GIODO: To ADO nadaje upoważnienia do przetwarzania danych

Dodano: 9 marca 2018
GIODO: To ADO nadaje upoważnienia do przetwarzania danych

Administrator danych nie powinien przyznawać administratorowi bezpieczeństwa informacji (ABI) uprawnień do nadawania w jego imieniu upoważnień do przetwarzania danych osobowych – informuje Generalny Inspektor Ochrony Danych Osobowych.

Generalny Inspektor Ochrony Danych Osobowych (GIODO), odpowiadając na wątpliwości dotyczące tego, czy administrator bezpieczeństwa informacji (a po 25 maja 2018 r. inspektor ochrony danych) może nadawać upoważnienia do przetwarzania danych osobowych, wskazuje, że nie powinno się stosować takich rozwiązań. Rolą ABI jest bowiem kontrolowanie działalności administratora pod kątem zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych – przypomina GIODO.

Organ podkreśla też, że sama procedura nadawania upoważnień oraz treść upoważnienia może być skonsultowana z powołanym administratorem bezpieczeństwa informacji, który jako specjalista z zakresu ochrony danych osobowych, powinien również i w tym zakresie doradzić administratorowi danych, a następnie weryfikować efektywność przyjętych rozwiązań i ich zgodność z przepisami o ochronie danych osobowych.

Czy ABI może upoważniać do przetwarzania danych

Zgodnie z art. 37 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (uodo) upoważnienie do przetwarzania danych osobowych powinno zostać nadane przez administratora danych.  Ustawa nie zakazuje administratorowi danych upoważniania innych osób do nadawania upoważnień do przetwarzania danych w jego imieniu.

Generalny Inspektor Ochrony Danych Osobowych zaznacza jednak, że upoważniając konkretną osobę do udzielania w jego imieniu upoważnień do przetwarzania danych, administrator danych powinien zrobić to w wyraźny sposób, np. w drodze uchwały zarządu, zarządzenia, pełnomocnictwa. Upoważnienia do nadawania upoważnień do przetwarzania danych osobowych nie można wywodzić z samego faktu pełnienia przez daną osobę wskazanej funkcji – dodaje GIODO.

GIODO wskazuje, że rolą ABI jest kontrolowanie działalności administratora danych pod kątem zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (art. 36a ust. 2 pkt 1 lit. a uodo), ABI nie powinien więc być osobą, którą administrator danych upoważnia do wydawania upoważnień w swoim imieniu. Zgodnie z art. 36a ust. 2 pkt 1b uodo, do zadań ABI należy m.in. nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 uodo oraz przestrzegania zasad w niej określonych.

Jak wskazuje art. 36a ust. 4 uodo, podejmując decyzję w zakresie nakładania na ABI jakichkolwiek innych obowiązków niż wskazane w art. 36a ust. 2 uodo, należy starannie rozważyć, czy nie naruszy to prawidłowego wykonywania jego zadań, o których mowa w tym przepisie. ABI musi mieć bowiem zapewnione takie warunki funkcjonowania, które pozwolą mu na rzeczywiste, niezależne i prawidłowe realizowanie obowiązków wynikających z przepisów prawa – przypomina GIODO.

Kto nadaje upoważnienia do przetwarzania danych

Generalny Inspektor Ochrony Danych Osobowych zauważa, że art. 38 ustawy o ochronie danych osobowych nakłada na administratora danych obowiązek zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru oraz komu są przekazywane. Wydawanie upoważnień osobiście przez administratora danych (kierownika podmiotu będącego administratorem danych) niewątpliwie przyczynia się do wypełnienia przez niego tego obowiązku, ponieważ to administrator danych powinien najlepiej znać organizację pracy w swojej jednostce i dzięki temu w sposób najwłaściwszy określić, komu oraz w jakim zakresie powinno być nadane stosowne upoważnienie.

W związku z tym zdaniem Generalnego Inspektora Ochrony Danych Osobowych, aby zapewnić właściwy system ochrony danych w jednostce, najkorzystniejszym rozwiązaniem jest nadawanie upoważnień do przetwarzania danych osobowych przez samego administratora danych lub – w zależności od wielkości podmiotu i jego struktury – np. przez kierownika działu kadr lub kierowników innych komórek organizacyjnych. Osoby te bowiem mogą najbardziej precyzyjnie określać, komu oraz w jakim zakresie upoważnienie powinno zostać nadane, i na bieżąco je aktualizować – wyjaśnia GIODO.

Źródło:

ABI-informator

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel