Rozporządzenie dotyczące przetwarzania ochrony danych osobowych RODO, wskazuje, że podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych, przetwarza je wyłącznie na polecenie administratora chyba, że wymaga tego prawo Unii lub państwa członkowskiego. Powyższy zapis stanowi treść art. 29 RODO i określa, że przetwarzanie danych osobowych może nastąpić przez osobę działającą na mocy upoważnienia wydanego przez administratora lub podmiot przetwarzający.
Rozporządzenie nie wskazuje jednak wprost jakie elementy powinny składać się na upoważnienie do przetwarzania danych osobowych. Tak naprawdę nie określono nawet, że upoważnienie powinno zostać zawarte w formie pisemnej.
Z praktycznego punktu widzenia, biorąc pod uwagę zasadę rozliczalności określoną w art.5 ust. 2 RODO, administrator powinien wykazać przestrzeganie przepisów dotyczących przetwarzania danych osobowych. Może okazać się to trudnym zadaniem, przykładowo w przypadku zatrudniania dużej liczby pracowników.
Z pomocą przychodzą różnego rodzaju polityki i rejestry, które w razie kontroli stanowią dowody zgodności z przepisami dotyczącymi przetwarzania danych osobowych.
W związku z powyższym, obowiązek wynikający z przytoczonego wyżej art. 29 RODO, zrealizować można poprzez nadawanie indywidualnych upoważnień do przetwarzania danych osobowych.
Upoważnienie do przetwarzania danych osobowych druk
RODO nie wskazuje jakie elementy powinno zawierać upoważnienie do przetwarzania danych osobowych. Biorąc jednak pod uwagę praktykę, wskazuje się na:
- określenie w upoważnieniu osoby upoważnionej,
- wskazanie zakresu upoważnienia, z uwzględnieniem przyporządkowania zakresu danych do zajmowanego stanowiska oraz obowiązków służbowych z nim związanych,
- zobowiązanie do przetwarzania udostępnionych danych wyłącznie na polecenie administratora,
- dane osoby uprawnionej do nadawania upoważnienia.
Sprawdź jak wdrożyć RODO w twojej organizacji
Ewidencja upoważnień do przetwarzania danych osobowych wzór
W przypadku dużych organizacji, niewątpliwie ułatwieniem i swobodą w działaniu będzie możliwość panowania nad zakresem i liczbą wydanych upoważnień. Takim dokumentem może być rejestr upoważnień do przetwarzania danych osobowych.
Co powinno się w nim znaleźć?
W ewidencji upoważnień do przetwarzania danych osobowych powinniśmy zawrzeć takie informacje, które pozwolą nam na określenie liczby nadanych upoważnień, zakresu danego upoważnienia, a także daty nadania i wycofania lub wygaśnięcia upoważnienia.
Zbiór takich informacji pozwala na reagowanie w przypadku przemieszczania się pracowników w strukturach danej organizacji (gdyż może to wpływać na zakres wydanego upoważnienia i konieczność jego zmiany), a także na rotację pracowników (tutaj mowa o wycofaniu lub wygaśnięciu upoważnienia).
Regularnie wypełniany oraz właściwie przygotowany rejestr upoważnień do przetwarzania danych osobowych, może okazać się pomocnym dokumentem w przypadku kontroli organu nadzorczego sprawdzającego poprawność przetwarzania danych osobowych zgodnie z przepisami Rozporządzenia.
Przeczytaj również: bezpieczeństwo danych