Osoby nieupoważnione/osoby przebywające…

photo_2030_20061012Kolejny raz zauważyłem „dziwną rzecz”- upoważnienie do przetwarzania danych osobowych dla osoby z personelu sprzątającego. Dodam, że ta osoba nie miała dostępu do żadnych danych chronionych ustawą o ochronie danych osobowych.

Skąd takie upoważnianie nadane przez ADO? Z niezrozumienia zapisów ROZPORZĄDZENIA MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

W załączniku do wspomnianego rozporządzenia znajdziemy zapis:

A. Środki bezpieczeństwa na poziomie podstawowym: pkt. I 2:

Przebywanie osób nieuprawnionych w obszarze, o którym mowa w § 4 pkt 1* rozporządzenia, jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych.

Jest w nim mowa o  np. personelu sprzątającym. Jeśli sprząta w godzinach pracy osób upoważnionych sprawa jest praktycznie rozwiązana (tylko trzeba pamiętać zeby takich osób nie zostawiać bez nadzoru…).

Natomiast jeśli taki personel sprząta po godzinach to przynajmniej trzeba go zapoznać z zasadami bezpieczeństwa panującymi w danej firmie/instytucji (pobieranie, zdawanie kluczy itp.) oraz wyrazić jakąś formę ZGODY na wykonywanie tych prac (nie upoważnienie do przetwarzania danych).

Może to być przykładowo zapis w umowie:

Zleceniodawca informuję iż prace będą wykonywane na obszarze przetwarzania danych osobowych. Pracownicy zleceniobiorcy oddelegowania do wykonania przedmiotu niniejszej umowy uzyskują zgodę Zleceniodawcy jako Administratora Danych  na przebywanie w wspomnianym obszarze. Zgoda obejmuje przebywanie w obszarze przetwarzania danych osobowych wyłącznie w celu realizacji przedmiotu niniejszej umowy opisanego w § XX pkt. YY.

Zleceniobiorca  zobowiązuje się do zachowania w tajemnicy, nieujawniania i niewykorzystywania wszelkich informacji, z którymi zapoznała się w związku ze świadczeniem usług, w szczególności dotyczy to danych osobowych, sposobów ich zabezpieczenia, a także zobowiązuje się do poinformowania swoich pracowników oraz osób świadczących na jego rzecz usługi na innej podstawie niż stosunek pracy o poufności powyżej wskazanych informacji.

Z poważaniem,
Michał Geilke

 

§ 4 pkt 1* – wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;

5 Comments

  1. Kinga

    Jak prawidłowo określić zakres upoważnienia. Często bywa tak, że kierownicy działów mają dostęp do danych pracowników w niepełnym zakresie i nie wiem jak to ująć. Mam dużo pracowników i żeby ułatwić sobie pracę mogę to ująć następująco ?:

    – Zakres upoważnienia: dane pracowników – zgodnie z zakresem obowiązków?

    Czy muszę dodatkowo wpisywać operacje jakie ma prawo wykonywać pracownik w zbiorze danych?

    Co w sytuacji, gdzie pracownicy podpisują listę obecności na której widnieją dane innych pracowników, czy wtedy każdy pracownik musi mieć dostęp do zbioru pracowników?

    Pozdrawiam

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Na Pani pytania tak naprawdę jest wiele różnych odpowiedzi- a każda z nich dobra. Przykładowo, jeśli by brać pod uwagę zakres obowiązków to moim zdaniem musiałby on jasno wskazywać do jakich danych w jakim zakresie mam dostęp – a bardzo często takich rzeczy nie ma w zakresie obowiązków. Jeśli chodzi o listę obecności to fakt jej podpisywania moim zdaniem nie wiąże się z koniecznością posiadania upoważnienia do przetwarzania danych osobowych pracowników- są tam (powinny być) tylko dane” imię, nazwisko, obecny, nieobecny. Takie informacje o pracowniku są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Dane te mogą być wykorzystywane (udostępniane) przez pracodawcę nawet bez zgody pracownika, którego one dotyczą. Wskazuje na to również stanowisko w tej kwestii zawarte w wyroku Sądu Najwyższego z dnia 19 listopada 2003 r. o sygn. I PK 590/02 stwierdzające, iż ujawnienie przez pracodawcę nazwiska (imienia) pracownika bez jego zgody nie stanowi bezprawnego naruszenia dobra osobistego, jeżeli jest usprawiedliwione zadaniami i obowiązkami pracodawcy związanymi z prowadzeniem zakładu, jest niezbędne i nie narusza praw oraz wolności pracownika”.

      Pozdrawiam,

      Reply
      1. Kinga

        Co w sytuacji, jeżeli do systemu rejestru czasu pracy, trzeba nadać uprawnienia do rejestrowania się w nim czyli, konto (login hasło), a tam też ogólna matryca z tym kto jest w pracy a kto nie ( wgląd) ?
        Czyli też nie trzeba nadawać upoważnienia do przetwarzania danych pracowników dla wszystkich ?

        Czasami w listach obecności lub w rejestrach czasu pacy widnieje informacja dot. powodu nieobecności np. chorobowe. To już jest dana wrażliwa. Pracodawca powinien zaprzestać wpisywania w listy i rejestry takiej adnotacji ?

        Reply
        1. Michał (Post author)

          Dzień dobry,

          odnośnie „chorobowego” na liście obecności to moim zdaniem, tak jak Pani napisała jest to dana „wrażliwa” i nie powinno jej tam być. Należy ją zastąpić oznaczeniem innym niewskazującym na dane „wrażliwe” lub inne które mogą naruszyć dobra osobiste pracownika.

          Jeśli chodzi o wspomnianą matryce będzie już to moim zdaniem zależało od możliwości danego użytkowania. Przykładowo: matryca nie powinna zawierać danych wrażliwych, chyba że jest to osoba na stanowisku kierowniczym i ma dostęp do takich danych w tym systemie, to w takim przypadku upoważnienie jest konieczne.

          Pozdrawiam,
          Michał Geilke

          Reply
          1. kinga

            W kwestii kierowników dziękuję za pomoc.

            Napisał Pan :
            „Jeśli chodzi o listę obecności to fakt jej podpisywania moim zdaniem nie wiąże się z koniecznością posiadania upoważnienia do przetwarzania danych osobowych pracowników- są tam (powinny być) tylko dane” imię, nazwisko, obecny, nieobecny. Takie informacje o pracowniku są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych.”

            a co w przypadku rejestru czasu pracy do którego mają nadany dostęp jako do systemu informatycznego wszyscy pracownicy i po zalogowaniu widzą matrycę z obecnością.

            Mimo, że mają nadany tam login i hasło to nie muszą mieć upoważnienia do przetwarzania danych osobowych pracowników-wgląd?

Napisz komentarz/zapytanie

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

five × 1 =