Upoważnienia do przetwarzania danych osobowych i prowadzenie ewidencji upoważnień w praktyce

1

Upoważnienia do przetwarzania danych osobowych i prowadzenie ewidencji upoważnień w praktyce

Każda osoba posiadająca dostęp do danych osobowych w zakładzie pracy powinna mieć nadane stosowne upoważnienie do przetwarzania danych osobowych. Kwestię tę reguluje art. 37 ustawy o ochronie danych osobowych.

Jakie informacje powinny być zawarte w upoważnieniu?

  •  dane osoby upoważnianej – imię i nazwisko, stanowisko, komórka organizacyjna, w której osoba pracuje, odbywa staż, praktykę, wolontariat lub świadczy usługi na mocy umowy cywilnoprawnej
  • data nadania upoważnienia – zazwyczaj będzie to dzień nawiązania stosunku pracy, podjęcia stażu, praktyki, wolontariatu, podpisania umowy o świadczenie usług, itp.;
  • data ustania lub czas na jaki dana osoba zostaje upoważniona (może być to data zakończenia umowy o pracę na czas określony, czas zastępowania innego pracownika na danych stanowisku, itp.);
  • przedmiot upoważnienia – do jakich danych, ewentualnie jakich zbiorów danych osoba zostaje upoważniona i w jakim zakresie;
  • podpis osoby/osób reprezentujących administratora danych;
  • zobowiązanie osoby upoważnianej do zachowania w tajemnicy danych osobowych i sposobów ich zabezpieczeń (może zostać złożone w oddzielnym oświadczeniu) z jej podpisem.

Ewidencja upoważnień do przetwarzania danych osobowych składa się co najmniej z wymienionych niżej elementów (art. 39 ustawy):

  • imię i nazwisko
  • datę nadania i ustania
  • jeżeli dane przetwarzane są w systemach informatycznych (a przeważnie tak jest) ewidencja musi zawierać obligatoryjnie identyfikator, czyli tzw. login do systemu informatycznego osoby upoważnionej .

Nie ma w przepisach prawa wskazanej wprost formy prowadzenia ewidencji oraz wydawania upoważnień, nie ma więc przeszkód, aby upoważnienie było wydane drogą mailową, a ewidencja prowadzona w postaci elektronicznej, np. w dowolnym arkuszu kalkulacyjnym, natomiast dla celów dowodowych i kontrolnych zaleca się wydawanie upoważnień do przetwarzania danych osobowych na piśmie ze stosownym podpisem.

Administrator danych może również upoważnić administratora bezpieczeństwa informacji do wydawania w jego imieniu upoważnień do przetwarzania danych osobowych oraz zlecić w ramach wykonywania obowiązków służbowych prowadzenie ewidencji wydanych upoważnień.