Słowniczek

Upoważnienie do przetwarzania danych osobowych

Upoważnienie do przetwarzania danych osobowych to formalne nadanie pracownikowi lub współpracownikowi prawa do przetwarzania danych osobowych w imieniu administratora, w określonym zakresie i celu. RODO (art. 29 i 32.4) wymaga, aby osoby działające z upoważnienia administratora przetwarzały dane wyłącznie na jego polecenie. W praktyce HR oznacza to, że każdy pracownik mający dostęp do danych osobowych (kadry, płace, rekrutacja, HR BP, IT, recepcja) musi posiadać pisemne upoważnienie. Upoważnienie powinno określać: dane upoważnionego, zakres danych do przetwarzania (kategorie), cel/czynności przetwarzania, datę nadania i czas obowiązywania. Administrator prowadzi ewidencję upoważnionych osób. Upoważnienie cofane jest przy zmianie stanowiska, zakresu obowiązków lub ustaniu zatrudnienia. Osoba upoważniona zobowiązana jest do zachowania danych w poufności — zarówno w trakcie zatrudnienia, jak i po jego ustaniu.

Każdy pracownik mający dostęp do danych osobowych: kadrowcy, księgowi, rekruterzy, HR BP, przełożeni (dostęp do danych podwładnych), administratorzy IT, recepcja, pracownicy BHP, osoby obsługujące monitoring. Zakres upoważnienia odpowiada zakresowi obowiązków.

RODO nie wymaga formy pisemnej, ale zasada rozliczalności wymaga udowodnienia, że upoważnienie zostało nadane. W praktyce: pisemny dokument z podpisem, przechowywany w aktach osobowych (część B). Ewidencja upoważnień prowadzona przez IOD lub HR.

Formalnie tak — brak stosunku pracy = brak podstawy do przetwarzania. Jednak dobrą praktyką jest formalne cofnięcie upoważnienia w procesie offboardingu i wykreślenie z ewidencji. Obowiązek poufności trwa bezterminowo.

Upoważnienie: dla osób fizycznych działających pod kontrolą administratora (pracownicy). Powierzenie: dla podmiotów zewnętrznych (firmy, osoby prowadzące działalność). Pracownik działa na podstawie upoważnienia, zewnętrzne biuro rachunkowe — na podstawie umowy powierzenia.

Nie jest wprost wymagana przez RODO, ale ustawa o ochronie danych osobowych (art. 30 ust. 2) wymaga prowadzenia ewidencji przez administratora. Ewidencja zawiera: imię i nazwisko, datę nadania, zakres upoważnienia i identyfikator (jeśli dotyczy). Dostępna dla UODO na żądanie.

Powiązane pojęcia

Dane biometryczne pracowników

Inspektor Ochrony Danych (IOD)

Monitoring pracowników

Naruszenie ochrony danych osobowych

Obowiązek informacyjny RODO