (takie najprostsze) czym się różni rejestr zbiorów danych (na przykład tych jawnych, które powinnam umieścić na stronie internetowej) od zbiorów prowadzonych w jednostce (a które wprowadzam w upoważnieniach dla pracowników). Się pogubiłam…
    Pozdrawiam

    1. Kancelaria Lex Artist

      Każdy administrator danych osobowych musi wiedzieć, jakie zbiory są przetwarzane w jego organizacji. Dlatego jednym z elementów polityki bezpieczeństwa jest wykaz zbiorów danych osobowych. Czyli wskazanie nazw tych zbiorów (np. kadry, rekrutacja, księga korespondencji). Podstawa prawne prowadzenia tego rejestru/wykazu to Rozporządzenie w sprawie warunków technicznych i organizacyjnych z 2004 roku.
      Z kolei za jawnym rejestrem stoi inny akt prawny (Rozporządzenie w sprawie sposobu prowadzenia przez Administratora Bezpieczeństwa Informacji rejestru zbiorów danych – zostało podpisane przez Ministra Administracji i Cyfryzacji w dniu 25 maja 2015 roku) i inna idea.
      Jawny rejestr ma być takim „ułatwieniem” dla ABI. Czyli jeśli są jakieś zbiory danych osobowych, które powinny być zgłaszane do GIODO, to (o ile to nie są dane wrażliwe), jeśli zgłosimy ABIego do GIODO, to zbiorów nie trzeba już zgłaszać. Wystarczy ująć je w jawnym rejestrze.
      Podsumowując – wewnętrzny wykaz zbiorów danych to element dokumentacji ochrony danych osobowych. Niezbędny w każdym przypadku.
      Jawny rejestr zbiorów to trochę element „interakcji” z regulatorem (GIODO). To specjalny rejestr który w niektórych przypadkach może pozwolić nam na niezgłaszanie baz danych do GIODO.
      Ale tutaj przeczyta o nim Pani znacznie więcej 🙂
      https://blog-daneosobowe.pl/my-juz-wiemy-jak-prowadzic-jawny-rejestr-zbiorow-danych-osobowych/

  3. Karolina

    Witam. Czy w przypadku przetwarzania danych osobowych których nie jesteśmy administratorem (zostały nam powierzone przez inny podmiot) powinniśmy nadać naszym pracownikom upoważnienia do ich przetwarzania?

    1. Łukasz Zegarek

      Każdy pracownik (również zatrudniany przez tzw. Procesora, czyli podmiot tylko przyjmujący dane w powierzenie) mający dostęp do danych osobowych (nieważne, czy powierzonych, czy nie) musi posiadać upoważnienie do przetwarzania danych osobowych. W opisanej przez Panią sytuacji warto natomiast rozstrzygnąć, kto ma nadawać upoważnienia – Procesor bezpośrednio zatrudniający pracownika, czy powierzający Administrator Danych, do którego należą dane osobowe. Oba warianty są powszechnie stosowane. To na jaki się Państwo zdecydują, najlepiej uregulować w samej umowie powierzenia.

      1. gosia

        Dzień dobry , podpinam się pod pytanie. Jesteśmy procesorem więc doprecyzowując czy musimy zawrzeć ze swoimi pracownikami umowy dalszego powierzenia przetwarzania danych czy wystarczy że z pracownicy podpiszą upoważnienia nadane przez nas czyli procesora?

        1. Łukasz Zegarek

          Dzień dobry,

          Zdecydowanie rekomendujemy tę drugą opcję – swoim pracownikom powinni Państwo:
          – nadać upoważnienia do przetwarzania danych osobowych (ew. powinien to zrobić Administrator)
          – zobowiązać ich do zachowania danych w poufności
          – przeszkolić z zakresu bezpiecznego przetwarzania danych osobowych.

