Zapytaliśmy specjalistkę czy RODO można określić mianem klucza do ochrony danych osobowych i jak zgodność z RODO może wzmocnić bezpieczeństwo i zaufanie Twojej firmy.
Upoważnienie do przetwarzania danych osobowych jest jedną z najważniejszych instytucji ochrony danych osobowych. Określa, kto i w jakich okolicznościach może dokonywać przetwarzania z polecenia administratora. Rzadko zdarza się, aby to wyłącznie sam administrator przetwarzał udostępnione lub powierzone mu dane osobowe. Czynności te są zwykle delegowane na osoby działające na rzecz administratora: głównie pracowników i zleceniobiorców. W związku z tym obowiązek ten będzie dotyczył większości podmiotów.
Obowiązek Wydawania Upoważnień
Obowiązek wydawania upoważnień spoczywa na administratorze i wynika wprost z przepisów ogólnego rozporządzenia o ochronie danych (art. 29). Zgodnie z tym:
„Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora danych.”
Upoważnienie do przetwarzania powinna posiadać każda osoba, której administrator polecił przetwarzanie danych osobowych, czyli de facto każda osoba dokonująca jakiejkolwiek czynności na danych osobowych.
Wymagania Formalne
Upoważnienia powinny być nadawane w formie pisemnej. Powinny zawierać:
- Datę upoważnienia.
- Dane administratora, dane pracownika i zajmowane przez niego stanowisko.
- Upoważnienie do przetwarzania danych osobowych.
- Zobowiązanie do zachowania tajemnicy.
W przypadku przetwarzania danych szczególnych kategorii zaleca się rozszerzenie upoważnienia o kategorie danych osobowych, które obejmuje upoważnienie.
Konsekwencje Braku Upoważnień
Uchybienia w zakresie stosowania procedury nadawania upoważnień mogą stanowić źródło poważnych problemów, głównie w zakresie sankcji nakładanych przez Urząd Ochrony Danych Osobowych. Ponieważ obowiązki te wynikają wprost z przepisów rozporządzenia Unijnego, trudno z nimi dyskutować.
Implementacja Procedury w Organizacji
Aby procedura nadawania upoważnień do przetwarzania była żywym elementem organizacji, warto dostosować ją do rzeczywistych potrzeb przedsiębiorstwa.
Dobrymi rozwiązaniami są m. in.:
- Prowadzenie rejestru upoważnień.
- Podział upoważnień na upoważnienia do przetwarzania danych zwykłych oraz szczególnych kategorii (dane wrażliwe).
- Rozszerzenie procedury przyjęcia nowego pracownika o nadawanie upoważnień.
- Umocowanie innych osób do nadawania upoważnień.
Upoważnienie a Powierzenie Przetwarzania
Należy zauważyć, że przetwarzanie na podstawie upoważnienia i powierzenie przetwarzania to dwie odrębne instytucje.
Na podstawie upoważnień dochodzi do przetwarzania danych na polecenie administratora o określonym zakresie. Odpowiedzialność za ochronę danych osobowych tego przetwarzania spoczywa przede wszystkim na administratorze, który jest zobowiązany zapewnić odpowiednie środki ochrony.
Przetwarzanie na podstawie powierzenia ma miejsce, gdy czynności przetwarzania są dokonywane przez inny podmiot (podmiot przetwarzający, mający także zazwyczaj status administratora). Przetwarzanie odbywa się na zlecenie administratora, ale w sposób niezależny – sposobami, narzędziami i środkami podmiotu przetwarzającego. Podmiot przetwarzający ponosi odpowiedzialność za naruszenia ochrony danych osobowych, do których doszło w związku z przetwarzaniem powierzonych przez administratora danych.
Kluczowe Znaczenie Prawidłowej Identyfikacji
Kluczowym jest prawidłowa identyfikacja występującego stosunku i zastosowanie odpowiedniej formy: upoważnienia do przetwarzania danych osobowych bądź umowy powierzenia przetwarzania danych osobowych.
Kary UODO sięgają 10 000 000 euro, bądź 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Z tego względu niezwykle istotne jest przestrzeganie obowiązków związanych z przetwarzaniem danych osobowych.
Podsumowanie
Dbałość o właściwe nadawanie upoważnień do przetwarzania danych osobowych jest niezbędna dla zapewnienia zgodności z przepisami oraz uniknięcia potencjalnych sankcji. Każda organizacja powinna wdrożyć odpowiednie procedury, które będą żywym elementem codziennej działalności, a nie jedynie formalnością.