Administrator przetwarza dane osobowe – to już wiemy… Ale czy zawsze robi to osobiście? Przedsiębiorca posiadający status administratora danych najczęściej zatrudnia pracowników, którzy wykonują faktyczne operacje na gromadzonych danych osobowych – dział kadr zajmuje się rekrutacją przetwarzając dane kandydatów do pracy, marketingowcy tworzą bazy mailingowe, dział handlowy realizuje zamówienia klientów indywidualnych. Jaki jest status tych osób? W jaki sposób administrator upoważnia pracowników do przetwarzania danych osobowych? Czy tylko pracownik powinien legitymować się takim upoważnieniem?

Od praktykanta do prezesa

Z brzmienia art. 37 ustawy o ochronie danych osobowych wynika jasno:

„do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych”.

Upoważnienie takie posiadać muszą więc wszystkie osoby, które podlegając administratorowi danych, w ramach swoich obowiązków, rzeczywiście uzyskują dostęp do danych osobowych i wykonują jakiekolwiek operacje na tych danych – zbierają je, przechowują, zmieniają lub usuwają. Mowa tutaj więc nie tylko o pracownikach, ale również o osobach fizycznych działających na rzecz administratora na podstawie innych stosunków prawnych, w tym zleceniobiorcach, wykonawców działających na podstawie umowy o dzieło i… praktykantów!

Lepiej mieć to na piśmie…

Przepisy ustawy o ochronie danych osobowych nie nakładają na administratorów danych obowiązku udzielania upoważnień na piśmie. W praktyce często stosowana jest forma elektroniczna, np. w postaci e-maila. Przepisy nie wykluczają przy tym oczywiście możliwości ustnego udzielenia stosownego upoważnienia.

Warto jednak, choćby w celach dowodowych, na wypadek ewentualnej kontroli, posiadać odpowiednie upoważnienia sporządzone w formie pisemnej. Ponadto, zwykle sugeruję klientom, aby zapoznanie się z treścią takiego pisemnego upoważnienia potwierdzali swym podpisem pracownicy. Pozwala to w szczególności na wykazanie, że pracownik został zapoznany z zakresem udzielonego upoważnienia, co ma niebagatelne znaczenie w kontekście obowiązku zapewnienia przez administratora odpowiedniego poziomu bezpieczeństwa danych.

Sekretarka nie zajrzy do kieszeni prezesa

Mówiąc o zakresie upoważnienia, ten zgodnie z przepisami, musi być adekwatny. Innymi słowy, nie ma potrzeby, aby dział marketingu miał wgląd do akt pracowniczych, a kadrowa posiadała pełną bazę klientów spółki. Podstawową zasadą ochrony danych osobowych jest racjonalizowanie dostępu do tych danych i ograniczenie go tylko do sytuacji, gdy dostęp taki jest niezbędny do wykonania określonych czynności. I tak, sekretariat nie może mieć dostępu do danych płacowych, gdyż dane te nie są potrzebne do prawidłowego wykonania obowiązków pracowniczych osób w sekretariacie zatrudnionych.

Choć przepisy nie precyzują w jaki sposób określić zakres upoważnienia, zwykle sugeruje precyzyjnie wskazać jakie operacje i na jakich danych może wykonywać osoba upoważniona. Stosowany niekiedy zabieg odwołania się do treści stosunku pracy i obowiązków pracowniczych może spowodować powstanie w niektórych sytuacjach wątpliwości, co do zakresu upoważnienia.

Upoważnienie, a co w nim?

Prócz zakresu i co oczywiste, oznaczenia osoby której udzielono upoważnienia, winno ono określać administratora danych, który upoważnienia udzielił, a także datę nadania oraz wygaśnięcia upoważnienia, jeśli udzielono go na czas oznaczony. Często stosowana w praktyce klauzula „na okres trwania stosunku pracy/zlecenia” jest dopuszczalna i w mojej ocenie w pełni odpowiada wymogom ustawowym.

Biurokracja przede wszystkim

Sformalizowanie procedur związanych z ochroną danych osobowych jest tak duże, że nie jest zaskoczeniem fakt, iż wykaz osób upoważnionych stanowi obligatoryjny element prowadzonej przez administratora danych dokumentacji z zakresu ochrony danych osobowych. Trudno jednak dziwić się takiemu posunięciu ustawodawcy. Administrator musi mieć kontrolę nad tym, kto działając w jego imieniu przetwarza dane, natomiast w przypadku dużych podmiotów, zatrudniających niekiedy tysiące osób, mogłoby to być trudne.

Co jednak, gdy dopuścimy do przetwarzania danych osoby nieupoważnione lub gdy zakres upoważnienia okaże się nieadekwatny? Hm… o karach jakie grożą administratorom danych, już niebawem!