upowaznienie-do-przetwarzania-danych-wzor-pdf-doc

Upoważnienie do przetwarzania danych – wzór z omówieniem

Kategorie: , , ,

16.00 

Dane przekazane od klientów czy kontrahentów mogą być przetwarzane wyłącznie przez administratora danych. Co, jeśli również inni pracownicy firmy, w ramach wykonywania swoich obowiązków, będą mieli do czynienia z tymi danymi? Niezbędne jest upoważnienie do przetwarzania danych osobowych. Owo upoważnienie stanowi gwarancję przestrzegania przepisów oraz wytycznych RODO. Przekazując dane osobowe przez administratora, w dalszym ciągu to na nim spoczywa odpowiedzialność za ich bezpieczeństwo.

Upoważnienie do przetwarzania danych osobowych ma za zadanie zapewnienie kontroli administratora nad tym, kto oraz w jakim zakresie ma dostęp do danych zebranych przez firmę, oraz na jakich zasadach i w jaki sposób je przetwarza.

Omawiane upoważnienie powinny posiadać wszystkie osoby fizyczne współpracujące na stałe z administratorem danych, niezależnie od formy tej współpracy – może to być umowa o pracę, umowa cywilnoprawna, jak również współpraca B2B. Warto nadać takie uprawnienia w ograniczonym zakresie również osobom, którym zlecono wykonanie niektórych zadań w sposób doraźny.

Upoważnienie do przetwarzania danych – podstawa prawna

Źródłem obowiązku ochrony danych osobowych osób fizycznych i wynikającego z niego zobowiązania do wydawania upoważnień jest RODO. Traktują o tym poniższe przepisy.

Art. 29 RODO

„Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.”

Art. 32 ust. 4 RODO

„Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.”

Mając na uwadze powyższe przepisy przyjąć należy, że każda osoba, która działa w imieniu administratora lub procesora, zanim uzyska dostęp do danych, powinna otrzymać stosowne upoważnienie.

Administrator danych ma także obowiązek stałego kontrolowania i uaktualniania upoważnień.  Aktualizacja powinna być dokonana w przypadku:

  • zmiany zakresu obowiązków pracownika;
  • rozpoczęcia współpracy z nowym pracownikiem;
  • rozwiązania umowy z pracownikiem upoważnionym do przetwarzania danych.
Czytaj też: Umowa o powierzenie przetwarzania danych osobowych – wzór

Upoważnienie do przetwarzania danych osobowych – jak powinno wyglądać

RODO oraz polska implementacja jego przepisów nie przewidują żadnej szczególnej formy czy treści upoważnienia do przetwarzania danych osobowych. Z racji celu do jakiego spełnienia jest ono potrzebne, wymagane jest aby dokument ten określał:

  • datę i miejscem wystawienia.
  • administratora danych;
  • osobę (pracowniku), której przyznawane jest uprawnienie;
  • zbiór danych osobowych, których dotyczy upoważnienie;
  • zakres danych, które będą przetwarzane;
  • procesy przetwarzania, do których upoważniony otrzyma dostęp;
  • okres na jaki upoważnienie zostaje wydane – może być oznaczone konkretną datą lub czasem trwania umowy o pracę;
  • obowiązek zachowania poufności przez okres przetwarzania dane oraz czas po cofnięciu upoważnienia oraz rozwiązaniu umowy o pracę;
  • podpis administratora danych;
  • podpis osoby upoważnionej.

Dla celów dowodowych upoważnienie powinno być sporządzone w formie pisemnej. Jest to również istotne w tej kwestii, że forma pisemna pozwala pracownikowi na dokładne szczegółowe zapoznanie się z dokumentem oraz daje możliwość jego podpisania (dowodzi to świadomości pracownika w przedmiocie ciążącej na nim odpowiedzialności).

Poprawną formą upoważnienia będzie także dokument wygenerowany w postaci elektronicznej. Zgodnie z wytycznymi Urzędu Ochrony Danych Osobowych: „nadawanie upoważnień w postaci elektronicznej należy uznać za wykonanie obowiązku nadania upoważnień w formie pisemnej.

W świetle zasady rozliczalności jakakolwiek postać, w tym elektroniczna, która pozwala na udokumentowanie spełnienia obowiązków celem wykazania przestrzegania przepisów, a w tym przypadku wykonania obowiązku wynikającego z art. 29 RODO należy uznać za prawidłową. Za przyjęciem takiego stanowiska przemawia również podejście co do formy pisemnej wskazanej w art. 30 ust. 3 RODO. Zgodnie z tym przepisem, rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania, mają formę pisemną, w tym formę elektroniczną.”

Przetwarzanie danych bez upoważnienia

RODO w art. 29 wskazuje na możliwość przetwarzania danych osobowych bez upoważnienia administratora danych. Będzie tak wówczas, gdy pozwalają na to szczególne przepisy prawa krajowego lub europejskiego. Takie szczególne prawa posiadają m.in. osoby sprawujące stanowiska kontrolne lub nadzorcze.

Jedynie osoby posiadające nadane przez administratora upoważnienia oraz osoby jednoznacznie wskazane przez ustawy są uprawnione do przetwarzania danych w zakresie ustalonym w upoważnieniu lub akcie prawa. Udostępnienie danych osobom niewskazanym powyżej stanowi istotne naruszenie przepisów o ochronie danych osobowych i może skutkować dotkliwymi karami dla administratora.

Ewidencjonowanie osób upoważnionych

Administrator danych powinien prowadzić ewidencję osób posiadających uprawnienia do przetwarzania danych nadane wskutek wydania upoważnienia. RODO w swojej treści nie nakłada takiego obowiązku, jednakże tworzenie rejestru należy do dobrych praktyk.

Ewidencja upoważnień będzie szczególnie przydatna w przypadku kontroli oraz konieczności wskazania, którzy pracownicy posiadają lub posiadali dostęp do poufnych danych i mogą być współodpowiedzialni za wystąpienie danego zdarzenia (wyciek, sprzedaż danych).

Podstawa prawna:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
  • Stanowisko Prezesa Urzędu Ochrony Danych Osobowych – Czy elektroniczna postać upoważnienia spełnia wymogi „pisemnego upoważnienia”?.

Podobne wzory pism:

  1. Wniosek o usunięcie dany osobowych – wzór
  2. Umowa o powierzenie przetwarzania danych osobowych – wzór
  3. Upoważnienie do podejmowania decyzji w sprawie dziecka – wzór
  4. Upoważnienie do załatwienia spraw – wzór PDF
  5. Wniosek o wydanie dokumentacji medycznej – wzór
  6. Upoważnienie do opieki nad dzieckiem podczas wyjazdu wzór
Radosław Pilarski
Radosław Pilarski
Adwokat oraz doradca restrukturyzacyjny z wieloletnim doświadczeniem w prawie cywilnym, gospodarczym oraz upadłościowym i restrukturyzacyjnym.

Opinie (0)

Brak komentarzy

Upoważnienie do przetwarzania danych – wzór z omówieniem

Pokrewne produkty