Wolters Kluwer Sklep Online

Jesteś już użytkownikiem programów LEX?

Jak upoważniać do danych osobowych zgodnie z RODO?

12 lipca 2021

Nieodłącznym elementem pracy każdego administratora jest nadawanie, modyfikacja i cofanie upoważnień dla całego szeregu osób zatrudnionych w ramach organizacji. Z LEX Ochrona Danych Osobowych dowiesz się, jak przygotować precyzyjne upoważnienie, gdzie je przechowywać oraz jakie formy może przybrać.

Wymóg nadawania upoważnień pojawił się już w art. 37 ustawy o ochronie danych osobowych z dn. 29 sierpnia 1997 r. Dziś ten obowiązek opieramy na art. 29 RODO, z którego wynika, że podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego, mająca dostęp do danych osobowych, przetwarza je wyłącznie na polecenie administratora (chyba, że wymaga tego prawo Unii lub prawo państwa członkowskiego).

Czym jest upoważnienie?

Upoważnienie stanowi potwierdzenie faktu, że konkretna osoba posiada ściśle określone prawo do  przetwarzania wskazanych przez administratora danych osobowych. Nadawanie i ewidencja upoważnień ułatwiają kontrolę administratora nad właściwą ochroną danych osobowych w organizacji. Stanowią także element realizacji zasady rozliczalności wynikającej z RODO.
Upoważnić możemy pracownika, zleceniobiorcę, a nawet stażystę czy praktykanta - kluczem do nadawania upoważnień jest ustalenie kto i na jakich zasadach będzie przetwarzał dane osobowe w imieniu administratora danych.

Czy można przetwarzać dane osobowe bez upoważnienia nadanego przez administratora?

I tak, i nie. W przypadku takich zawodów jak biegły rewident, lekarz czy adwokat upoważnienie jest nadane ustawowo. Oznacza to, że w związku z wykonywaniem pracy osoby te spotykają się z danymi osobowymi i z mocy samego prawa uzyskują do nich dostęp. Wynika z tego, że nadawanie im upoważnienia (w zakresie wynikającym z przepisów regulujących wykonywanie tych poszczególnych zawodów ) nie jest konieczne. Przepisy prawa przewidują zakres ich upoważnienia, a administrator nie może go w żadnym stopniu ograniczyć. Nie oznacza to jednak, że nadanie im upoważnienia jest zakazane. Można je nadać w poniższych przypadkach:

  • kiedy ma to pomóc administratorowi w kontroli - upoważnienie ma potwierdzić czyjś dostęp;
  • kiedy nowe uprawnienia mają przekraczać te nadane przez ustawę.

Zadaniem administratora jest dbanie o to, by upoważnienia były zgodne z prawem. Jeżeli osoba, której chcemy nadać upoważnienie, nie znajduje się w gronie zawodów uprawnionych z mocy samego prawa, należy zadbać o nadanie właściwego upoważnienia.

W jakiej formie można nadawać upoważnienia?

RODO nie określa wprost formy upoważnienia. Jednak ze względu m.in. na zasadę rozliczalności wskazane jest nadawanie pisemnych lub elektonicznych upoważnień. Niektóre przepisy sektorowe (dedykowane określonej branży) wprost narzucają pisemną formę nadawania upoważnień (przykładem jest tutaj m.in. art. 22(1b) § 3 Kodeksu pracy oraz art. 8 ust. 1b ustawy o Zakładowym Funduszu Świadczeń Socjalnych). Nadawanie upoważnień w formie pisemnej umożliwia ich właściwe ewidencjonowanie, monitorowanie ich aktualności oraz pozwala na łatwy do nich dostęp w przypadku ewentualnej kontroli z UODO.

Fragment szkolenia online z LEX Ochrona Danych Osobowych o upoważnieniach do przetwarzania danych osobowych

Co powinno znaleźć się w upoważnieniu?

Przepisy nie przewidują (co do zasady) sztywnych wzorów upoważnień. Ugruntowana praktyka pozwala jednak na wskazanie pewnych elementów, które w upoważnieniu powinny się znaleźć, są to m.in.:

  • dane osoby upoważnionej;
  • zakres upoważnienia;
  • data nadania i czas obowiązywania upoważnienia.

Powyższy katalog informacji, jakie powinny znaleźć się na upoważnieniu, nie jest zamknięty. Administrator może także dodać oświadczenie i potwierdzenie przyjęcia upoważnienia przez osobę upoważnianą. Zyskuje dzięki temu pewność, że upoważniony rozumie do czego został zobowiązany i w jakim zakresie.

Problematyka upoważnień została szerzej omówiona na szkoleniu prowadzonym przez doświadczonego inspektora ochrony danych, audytora wewnętrznego i szkoleniowca - Sylwię Czub-Kiełczewską. Podczas szkolenia pokazano na przykładach wzorów upoważnień dostępnych w LEX Ochrona Danych Osobowych zasady ich tworzenia.

Ze szkolenia dowiesz się:

  • jak prawidłowo nadawać, modyfikować i cofać upoważenia;
  • jakie są najczęstsze błędy popełniane przy nadawaniu upoważnień i jakie niosą ze sobą ryzyka;
  • czy warto ewidencjonować upoważnienia i w jaki sposób powinno się to odbywać.

W LEX Ochrona Danych Osobowych znajdziesz także kilkadziesiąt wzorów upoważnień gotowych do wykorzystania w Twojej organizacji.

Polecamy,
Redakcja Publikacji Elektronicznych

Nie korzystasz jeszcze z programów LEX?
Znajdź rozwiązanie dla siebie.

Zamów prezentacje produktów LEX, dzięki której poznasz pełne możliwości serwisu oraz uzyskasz informacje o pakietach spełniających Twoje potrzeby.

Zamów prezentację