Czy upoważnienie do przetwarzania danych osobowych jest konieczne?
Zatrudniasz pracowników, z których część ma dostęp do danych osobowych gromadzonych w firmie, a może współpracujesz z osobami będącymi na samozatrudnieniu i zastanawiasz się czy musisz wystawiać im upoważnienia? Czy też zamierzasz przygotować upoważnienie ale nie wiesz co powinno znaleźć się w jego treści? W niniejszym wpisie znajdziesz informacje na następujące tematy:
- Kiedy i komu należy wystawić upoważnienie,
- W jakich przypadkach konieczne jest zawarcie umowy powierzenia,
- Jakie elementy należy umieścić w treści upoważnienia,
- Kto powinien wystawić upoważnienie dla pracowników procesora?
Kiedy upoważnienie jest niezbędne?
RODO w sposób dość lakoniczny odnosi się do tego tematu ograniczając się do wskazania, że każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora. W praktyce oznacza to, że upoważnienia do przetwarzania danych powinieneś wydać każdej osobie przez ciebie zatrudnionej albo współpracującej z tobą jeżeli łącznie spełnione są następujące warunki:
- osoba ta ma dostęp do danych osobowych, niezależnie czy są to dane osobowe klientów i kontrahentów, czy też pracowników i współpracowników oraz
- nie zachodzi konieczność zawarcia z taką osobą umowy powierzenia danych osobowych do przetwarzania.
Ta ostatnia sytuacja będzie miała miejsce przy współpracujących z tobą samodzielnych podmiotach, także osobach samozatrudnionych, jeżeli nie są one umieszczone w twojej strukturze organizacyjnej, a dodatkowo pracują na swoim sprzęcie (komputer, telefon, itp.). Będą to zatem podmioty, które można uznać za podwykonawców, bądź niezależnych doradców (np. biuro rachunkowe, kancelaria prawna, itp.).
Wydanie osobie samozatrudnionej upoważnienia, zamiast zawierania z nią umowy powierzenia, będzie zatem możliwe w szczególności, gdy na zewnątrz osoba ta występuje niejako twój pracownik – ma przydzielone stanowisko lub funkcję, pod którym kontaktuje się z osobami trzecimi. Innymi słowy na zewnątrz – bez dodatkowej wiedzy – nie będzie możliwe odróżnienie jej od twojego pracownika.
Co powinno znaleźć się w upoważnieniu?
Przede wszystkim należy w nim wskazać kategorie danych osobowych, które określona osoba może przetwarzać w twoim imieniu, a także kategorie podmiotów, których te dane osobowe dotyczą. Ostatnim elementem jest natomiast określenie zakresu czynności (operacji) na danych osobowy, do których wykonywania ta osoba jest uprawniona.
Przykładowo zatem, w treści upoważnienia powinieneś wskazać, że pracownik uprawniony jest do przetwarzania danych osobowych klientów i kontrahentów w postaci: imię, nazwisko, telefon, adres e-mail, adres zamieszkania/siedziby oraz w zakresie: gromadzenie, uzupełnianie, wykorzystywanie zgodnie z obowiązkami służbowymi wynikającymi z umowy o pracę.
Upoważnienie dla pracowników procesora
Jeżeli przetwarzasz dane osobowe, jako podmiot przetwarzający (procesor), to upoważnienia dla twoich pracowników wystawiasz samodzielnie. Upoważnień tych nie wystawia administrator przetwarzanych przez ciebie danych osobowych. W takim przypadku w treści upoważnienia powinieneś zamieścić jeszcze jeden element – prócz wskazania pochodzenia danych osobowych, np. pracownik jest uprawniony do przetwarzania danych osobowych pracowników zatrudnionych przez wskazanego kontrahenta. Elementem tym jest zobowiązanie twoich pracowników do zachowania tych danych osobowych w tajemnicy.