Upoważnienie – forma i zakres
Administrator danych realizując swoje uprawnienia i obowiązki wynikające z przepisów o ochronie danych osobowych deleguje część z nich na inne osoby. RODO nie mówi wprost, jaką formę powinno przyjąć takie delegowanie uprawnień, ale praktyka pokazuje, że powinno to nastąpić w formie pisemnego upoważnienia (taka forma pozwoli administratorowi wywiązać się tzw. zasady rozliczalności). Administrator powinien upoważniać do przetwarzania danych wszystkie osoby zatrudnione na podstawie umowy o pracę, które na co dzień uczestniczą w przetwarzaniu danych.
Co ważne, nie wystarczy ogólne, uniwersalne dla wszystkich upoważnienie. Powinno być ono odpowiednio dostosowane do konkretnego stanowiska, zgodne z zakresem obowiązków pracownika lub powinno obejmować upoważnianie do konkretnych czynności przetwarzania. Dobrą praktyką jest także prowadzenie ewidencji upoważnień i dokonywanie ich cyklicznych przeglądów. Jak pokazuje doświadczenie, upoważnienia często się dezaktualizują.