Jak nadawać upoważnienia do przetwarzania danych osobowych?
26.02.2018
To, że dany podmiot (np. firma) występuje w roli administratora danych osobowych lub procesora i może przetwarzać dane osobowe nie oznacza jeszcze, że dostęp do tych danych ma mieć każdy z pracowników takiego podmiotu. Jak upoważnić konkretnego pracownika do przetwarzania danych? Zobaczmy również, co w tym zakresie mogą zmienić, wprowadzane od 25 maja 2018 r., nowe przepisy o ochronie danych osobowych.
Powierzenie a upoważnienie do przetwarzania danych – te dwa pojęcia są często mylone. Generalnie wybór pomiędzy powierzeniem przetwarzania danych osobowych a upoważnieniem do ich przetwarzania sprowadza się do tego, czy administrator danych osobowych chce umożliwić ich przetwarzanie:
-
przez inny podmiot prawa – wówczas konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych;
-
wewnątrz swojej struktury przez określone osoby (pracowników) – wówczas konieczne jest udzielenie imiennie tym osobom upoważnienia do przetwarzania danych osobowych.
Kiedy pracownik przetwarza dane
Decydując o tym, którzy pracownicy potrzebują upoważnienia do przetwarzania danych osobowych trzeba ustalić, którzy z pracowników w ogóle przetwarzają takie dane.
Przetwarzaniem są jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Tak szeroka definicja przetwarzania danych oznacza w praktyce, że administrator danych powinien tak naprawdę upoważnić do przetwarzania danych osobowych wszystkie osoby, które:
-
pozostają w strukturach tego administratora danych osobowych;
-
mają dostęp dodanych osobowych.
Rozwiązując dylemat „czy upoważnić pracownika X do przetwarzania danych osobowych czy też nie ma takiej potrzeby” należy raczej kierować się zasadą, że udzielenie upoważnienia nic nie kosztuje i w razie wątpliwości upoważnienie raczej powinno zostać udzielone. Lepiej udzielić upoważnienia, z którego pracownik nie będzie korzystał, niż narazić się na zarzut przekazania danych osobowych osobie nieuprawnionej. Oczywiście zbyt przesadnie szerokie udzielanie upoważnień też nie będzie końca zdrową praktyką i może rodzić wzrost ryzyka wycieku danych.
Nawet bez takiego wycieku będzie trudno wytłumaczyć kontrolerom GIODO (a od 25 maja 2018 roku PUODO) dlaczego na przykład pracownik obszaru reklamacji został uprawniony do przetwarzania danych osób związanych z marketingiem.
Upoważnienie dla stażysty
O ile konieczność upoważnienia pracownika nie budzi zazwyczaj wątpliwości o tyle często administratorzy danych mają wątpliwość co do tego czy w ich strukturach pozostają inne osoby zatrudnione niepracowniczo. W pewnym uproszczeniu można powiedzieć że:
-
w przypadku osób współpracujących z administratorem danych w ramach własnej działalności gospodarczej konieczne jest zawarcie umowy powierzenia a nie upoważnienia;
-
upoważnienie (a nie umowa powierzenia) powinno zostać udzielone osobom pracującym dla administratora danych na podstawie umowy cywilnoprawnej, np. zleceniobiorcom czy wykonawcom dzieła takim jak chociażby stażyści.
Upoważnienie, ale do czego?
Upoważnienie w swojej treści powinno określać:
-
administratora danych osobowych udzielającego upoważnienia;
-
osobę działającą w imieniu administratora danych osobowych jeżeli jest on osobą prawną (np. prezes zarządu spółki z o.o.);
-
osobę upoważnioną (imię, nazwisko, PESEL, stanowisko pracy lub funkcja) - upoważnienie powinno być imienne (udzielone dla każdego uprawnionego pracownika z osobna);
-
zakres danych osobowych, do których upoważnia się daną osobę.
Zakres danych osobowych może być określony przez wskazanie konkretnego zbioru danych osobowych (np. zbiór danych osobowych „Odbiorcy produktów masowych” albo przez opis (np. dane osobowe klientów detalicznych). Warto także wskazać czy dana osoba ma prawo wyłącznie do odczytu danych czy także do ich modyfikowania.
W ślad za udzielonym upoważnieniem powinny iść zmiany w zasadach dostępu do systemów informatycznych administratora danych. Osoba upoważniona powinna dostać faktyczny dostęp do danych przetwarzanych w tych systemach, zgodnie z zakresem upoważnienia.
Ewidencja upoważnień
Na udzieleniu upoważnień obowiązki pracodawcy się nie kończą. Administrator danych powinien bowiem jeszcze prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych. W każdym momencie (np. w przypadku kontroli) powinien on być w stanie stwierdzić jacy pracownicy są upoważnieni do przetwarzania konkretnych danych osobowych.
Należy także pilnować wykreślania pracowników z ewidencji upoważnień (np. w przypadku ich odejścia z pracy) jak również zmiany wpisów do tej ewidencji (np. w przypadku rozszerzenia obowiązków pracownika czy zmiany przez niego jego stanowiska pracy).
