Upoważnienie do przetwarzania danych osobowych pracowników i współpracowników jest jednym z podstawowych obowiązków wynikających z RODO, spoczywających na administratorze danych osobowych, ale też na podmiocie przetwarzającym. Osoby przetwarzające dane osobowe w imieniu administratora nie mogą bowiem działać bez takiego upoważnienia. Sprawdź, jak zredagować wzorcowe upoważnienie do przetwarzania danych osobowych.
Czym jest upoważnienie do przetwarzania danych osobowych
Administrator danych osobowych może polecić przetwarzanie danych osobowych wyłącznie osobom posiadającym upoważnienie o właściwej treści. Zadaniem administratora jest więc:
-
określenie kręgu podmiotów, którym należy nadać upoważnienie,
-
wybór formy upoważnienia,
-
ustalenie treści upoważnienia.
Upoważnienie do przetwarzania danych osobowych zgodnie z RODO
Co na to RODO? W ogólnym rozporządzeniu o ochronie danych znaleźć można lakoniczne regulacje odnoszące się do tematyki omawianych upoważnień. Wynika z nich, że administrator oraz podmiot przetwarzający (procesor) podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora. Wyjątkiem jest sytuacja, w której wymaga tego od niej prawo Unii lub prawo państwa członkowskiego (art. 32 ust. 4 RODO). Ponadto przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego (art. 29 RODO). Dodatkowo w art. 28 pkt 3 lit. b RODO wskazano, że podmiot przetwarzający zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
Obowiązek upoważniania do przetwarzania danych osobowych spoczywa zarówno na administratorze jak i podmiocie przetwarzającym.