          Pozdrawiam,
          Łukasz Zegarek

  4. renata

    czy w przypadku kiedy ADO nie powołał w firmie funkcji ABI to czy może powołać inną funkcję wśród swoich pracowników jak np. Koordynator ds ochrony danych osobowych który podpisywałby upoważnienia i pełnił taką funkcję kontrolną?

    1. Łukasz Zegarek

      Tak, jest taka możliwość. Bardzo ważne, żeby w takim przypadku, osobie która ma nadawać upoważnienia w imieniu ADO, Administrator Danych nadał stosowne uprawnienie.
      Na marginesie – co ciekawe, sama ustawa o ochronie danych osobowych nie wymienia w wykazie „typowych” obowiązków ABI nadawania przez niego upoważnień. Jakkolwiek jeśli ABI już jest powołany, to nadawanie upoważnień najczęściej należy do jego obowiązków. Natomiast w świetle prawa może się to odbywać dopiero po nadaniu ABI stosownego uprawnienia przez ADO.

  5. Iz

    Proszę o wyjaśnienie podstawy prawnej, która miałaby wskazywać, iż kontrola GIODO bada stan faktyczny na dzień kontroli – art 105 KPA mówi o umorzeniu postępowania i nie widzę żadnego powiązania z w/w kwestią.

  6. Przemek

    Czy pracownik musi upoważnić pracodawcę do przetwarzania jego danych ?
    I czy jest jakiś wzór takiego upoważnienia ?

  7. Anna

    Dzień dobry,
    mam pytanie czy jeżeli powołamy inspektora ds. ochrony danych osobowych, pomimo, że nie mamy takiego obowiązku to musimy ten fakt zgłosić PUODO?

    1. Gabriela

      Dzień dobry, jeśli w firmie zmienia się osoba na stanowisku IODo, a adres kontaktowy email zostaje taki sam, to czy następca powinien mieć wgląd w działalność poprzednika czy skrzynkę należy wyczyścić?

      1. Lex Artist

        Dzień dobry 🙂 jeśli jest to adres kontaktowy podawany np.w klauzuli informacyjnej, przy zgłoszeniu IOD-a do UODO, historia korespondencji powinna być zachowana. Generalnie należy przyjąć, że służbowe skrzynki mailowe nie służą do celów prywatnych i należy tą kwestę uregulować np w regulaminie korzystania z poczty służbowej. pozdrawiamy

  8. Anna

    Dzień dobry.
    1) Adwokat prowadzący kancelarię prawna jako jednoosobową działalność gospodarczą czasami korzysta z zastępstwa innego adwokata np. na rozprawie w sądzie. Czy w takim przypadku ma upoważnić tego drugiego adwokata do przetwarzania danych osobowych jego klienta, czy zawrzeć z nim umowę powierzenia (jednorazową, cykliczną?)?
    2) Ten sam adwokat w ramach swojej działalności przekazuje dane osobowe klientów do komornika. Ma to robić na podstawie umowy powierzenia?
    3) Mediator sądowy – w swojej działalności ma zbierać zgody na przetwarzanie danych osobowych klientów kierowanych do niego przez sąd? Ma spełnić obowiązek klauzuli informacyjnej wobec tych osób?
    Pozdrawiam.

    1. Kancelaria Lex Artist

      Dzień dobry. Zaczniemy od końca – mediator nie musi zbierać takich zgód, ponieważ sąd udostępnia mu dane osobowe na innej podstawie prawnej, niż zgoda. Natomiast obowiązek informacyjny powinien spełnić, staje się bowiem odrębnym administratorem danych osobowych. Przekazanie przez adwokata danych klientów do komornika odbywa się w ramach udostępnienia, a nie powierzenia przetwarzania danych osobowych. Komornik staje się bowiem odrębnym administratorem danych. Co do pierwszego pytania – nie zawieralibyśmy w tej sytuacji umowy powierzenia, tylko udostępnili dane osobowe klientów drugiemu adwokatowi – adwokat będący pełnomocnikiem substytucyjnym sam decyduje bowiem o celach i sposobach wykorzystania przekazanych danych klienta, co wypełnia przesłanki bycia administratorem danych (art. 4 pkt 7 RODO). Pozdrawiamy!

