Dostęp do danych służbowych w elektronicznej książce telefonicznej – czy trzeba nadać upoważnienie

Przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych albo zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak:

• zbieranie,
• utrwalanie,
• organizowanie,
• porządkowanie,
• przechowywanie,
• adaptowanie lub modyfikowanie,
• pobieranie,
• przeglądanie,
• wykorzystywanie,
• ujawnianie poprzez przesłanie,
• rozpowszechnianie lub innego rodzaju udostępnianie,
• dopasowywanie lub łączenie,
• ograniczanie,
• usuwanie lub niszczenie.

Dane osobowe oznaczają natomiast informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak:

• imię i nazwisko,
• numer identyfikacyjny,
• dane o lokalizacji,
• identyfikator internetowy lub
• jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Do przetwarzania danych można dopuścić wyłącznie osoby, które mają upoważnienie nadane przez administratora danych (art. 37 obecnej ustawy o ochronie danych osobowych). Żadne przepisy nie określają jednak wzoru i formy nadawania upoważnień do przetwarzania danych osobowych.

Samo upoważnienie, jako czynność prawna, powinno dawać formalną możliwość dostępu do danych osobowych zgodną z zakresem służbowych obowiązków. Zakres upoważnienia powinien być zdefiniowany stanowiskiem pracy, funkcjonalnością systemu informatycznego służącego do przetwarzania danych i przyznanych w nim uprawnień oraz możliwościami technicznymi wydanego sprzętu służącego do przetwarzania danych. Powinny to dokumentować odpowiednie procedury nadawania i odbierania uprawnień w systemach informatycznych, regulaminy informatyczne, zasady wykorzystywania aktywów itp.

Elektroniczna książka telefoniczna stanowi zarówno zbiór danych osobowych, czynność przetwarzania danych osobowych, jak i może stanowić zbiór informacji objętych tajemnicą przedsiębiorstwa. Pracownicy spółki, którzy mają dostęp do takiej książki, powinni być upoważnieni do przetwarzania danych osobowych, a także zobowiązani do zachowania tajemnicy danych osobowych oraz tajemnicy przedsiębiorstwa.

Wprawdzie imię, nazwisko, dział, stanowisko, telefon służbowy stacjonarny i komórkowy, adres e-mail służbowy to informacje służbowe, często jawne i publikowane na stronach internetowych spółki. Jednak już dane o lokalizacji nie powinny być upubliczniane, a pozostałe informacje mają służyć określonym, służbowym celom, bez możliwości wykorzystywania ich do innych celów.