Upoważnienie – forma i zakres

Administrator danych realizując swoje uprawnienia i obowiązki wynikające z przepisów o ochronie danych osobowych deleguje część z nich na inne osoby. RODO nie mówi wprost, jaką formę powinno przyjąć takie delegowanie uprawnień, ale praktyka pokazuje, że powinno to nastąpić w formie pisemnego upoważnienia (taka forma pozwoli administratorowi wywiązać się tzw. zasady rozliczalności). Administrator powinien upoważniać do przetwarzania danych wszystkie osoby zatrudnione na podstawie umowy o pracę, które na co dzień uczestniczą w przetwarzaniu danych.

Co ważne, nie wystarczy ogólne, uniwersalne dla wszystkich upoważnienie. Powinno być ono odpowiednio dostosowane do konkretnego stanowiska, zgodne z zakresem obowiązków pracownika lub powinno obejmować upoważnianie do konkretnych czynności przetwarzania. Dobrą praktyką jest także prowadzenie ewidencji upoważnień i dokonywanie ich cyklicznych przeglądów. Jak pokazuje doświadczenie, upoważnienia często się dezaktualizują.

Upoważnienie, udostępnienie a może powierzenie?

Administratorzy danych często zastanawiają się czy wobec konkretnej osoby wymagane jest wystosowanie upoważnienia czy też można na jakiejś innej podstawie dać jej dostęp do danych osobowych.

Udostępnienie danych jest działaniem, które skutkuje tym, że inny podmiot staje się odrębnym administratorem danych i od momentu otrzymania danych ponosi za nie odpowiedzialność. Z kolei w przypadku powierzenia, podmiot przetwarzający przetwarza dane w imieniu i na rzecz administratora na postawie zawartej umowy powierzenia. Procesor nie może sam decydować o celach i środkach przetwarzania, ani nie może (bez zgody administratora) dokonać dalszego powierzenia danych.

LEX Ochrona Danych Osobowych
Umów się na bezpłatną prezentację produktu.