Według przepisów regulujących zagadnienia ochrony danych osobowych każdy podmiot powinien przetwarzać  tylko taki zakres danych, które są niezbędne do osiągnięcia przez niego konkretnych celów. Z kolei dostęp do danych muszą mieć osoby, które rzeczywiście mają prawo je przetwarzać. Ponadto korzystanie z danych powinno być ograniczono w czasie.

Z tego wynika, że administrator lub podmiot przetwarzający winien uregulować kwestię dostępu do danych osobowych. W związku z czym, osobie mającej w ramach wykonywania powierzonych jej obowiązków służbowych dostęp do danych osobowych  należy wydać stosowne upoważnienie do ich przetwarzania (patrz Schemat „Nadawanie upoważnień”).

Konieczność nadawania upoważnień została także wskazana przez Prezesa UODO w Poradniku dotyczącym zatrudnienia. 

RODO nie mówi o formie upoważnienia ani jego zakresie. Jednak z przepisów art. 5 RODO wynika konieczność zapewnienia rozliczalności przetwarzanych danych. Administrator zatem, zgodnie z tą zasadą, powinien móc udowodnić kto, kiedy i w jakim zakresie przetwarza dane w jego imieniu.

Mimo to. że RODO nie mówi o wydaniu pisemnych upoważnień, w przypadku przetwarzania danych osobowych związanych z zatrudnieniem takie upoważnienia muszą mieć formę pisemną. Na konieczność wydania pisemnego upoważniania w określonych przypadkach wskazują  art. 22^1b Kodeksu pracy, ust. 1b art. 8 Ustawy o zakładowym funduszu świadczeń socjalnych, ust.14 art. 42 Ustawy o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi. Podobne zapisy znajdują się  również w ust. 7 art. 2 Ustawy o Inspekcji Ochrony Środowiska.

Ze względu na specyfikę działalności wzór upoważnienia do przetwarzania danych osobowych  będzie nieco inny w każdej organizacji. Ale powinno ono zawierać kilka ważnych informacji:

1. dane osoby upoważnionej (imię, nazwisko),
2. okres ważności upoważnienia (kiedy zostało nadane, do kiedy będzie ważne),
3. zakres upoważniania (co obejmuje, jakie dane są przetwarzane).

Niestety bardzo często upoważnienia są wydawane „na wszystko”, chociaż np. dział HR  raczej nie będzie miał potrzeby dostępu do bazy danych klientów. Chodzi przede wszystkim o to, aby faktyczny dostęp do określonych zbiorów danych osobowych  był ograniczony jedynie do tych   informacji, które są niezbędne do wykonania obowiązków pracowniczych.

Zakres upoważnienia pracownika powinien być określany przez kierownika organizacji w porozumieniu z przełożonym osoby upoważnianej lub może ustalić go kierownik działu do którego  należy pracownik. W przypadku firm jednoosobowych upoważnienie wydaje przedsiębiorca, a w przypadku spółek z ograniczoną odpowiedzialnością — członek zarządu.

RODO wskazuje w art. 29, tak że w art. 32, aby każde przetwarzanie danych odbywało się na wyraźne polecenie administratora. Aby zapewnić, że każda osoba upoważniona przetwarza dane wyłącznie na polecenie administratora warto prowadzić cykliczną weryfikację upoważnionych osób, sprawdzać co jakiś czas upoważnienia pracowników pod względem zachodzących zmian w organizacji,  a także na bieżąco monitorować aktualność rejestru upoważnień.

Osoba upoważniona do przetwarzania danych musi zostać zapoznana z przepisami o ochronie danych i warto odebrać od niej oświadczenie o zapoznaniu się tymi przepisami i wymaganiami  w zakresie zabezpieczenia danych oraz o zachowaniu w tajemnicy danych osobowych.

Należy podkreślić, że wdrożenie takiego środku organizacyjnego, jakim jest nadawanie upoważnień,  ma na celu przede wszystkim zabezpieczenie danych przed ich udostepnieniem osobom nieupoważnionym. Jednak opracowanie  i wdrożenie w organizacji procedury nadawania upoważnień jest jedynie pierwszym krokiem  do spełnienia wymagań RODO.

Olga Sklyarova, specjalista ds. ochrony danych,  audytor JDS Consulting