Każdy pracownik firmy, który w ramach wykonywanych obowiązków uzyskuje dostęp do danych osobowych, powinien posiadać upoważnienie do przetwarzania danych osobowych.

Z reguły upoważnienie takie jest udzielane zaraz po nawiązaniu stosunku pracy.

Zakres upoważnienia do przetwarzania danych

Upoważnienie powinno określać zakres danych osobowych, które pracownik będzie mógł przetwarzać w toku czynności wykonywanych na rzecz pracodawcy. Ponieważ RODO nie narzuca konkretnej treści upoważnienia, w praktyce wymóg ten jest realizowany poprzez odniesienie się do kategorii osób, których dane dotyczą (np. klienci, pracownicy, dostawcy), konkretnych czynności przetwarzania danych osobowych lub zbiorów danych.

Zakres upoważnienia ma być spójny z zakresem obowiązków realizowanych przez pracownika, któremu jest ono udzielane.

Treść upoważnienia a zmiany kadrowe

Co jednak stanie się w sytuacji, gdy pracownik ten zostaje awansowany lub przeniesiony do innego działu lub na inne stanowisko pracy? Czy administrator powinien podjąć w związku z tym jakieś działania? Ogólnie rzecz biorąc, to zależy.

Jeżeli w wyniku tej zmiany pracownik uzyska dostęp do danych osobowych, które nie były objęte zakresem pierwszego upoważnienia, potrzebna będzie aktualizacja upoważnienia lub jego odwołanie i udzielenie nowego, którego zakres będzie adekwatny do nowej sytuacji.

A jeżeli na nowym stanowisku pracownik przetwarzał dane osobowe w takim samym zakresie, to co do zasady upoważnienia nie trzeba będzie modyfikować.

Administrator danych powinien zadbać, aby upoważnienia były aktualne i odzwierciedlały stan faktyczny. W innym przypadku może się okazać, że niektórzy pracownicy przetwarzają dane osobowe bez wymaganego upoważnienia.

Zwracam na to uwagę, ponieważ element ten bywa zaniedbywany w firmach.

Administratorzy wiedzą, że powinni aktualizować rejestr czynności przetwarzania danych osobowych, ale o samych upoważnieniach często zapominają, uznając, że skoro danej osobie już raz udzielono upoważnienia, to obowiązek ten jest „odhaczony” aż do końca zatrudnienia tej osoby w firmie.

Jak zapewnić aktualność upoważnień?

O zmianach kadrowych polegających na awansowaniu na wyższe stanowisko (np. z pracownika na menedżera lub partnera) i przejściach do innego działu kierownictwo firmy lub dział personalny może informować osobę, która zajmuje się prowadzeniem dokumentacji przetwarzania danych w firmie. Oceni ona, czy nowe zadania i obowiązku wymagają zmian w zakresie upoważnienia do przetwarzania danych osobowych.

Pomocna w tym celu może okazać się ewidencja upoważnień do przetwarzania ochrony danych osobowych, a dodatkowym ułatwieniem tabela z wykazem danych osobowych przetwarzanych na poszczególnych stanowiskach pracy w firmie, zgodnie z przyjętą strukturą organizacyjną.

W poprzednim stanie prawnym administrator danych miał obowiązek prowadzenia ewidencji upoważnień do przetwarzania danych osobowych. Obecnie taki dokument nie jest obowiązkowy. Wynika to z ogólnej zasady RODO, że zakres dokumentacji przetwarzania danych osobowych określa sam administrator.

Prowadzenie takiej ewidencji również pod rządami RODO zapewni jednak administratorowi szereg korzyści. Wśród nich jest większa przejrzystość i kontrola nad tym, kto w jego organizacji przetwarza dane osobowe i w jakim zakresie.

Podobnie jak cała dokumentacja ochrony danych w firmie, taka ewidencja również powinna być regularnie aktualizowana.