Dostęp przełożonego do akt pracownika
Jednym z problemów z jakimi mierzą się administratorzy danych przy udzielaniu upoważnień jest to czy można upoważnić do przetwarzania danych pracownika jego przełożonego. Z inicjatywą w tym zakresie występują najczęściej sami przełożeni, chcący przede wszystkim poznać wysokość wynagrodzenia swoich podwładnych.
Pracodawca ma obowiązek prowadzenia dokumentacji dotyczącej pracownika, która dzieli się zasadniczo na akta osobowe, ewidencję czasu pracy oraz listę płac. Zawiera ona szereg danych osobowych pracownika. Także te dane mają być chronione przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Przede wszystkim pracodawca powinien zadbać o to aby dostęp do danych osobowych pracowników miały tylko osoby do tego upoważnione. Chodzi o pracowników działów kadr i płac, zajmujących się sprawami pracowniczymi.
Nie wydaje się, aby można było z góry przesądzić, iż w każdym przypadku niedozwolone jest przekazywanie danych o wynagrodzeniu pracownika innym pracownikom zatrudnionym u danego administratora danych czyli np. przełożonemu pracownika. Do przekazania takich informacji może jednak dojść tylko jeżeli jest to konieczne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników. Wówczas należy po prostu upoważnić pisemnie przełożonego pracownika do przetwarzania danych osobowych tego pracownika w tymże niezbędnym zakresie, obejmującym np. wynagrodzenie.
Wzór. Upoważnienie do przetwarzania danych
|
2 marca 2018 roku UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH Działając w imieniu i na rzecz administratora danych osobowych Kolossus sp. z o.o. z siedzibą we Wrocławiu (dalej: Spółka) upoważniam Pana Michała Jaszczyńskiego (PESEL: 79041514560) zatrudnionego w Spółce na podstawie umowy o pracę na stanowisku starszego specjalisty ds. zakupów do przetwarzania danych osobowych klientów i kontrahentów Spółki w celach związanych z wykonywaniem jego obowiązków służbowych. Jarosław Przepadło Upoważnienie odebrałem w dniu 5 marca 2018 roku |
Co z upoważnieniami „po RODO”?
Obecnie podstawą prawną do udzielania upoważnień do przetwarzania danych osobowych jest art. 37 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych. Stanowi on, że do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
Począwszy od 25 maja 2018 r. zacznie obowiązywać tzw. ogólne rozporządzenie o ochronie danych osobowych (RODO). Artykuł 29 tego rozporządzenia przewiduje, że podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Zapis ten jest w pewnym sensie powtórzony w art. 32 ust. 4 RODO.
Należy więc stwierdzić, że upoważnienia „po RODO” nadal będą musiały być wydawane, zmieni się jednak ich podstawa prawna. Należy zauważyć, że podawanie podstawy prawnej w upoważnieniu nie jest konieczne. Zachodzi jednak wątpliwość, czy zmieniać stare lub wydawać nowe upoważnienia po 25 maja 2018 roku, jeżeli w upoważnieniach wydanych przed 25 maja 2018 roku wskazywano „starą” podstawę prawną.
Próbując rozstrzygnąć tą wątpliwość zauważmy, że nadal trwają prace nad nową ustawą o ochronie danych osobowych, która ma m.in. zapewnić zgodność polskich rozwiązań ustawodawczych z RODO. Na tym etapie nie da się przewidzieć rozwoju sytuacji i ostatecznego kształtu regulacji krajowych. Możliwe są zasadniczo 2 kierunki rozwoju sytuacji:
-
ustawodawca nie zrobi nic i w dniu 25 maja 2018 roku nadal będzie obowiązywała ustawa o ochronie danych osobowych w obecnym brzmieniu;
-
ustawodawca ustanowi prawo, które wejdzie w życie równocześnie z RODO, tj. 25 maja 2018 roku, przed tym dniem lub po tym dniu przy czym nowe rozwiązania mogą w ogóle nie odnosić się do kwestii upoważnienia, regulować ją identycznie z RODO albo też regulować kwestię upoważnienia szerzej niż RODO.
Wariant pierwszy sprowadza się do konkluzji, że skoro polska ustawa nadal będzie obowiązywała, to – niezależnie od oceny zgodności jej rozwiązań z RODO – nie będzie konieczności zmiany treści upoważnień poprzez aktualizację ich podstaw prawnych.
W przypadku wariantu drugiego mamy do czynienia z różnymi „podopcjami”. Jeżeli nowa ustawa zastąpi starą i wejdzie w życie przed wejściem w życie RODO lub równocześnie z nim to konieczna będzie zmiana podstawy prawnej upoważnienia skoro stara podstawa zostanie usunięta z porządku prawnego. Jeżeli jednak nowa ustawa wejdzie w życie po wejściu w życie RODO to dojdzie do obowiązywania „starej” polskiej ustawy o ochronie danych osobowych i RODO. W takim przypadku musimy zauważyć, że wejście w życie rozporządzenia „europejskiego” oznacza wprawdzie konieczność jego bezpośredniego stosowania w krajach członkowskich Unii Europejskiej ale nie powoduje ex lege usunięcia z polskiego porządku prawnego polskiej ustawy. W takim przypadku w mojej ocenie pozostawienie upoważnienia z dotychczasową podstawą prawną będzie możliwe gdyż podstawa ta nadal będzie obowiązywała.
Marcin Sarna
/WiedzaiPraktyka
/wip