Upoważnienia do przetwarzania danych osobowych – czy zgodnie z rodo trzeba będzie je nadawać

Piotr Glen

Autor: Piotr Glen

Dodano: 24 kwietnia 2017
Upoważnienia do przetwarzania danych osobowych – czy zgodnie z rodo trzeba będzie je nadawać

Ogólne rozporządzenie o ochronie danych jest generalne i ramowe, również w kwestii upoważnień do przetwarzania danych. Jednak zarówno z motywów do rozporządzenia, jak i z przepisów jasno wynika obowiązek administratora dopuszczenia do przetwarzania danych jedynie upoważnionych osób. Dowiedz się, jak po 25 maja 2018 r. będzie trzeba realizować obowiązek nadawania upoważnień do przetwarzania danych.

Ogólne rozporządzenie o ochronie danych (rodo), czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE zostało uchwalone i przyjęte przez wszystkie kraje członkowskie UE, a ma być stosowane od 25 maja 2018 r. 

Jakie zasady nadawania upoważnień obowiązują obecnie

Do przetwarzania danych mogą być dopuszczone wyłącznie osoby, które mają upoważnienie nadane przez administratora danych (art. 37 ustawy o ochronie danych osobowych). Administrator danych musi zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (art. 38 uodo).

Dostęp do danych osobowych i innych cennych, chronionych aktywów informacyjnych w organizacji mogą mieć wyłącznie osoby uprawnione – upoważnione, czyli tacy pracownicy administratora, którzy wykonując swoje obowiązki służbowe na stanowisku związanym z przetwarzaniem danych, siłą rzeczy mają dostęp do określonych informacji. Taki dostęp ma się odbywać na podstawie odpowiedniego upoważnienia.

Przepisy nie określają formy ani nie narzucają jednego wzoru takiego upoważnienia.  Upoważnienie do przetwarzania danych może być odpowiednim punktem, paragrafem w umowie o pracę, w opisie stanowiska pracy czy w zakresie obowiązków służbowych. Upoważniony pracownik podpisuje się pod upoważnieniem i jest świadomy swojej odpowiedzialności oraz zakresu uprawnień, czynności, jakie może wykonać, przetwarzając dane osobowe. Nie może więc być mowy o upoważnieniu ustnym.

Jakie elementy musi zawierać upoważnienie

Jeżeli administrator zdecyduje się na wprowadzenie odrębnego dokumentu pt. „Upoważnienie do przetwarzania danych”, to powinien mieć on dość elastyczne brzmienie. Powinien oczywiście określać administratora danych, miejsce i datę wystawienia oraz wskazywać imię, nazwisko i stanowisko służbowe pracownika, któremu nadaje się upoważnienie. W dalszej powinno opisywać, że pracownik otrzymuje upoważnienie do przetwarzania danych osobowych na wyznaczonym stanowisku pracy, zgodnie z powierzonymi obowiązkami pracowniczymi oraz poleceniami administratora danych. Administrator nie zamyka sobie wtedy możliwości oddelegowania pracownika do innych obowiązków i prac, na przykład przy zastępstwie za innego pracownika.

Zakres upoważnienia powinien wynikać z charakteru zajmowanego stanowiska pracy. Jednak szczegółowy zakres uprawnień powinien być opisany w ewidencji osób upoważnionych lub wynikać z funkcjonalności systemów informatycznych służących do przetwarzania danych, gdzie najczęściej zakresy uprawnień przypisane są do rodzaju konta użytkownika, do konkretnego stanowiska pracy.

To, kto wnioskuje o nadanie uprawnień dla pracownika i kto je przyznaje – powinna określać wewnętrzna procedura nadawania i odbierania uprawnień do przetwarzania danych, zwłaszcza w systemie informatycznym.

Upoważnienie nadaje się na czas zatrudnienia z prawem jego zmiany lub odwołania w każdym czasie. Trudno jest w samym upoważnieniu jednoznacznie określić datę ustania upoważnienia. Powinna być ona uzupełniona w ewidencji osób upoważnionych, najczęściej w momencie zakończenia zatrudnienia. Upoważnienie może też zobowiązywać osobę upoważnioną do zachowania tajemnicy danych osobowych. Tajemnica danych osobowych nie ulega przedawnieniu i musi być zachowana również po ustaniu zatrudnienia, a dotyczy nie tylko samych danych osobowych, ale także środków i sposobów ich zabezpieczenia.

Nadawanie upoważnień to nie jedyny obowiązek – pamiętaj o ewidencji

Prowadzenie ewidencji osób upoważnionych do przetwarzania danych jest wymagane obecnie przez art. 39 uodo. Ewidencja ma zawierać imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, identyfikator (login), jeżeli dane są przetwarzane w systemie informatycznym.

Nie musi to być tabelka prowadzona na papierze. Forma takiej ewidencji może być różna i może być prowadzona elektronicznie. Administrator danych, administrator systemu informatycznego (ASI) czy administrator bezpieczeństwa informacji powinni panować nad tym, kto, kiedy, jak i jakie dane przetwarza. W momencie zakończenia zatrudnienia lub jeśli z innych względów trzeba odebrać uprawnienia, niezwłocznie powinno być wiadomo, komu i gdzie zablokować dostęp.

Jak ogólne rozporządzenie odnosi się do nadawania upoważnień

Rozporządzenie unijne wprawdzie nie określa w takich szczegółach obowiązków administratorów danych i nie wskazuje konkretnych rozwiązań i środków, jakie należy wdrożyć w ramach procedur bezpieczeństwa informacji. Niemniej jednoznacznie wynika z niego bardzo duża odpowiedzialność i zobowiązanie administratora do odpowiedniego, należytego zabezpieczenia danych.

Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać (art. 24 ust. 1 rodo). Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. To więc administrator musi wypracować u siebie odpowiednie procedury, aby móc wykazać, że zapewnia kontrolę i ochronę nad przetwarzanymi u siebie danymi i że realizuje zarówno swoje obowiązki, jak i prawa osób, których dane dotyczą.

Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki bezpieczeństwa (organizacyjne i techniczne) obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych (art. 24 ust. 2 i ust. 3 rodo). Aby potwierdzić, że administrator przestrzega swoich obowiązków, może korzystać także z zatwierdzonych kodeksów postępowania lub zatwierdzonego mechanizmu certyfikacji.

Uwaga

Gdy ogólne rozporządzenie zacznie być stosowane, nadal będą zasadne i będą miały zastosowanie adekwatne, aktualne polityki bezpieczeństwa, opracowane na przykład z wykorzystaniem norm ISO dotyczących bezpieczeństwa informacji, czy też certyfikowanie się z określonych norm lub wdrażanie rekomendowanych kodeksów dobrych praktyk. Tam natomiast zawsze jest mowa o dopuszczaniu do przetwarzania danych jedynie osób upoważnionych.

Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora (art. 29 rodo). Zarówno administrator danych, jak i podmiot przetwarzający (procesor, któremu powierzono dane do przetwarzania) w odpowiedni sposób upoważnia, dopuszcza swoich pracowników i współpracowników do przetwarzania danych.

Piotr Glen

Autor: Piotr Glen

doświadczony administrator bezpieczeństwa informacji pełniący tę funkcję dla wielu firm i instytucji, trener i audytor

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x