Słowniczek
Upoważnienie do przetwarzania danych osobowych
Każdy pracownik mający dostęp do danych osobowych: kadrowcy, księgowi, rekruterzy, HR BP, przełożeni (dostęp do danych podwładnych), administratorzy IT, recepcja, pracownicy BHP, osoby obsługujące monitoring. Zakres upoważnienia odpowiada zakresowi obowiązków.
RODO nie wymaga formy pisemnej, ale zasada rozliczalności wymaga udowodnienia, że upoważnienie zostało nadane. W praktyce: pisemny dokument z podpisem, przechowywany w aktach osobowych (część B). Ewidencja upoważnień prowadzona przez IOD lub HR.
Formalnie tak — brak stosunku pracy = brak podstawy do przetwarzania. Jednak dobrą praktyką jest formalne cofnięcie upoważnienia w procesie offboardingu i wykreślenie z ewidencji. Obowiązek poufności trwa bezterminowo.
Upoważnienie: dla osób fizycznych działających pod kontrolą administratora (pracownicy). Powierzenie: dla podmiotów zewnętrznych (firmy, osoby prowadzące działalność). Pracownik działa na podstawie upoważnienia, zewnętrzne biuro rachunkowe — na podstawie umowy powierzenia.
Nie jest wprost wymagana przez RODO, ale ustawa o ochronie danych osobowych (art. 30 ust. 2) wymaga prowadzenia ewidencji przez administratora. Ewidencja zawiera: imię i nazwisko, datę nadania, zakres upoważnienia i identyfikator (jeśli dotyczy). Dostępna dla UODO na żądanie.