Co wynika z posiadania upoważnienia do przetwarzania danych osobowych?

photo_2030_20061012Podczas jednego z audytów zastanowiły mnie odpowiedzi na pytanie „Czy Pani/Pan posiada upoważnienie do przetwarzania danych?”. Gros z nich brzmiało „nie wiem”, „nie pamiętam”, „coś chyba było”. Zastanowiło mnie, jakie są ustawowe być konsekwencje takiej niewiedzy w zakresie upoważnień.

Upoważnienie do przetwarzania danych osobowych powinno zapewnić rozliczalność udziału w procesie przetwarzania danych osobowych. Wszak jednym z elementów ewidencji osób upoważnionych do przetwarzania danych jest zakres upoważnienia. Także w praktyce w upoważnieniu wskazuje się jego zakres.

Wobec tego brak świadomości do co treści upoważnienia może skutkować dokonywaniem operacji na danych osobowych poza jego zakresem, a więc w sposób nielegalny. Skoro nie wiem, do jakich działań jestem upoważniony, to nie wiem też, które z podejmowanych przeze mnie czynności są podejmowane bez upoważnienia. Może to skutkować odpowiedzialnością karną z art. 49 ustawy o ochronie danych osobowych. Samo upoważnienie legalizuje udział w procesie przetwarzania danych osobowych. Jednocześnie wskazuje, w jakim zakresie można przetwarzać dane osobowe. To, czego w nim nie ma jest oczywiście zakazane.

Natomiast ustawową konsekwencją posiadania upoważnienia do przetwarzania danych osobowych, jest objęcie osób upoważnionych swoistą tajemnicą zawodową. Zgodnie bowiem z treścią art. 39 ust. 2 ustawy o ochronie danych osobowych „osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia”.

Z poważaniem
Tomasz Cygan

12 Comments

  1. Michał (Post author)

    Dzień dobry,

    jeśli jest to jeden podmiot/spółka zbiór danych Pracowników jest jeden (w rozumieniu UODO). Ewidencja oso upoważnionych musi zawierać zakres danych, a więc warto aby był on również w samym upoważnieniu.
    Dodatkowo proszę pamiętać, że ADO jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

    Już konkretniej na Pani pytania:

    1. Tak, każdy pracownik który przetwarza dane musi zostać w jakiejś formie upoważniony.
    2. Zakres upoważnienia będzie się różnić.
    3. Moim zdaniem można wymienić konkretne dane zidentyfikowanej grupy osób np. „imiona, nazwiska, daty urodzenia lub inne pracowników” lub zakres elementów zbiorów z formą przetwórnia np. Dokumentacja BHP.
    4. Tak sformułowane upoważnienie mogło by na to wskazywać. należy doprecyzować konkretnie, jakie dane, cel i zakres przetwarzania.

    Pozdrawiam,

    Reply
  2. Jan

    Witam,

    Dziękuję za szereg odpowiedzi od Państwa. Nurtują mnie, może banalne, jednak istotne pytania. w ustawie jest napisane, że ustawę stosuje się min. do kartotek, skorowidzów, innych zbiorów ewidencyjnych. Jeżeli magazynier w jednostce wypisuje dokumenty magazynowe, nadaje im kolejny numer i wypisuje na nich imię i nazwisko pracownika, to traktować to jako element zbioru danych pracowników i upoważniać do tych danych pracownika magazynu ?

    Reply
    1. Tomasz Cygan

      dzień dobry,

      moim zdaniem, tak. zbiór moze być rozproszony lub podzielony funkcjonalnie.

      z poważaniem,

      Tomasz Cygan

      Reply
  3. Jan

    Witam ponownie,

    Jak Pan uważa. Mamy na swoim terenie ZOZ Medycyny pracy, który jest w naszych strukturach, jako komórka organizacyjna podlegająca kierownikowi naszej jednostki organizacyjnej. Jest odrębny dział kadr, który zajmuje się sprawami merytorycznymi. Zastanawiam się czy dobrze zrobiłem wyodrębniając zbiór danych medycyna pracy, gdyż zazwyczaj te dane są przetwarzane w ramach zbioru funkcjonariuszy. Kadry dostają tylko ogólną informację od ZOZ Medycyny pracy czy dany pracownik przeszedł badania tzn. stan zdrowia pozwala na pracę albo nie – bez szczegółów.

