Nieodłącznym elementem pracy każdego administratora jest nadawanie, modyfikacja i cofanie upoważnień dla całego szeregu osób zatrudnionych w ramach organizacji. I choć na pierwszy rzut oka upoważnianie do przetwarzania danych osobowych może się wydawać proste i wręcz intuicyjne, to jednak praktyka pokazuje coś zupełnie innego.
Eksperci z zakresu ochrony danych osobowych sygnalizują, że najczęstszymi błędami, popełnianymi przy upoważnianiu do przetwarzania danych, są:
- zbyt ogólne określenie zakresu upoważnienia,
- brak właściwego monitorowania nadawanych upoważnień,
- brak aktualizacji upoważnień w przypadku zmiany stanowiska osoby upoważnionej lub zakresu jej obowiązków,
- "wiecznie trwające upoważnienia" skutkujące aktywnymi dostępami do danych i systemów w przypadkach, gdy dany pracownik już nie pracuje lub zmienił stanowisko na takie, które nie przewiduje dostępu do wskazanych systemów lub danych,
- i w końcu, po prostu brak jakiegokolwiek upoważnienia w sytuacji, kiedy jest ono wymagane.
Z niniejszego e-booka dowiesz się, z jakimi najczęstszymi problemami stykają się administratorzy danych w procesie upoważniania i jak sobie z nimi radzić.
Zapraszamy do zapoznania się z e-bookiem pt.
„Upoważnianie do przetwarzania danych osobowych - praktyczne wskazówki i wzory”.
Do e-booka dołączyliśmy także wzory, które możesz z łatwością dostosować do swojej organizacji:
- wzór upoważnienia do przetwarzania danych dla informatyka;
- wzór upoważnienia do realizowania wskazanych czynności w imieniu administratora;
- procedura upoważniania do przetwarzania danych osobowych.
Ten e-book kierujemy w szczególności do administratorów danych, inspektorów ochrony danych osobowych, podmiotów przetwarzających, a także do wszystkich osób, które na co dzień zajmują się kwestiami związanymi z ochroną danych osobowych w swoich organizacjach i nadają, zmieniają oraz cofają upoważnienia w imieniu administratora.
3. Kto może nadawać upoważnienia, a kto nie powinien tego robić? Czy istnieje obowiązek prowadzenia ewidencji upoważnień nadawanych na gruncie RODO?
Do upoważniania są uprawnione osoby działające w imieniu administratora, np. dyrektorzy placówek. Mogą oni umocować wybranych pracowników, np. kierowników poszczególnych jednostek, do nadawania/zmiany/odwoływania upoważnień podległym pracownikom lub pracowników działu kadr. Upoważnień nie powinien nadawać/zmieniać/odwoływać IOD, ze względu na konflikt interesów. Nie ma obowiązku prowadzenia ewidencji upoważnień nadawanych na mocy przepisów RODO, jednak jest to dobra praktyką, którą warto stosować.
17. Czy upoważnienie do przetwarzania danych osobowych musi wskazywać dokładnie czynności i zakres danych oraz wskazywać dopuszczalne operacje na danych?
Punktem wyjścia do określania zakresu upoważnienia powinno być zabezpieczenie interesu administratora w zakresie jednoznacznego rozliczania oraz dochodzenia odpowiedzialności od osób, które przekraczają swoje upoważnienia lub działają niezgodnie z nimi. Odpowiednio określony zakres upoważnienia może mieć duże znaczenie w przypadkach spornych. Dla przykładu w sprawie ZUS przeciw pracownikowi wykorzystującemu dane osobowe z systemu informatycznego do własnej działalności zarobkowej, sąd stwierdził, że pracodawca (ZUS) był uprawniony do dyscyplinarnego zwolnienia pracownika za ciężkie naruszenie obowiązków pracowniczych (SN – IPUSiSP w wyroku z dn. 4.04.2017 r., sygn. akt II PK 37/16).
Jak najbardziej dopuszczalne jest przywołanie w zakresie upoważnienia zakresu obowiązków pracownika, ale powinien on być na tyle szczegółowo określony, żeby jasno i jednoznacznie wynikał z niego zakres upoważnienia pracownika. Dodatkowo polecenia służbowe wykraczające poza zakres obowiązków służbowych, dopuszczalne w stosunku służbowym pomiędzy pracownikiem oraz przełożonym, w takim wypadku powinny mieć formę udokumentowaną, w celu zapewnienia rozliczalności. W szczególności w przypadku wybrania pracownika do komisji socjalnej lub skierowania do przeprowadzania konkretnej rekrutacji, poprzez udokumentowane (mailowe lub na piśmie) polecenie służbowe administrator może uprawnić pracownika do przetwarzania danych osobowych. W celu zapewnienia właściwej rozliczalności upoważnień nadawanych w taki sposób, niezbędne jest uwzględnienie zasad określania zakresu upoważnienia w wewnętrznych procedurach nadawania/zmiany/odwołania upoważnienia.
LEX Ochrona Danych Osobowych
To serwis prawny, który pomoże Ci wdrożyć i należycie stosować przepisy RODO oraz innych aktów (w tym sektorowych), które dotyczą ochrony danych osobowych. Z LEX ODO przeprowadzisz także kompleksową analizę ryzyka.