Upoważnienia do przetwarzania danych osobowych i prowadzenie ewidencji upoważnień w praktyce
Każda osoba posiadająca dostęp do danych osobowych w zakładzie pracy powinna mieć nadane stosowne upoważnienie do przetwarzania danych osobowych. Kwestię tę reguluje art. 37 ustawy o ochronie danych osobowych.
Jakie informacje powinny być zawarte w upoważnieniu?
- dane osoby upoważnianej – imię i nazwisko, stanowisko, komórka organizacyjna, w której osoba pracuje, odbywa staż, praktykę, wolontariat lub świadczy usługi na mocy umowy cywilnoprawnej
- data nadania upoważnienia – zazwyczaj będzie to dzień nawiązania stosunku pracy, podjęcia stażu, praktyki, wolontariatu, podpisania umowy o świadczenie usług, itp.;
- data ustania lub czas na jaki dana osoba zostaje upoważniona (może być to data zakończenia umowy o pracę na czas określony, czas zastępowania innego pracownika na danych stanowisku, itp.);
- przedmiot upoważnienia – do jakich danych, ewentualnie jakich zbiorów danych osoba zostaje upoważniona i w jakim zakresie;
- podpis osoby/osób reprezentujących administratora danych;
- zobowiązanie osoby upoważnianej do zachowania w tajemnicy danych osobowych i sposobów ich zabezpieczeń (może zostać złożone w oddzielnym oświadczeniu) z jej podpisem.
Ewidencja upoważnień do przetwarzania danych osobowych składa się co najmniej z wymienionych niżej elementów (art. 39 ustawy):
- imię i nazwisko
- datę nadania i ustania
- jeżeli dane przetwarzane są w systemach informatycznych (a przeważnie tak jest) ewidencja musi zawierać obligatoryjnie identyfikator, czyli tzw. login do systemu informatycznego osoby upoważnionej .
Nie ma w przepisach prawa wskazanej wprost formy prowadzenia ewidencji oraz wydawania upoważnień, nie ma więc przeszkód, aby upoważnienie było wydane drogą mailową, a ewidencja prowadzona w postaci elektronicznej, np. w dowolnym arkuszu kalkulacyjnym, natomiast dla celów dowodowych i kontrolnych zaleca się wydawanie upoważnień do przetwarzania danych osobowych na piśmie ze stosownym podpisem.
Administrator danych może również upoważnić administratora bezpieczeństwa informacji do wydawania w jego imieniu upoważnień do przetwarzania danych osobowych oraz zlecić w ramach wykonywania obowiązków służbowych prowadzenie ewidencji wydanych upoważnień.