  9. Monika

    Dzień dobry
    w szkole co roku powoływana jest komisja rekrutacyjna, która działa w okresie wakacyjnym i weryfikuje podania elektroniczne ( w odpowiednim programie) uczniów do danej placówki. Skład komisji co roku może się zmieniać.
    Czy należy nadać tym nauczycielom czasowe upoważnienie do przetwarzania tego konkretnego zbioru? Czy wszystkim nauczycielom nadać upoważnienia na czas nieokreślony?

    1. Kancelaria Lex Artist

      Dzień dobry. Aby odpowiedzieć na to pytanie należy wpierw rozważyć, czy każdy z zatrudnionych w szkole nauczycieli może zostać członkiem komisji rekrutacyjnej. Jeśli tak, nie ma przeszkód, aby nadać im upoważnienia do tego zbioru w ramach jednego upoważnienia do zbiorów, do których dany nauczyciel ma mieć dostęp (jednego dokumentu). Pozdrawiamy!

  10. Gabriela

    Dzień dobry,

    dla danej osoby zostało wydane upoważnienie do przetwarzania danych osobowych, w zakresie którego były czynności związane z przetwarzaniem danych osobowych, jakie faktycznie ta osoba wykonywała. Zaczęła ona jednak pełnić nowe funkcje i w związku z tym takie upoważnienie należy rozszerzyć, uzupełnić. Czy można to dokonać za pomocą dokumentu, który będzie określał że np upoważnienie z dn…. zmienia brzmienie w pkt 2 i otrzymuje takie a takie brzmienie?
    Pozdrawiam

  11. Paweł

    Witam serdecznie, czy jeśli wysyłamy rozprawę doktorską do recenzentów, to zachodzi konieczność spełnienia obowiązku informacyjnego z RODO?
    pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. A w jakim celu miałby być spełniany? Nie widzimy tutaj takiej konieczności. 🙂 Pozdrawiamy!

  12. Paweł

    Witam, zbieramy dane osobowe tych recenzentów, ponieważ będzie im wypłacone wynagrodzenie w związku z napisaniem recenzji 🙂 pozdrawiam 🙂

  13. Marta

    witam,
    czy osoba zatrudniona w firmie na umowę kontraktową powinna mieć podpisaną umowę powierzenia danych czy wystarczy tu jedynie upoważnienie?

    1. Lex Artist

      Dzień dobry 🙂 w opisanym przypadku wystarczające będzie upoważnienie z zapisem o odpowiedzialności karnej, dodatkowo zalecamy uzyskanie o oświadczenia o zachowaniu w tajemnicy danych osobowych i sposobów ich zabezpieczenia, również po zakończeniu współpracy. pozdrawiamy

  14. Marta

    witam,
    czy administrator może upoważnić np: kadrowego do wystawiania i przede wszystkim podpisywania w jego imieniu upoważnień do przetwarzania danych przez pracowników? Czy wystarczy tu odpowiednie pełnomocnictwo? Pozdrawiam

    1. Lex Artist

      Dzień dobry 🙂 Zdaniem Regulatora, aby zapewnić właściwy system ochrony danych w jednostce, najkorzystniejszym rozwiązaniem jest nadawanie upoważnień do przetwarzania danych osobowych przez samego administratora danych. Jeśli jednak podmiot jest złożony organizacyjnie istnieje możliwość nadawania upoważnień przez m.in. kadrowego lub kierowników poszczególnych komórek organizacyjnych. Pozdrawiamy!

  15. anna

    Witam,

    mam pytanie praktyczne …czy jeśli pracownik chce skorzystać z dnia wolnego z tytułu oddania krwi ?czy wymagane jest zaświadczenie z punktu poboru do okazania a następnie pracownik podpisuje oświadczenie czy nie możemy żadać niczego…2. Czy można podawać telefony służbowe i maile z imieniem i nazwiskiem jesłi ktoś szuka drogi kontaktu ..a firma jest bardzo duża i np. wysłanie wiadomości na adres ogólny tylko wydłuży proces?