    Jak Pan uważa, czy to dobre rozwiązanie ?

    Serdecznie pozdrawiam

    Reply
    1. Tomasz Cygan

      dzień dobry,

      jeśli medycyna pracy dotyczy tylko funkcjonariuszy, to jest to tylko element zbioru funkcjonariusze.

      z poważaniem,

      Tomasz Cygan

      Reply
  4. Jan

    Dziękuję,

    Dotyczy to zarówno funkcjonariuszy jak i pracowników. Złą praktyką będzie jak wyodrębnie zbioru medycyna pracy ?

    Pozdrawiam

    Reply
  5. Jan

    Dodatkowo wyniki badań diagnostycznych i (lub) konsultacyjnych zamieszczane są w karcie badania profilaktycznego stanowiącej dokumentację medyczną. Mamy ZOZ Medycyny pracy, mamy swojego lekarza. ZOZ jest w naszych strukturach i prowadzi min. ww. dokumentację medyczną. Stąd wyodrębniony zbiór medycyna pracy. Co Pan myśli ?

    Reply
    1. Tomasz Cygan

      dzień dobry,

      jeśli spełnia cechy zbioru, tj. stanowi zestaw danych o charakterze osobowych, posiada strukturę i jest dostępny wg określonych kryteriów, to może stanowić osobny zbiór. nie jest to błąd, jeśli jest opisany oraz odpowiednio chroniony. możliwe jest natomiast także inne podejście i potraktowanie informacji z zakresu medycyny pracy jako elementów innych zbiorów, np. pracownicy i funkcjonariusze.

      z poważaniem,

      Tomasz Cygan

      Reply
  6. Kinga

    Witam

    Spotkałam się z opinią ,że nadawanie upoważnień powinno odbywać się zgodnie z zasadą wiedzy koniecznej, czyli powinno określać m.in. do jakich zbiorów, w jakim zakresie, na jaki okres, ktoś ma mieć dostęp. To jest jasne.

    Jednak wypisywanie w upoważnieniu zakresu na zasadzie np. zbiór pracownicy w zakresie danych do tworzenia list płac, wykazu potrąceń jest dopuszczalne ?

    Praktyczniejszym jest ujmowanie zakresu operacji. Zakres przedmiotowy będzie wynikał z zakresu obowiązków.

    Chodzi mi o to, że pracownik BHP jest upoważniony do zbioru Pracownicy , ale nie musi znać wykształcenia osoby, która uległa wypadkowi, nr konta bankowego itp.

    Upoważnienie jego może przedstawiać się następująco:

    Zbiór pracownicy – wgląd, wprowadzanie, archiwizacja.

    W przypadku kontroli GIODO,lub jak ABI będzie przeprowadzał sprawdzenia, to zakres przedmiotowy wynika z jego obowiązków.

    Proszę o opinię.
    K.K.

    Reply
    1. Tomasz Cygan

      dzień dobry,

      Przepis zobowiązujący do nadawania uprawnień nie wskazuje ich konkretnej treści. Można go powiązać z elementami podlegającymi wpisowi do ewidencji osób upoważnionych. Moim zdaniem, ważne, żeby treść upoważnienia odpowiadała rzeczywistości, była czytelna oraz umożliwiała rozliczenie konkretnej osoby z podejmowanych przez nią działań. Dobrym pomysłem jest na pewno powiązanie upoważnienia z zakresem obowiązków, ale również określenie w nim uprawnień do pracy w systemie informatycznym. Możliwości jest wiele, natomiast na pewno Pani rozwiązanie mieści siew przepisach prawa oraz wskazaniach praktyki.

      z poważaniem,

      Tomasz Cygan

      Reply
  7. Maja

    Dzień dobry,

    w naszym biurze, w sąsiednich pokojach, znajduje się inny podmiot. Korzystamy z tej samej drukarki, więc siłą rzeczy widzimy dokumenty, które drukuje druga strona. Uszczelniamy obecnie system odo – czy możemy temu drugiemu podmiotowi wystawić oświadczenie o zachowaniu w poufności danych, jeżeli w umowie najmu nie było zapisu o zachowaniu danych w poufności?

    Reply
    1. Tomasz

      dzień dobry,

      jasne, na pewno takie oświaedczenie nie zaszkodzi.

      z poważaniem,

      Tomasz Cygan

      Reply

Napisz komentarz/zapytanie

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

2 × one =