    1. Lex Artist

      Dzień dobry 🙂
      1. W naszej opinii dokumentem uprawniającym do otrzymania czasu wolnego z tego tytułu jest zaświadczenie ze stacji krwiodawstwa. Sprawy dotyczące nieobecności pracownika reguluje Rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 15 maja 1996 r. w sprawie sposobu usprawiedliwiania nieobecności w pracy oraz udzielania pracownikom zwolnień od pracy, kwestia zwolnienia od pracy pracownika na okoliczność poboru krwi jest opisana w §12.
      2. W opisanym przypadku, mając na uwadze złożoną strukturę organizacyjną sugerujemy ustalenie ogólnych maili dla każdej z komórek organizacyjnych np. , . Pozdrawiamy

  16. anidza

    Dzień dobry:-)

    bardzo dziękuję za odpowiedź.
    Jednak mam jeszcze wątpliwości i chętnie zapoznam się z Państwa opinią.
    Wracając do przypadku 1 ) Czy zatem należy pobrać i przechowywać takie zaświadczenie ?Czy wystarczy okazanie osobie, która udziela urlopu ?

    W przypadku 2) Ludzie często pytają 0/1 można/nie można podawać numeru telefonu i imienia i nazwiska do pracownika danego działu( nie mówię tutaj o sytuacji kiedy ktoś ewidentnie dzwoni z ofertą, której nie chcemy ale np. o sytuacji kiedy pracownik kontrahenta lub Spółki matki prosi o kontakt do kogoś z innego działu – mówię tu o sytuacjach dynamicznych kiedy konsekwencje ich przeciągania np. poprzez maile ogólne są opłakane w skutkach. Czy można pracownikom tłumaczyć o podejściu zdroworozsądkowym, że nie ma złotego środka i samemu trzeba realnie ocenic sytuację? Czy ewidentnie podanie takiego kontaktu jest naruszeniem etc..

    Pozdrawiam

    1. Lex Artist

      Dzień dobry 🙂
      1. W naszej opinii zaświadczenie należy przechowywać – to na jego podstawie pracownik zostaje zwolniony od pracy.
      2. Imienny Email, numer telefonu są traktowane jako dane osobowe, więc podlegają ochronie. Oczywiście w opisanej przez Panią sytuacji należy zachować przede wszystkim zdrowy rozsądek. Aby uniknąć zarzutu bezpodstawnego udostępnienia danych, w pierwszej kolejności należy ustalić w organizacji sposób działania, wskazując sytuacje w których nie podanie danych powoduje negatywne skutki dla pracownika i firmy.
      Pozdrawiamy!

  17. agnieszka

    Dzień dobry,

    Czy obecnie nadając upoważnienie do przetwarzania danych osobowych dla pracownika należy je nadać do konkretnych zbiorów? Czy wystarczyłoby wpisać w treści upoważnienia: upoważnienie do przetwarzania danych osobowych, niezbędnych do realizacji zadań służbowych zgodnie z zakresem czynności określonych przez Administratora?
    Czy mógłby to być jakiś inny zakres oprócz zbiorów, jeśli tak to jaki?
    Czy w upoważnieniu należy umieścić informację do jakich czynności osoba ma upoważnienie tzn. wgląd, modyfikowanie, udostępnianie itd.?Także w zakresie konkretnego zbioru.

    Dziękuję za odpowiedź.

    1. Lex Artist

      Dzień dobry, nadając upoważnienie w szczególności powinniśmy wskazać zbiory do których upoważniany pracownik będzie miał dostęp. Dodatkowe informacje typu: rodzaj czynności jakie będzie wykonywał na danych osobowych jak najbardziej mogą znaleźć się w treści upoważnienia, choć nie są one w naszej opinii obligatoryjne. Pozdrawiamy!

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO