03 Sty

Czy administrator danych może upoważnić do przetwarzania danych kogoś kto nie jest jego pracownikiem?

Nadawanie upoważnień do przetwarzania danych osobowych jest jednym z podstawowych obowiązków administratora danych, wynikających z ustawy o ochronie danych osobowych.

Informację jak nadawać upoważnienia oraz wzór upoważnienia znajdziesz tutaj

Większość administratorów danych nie ma wątpliwości, że obowiązkiem otrzymania upoważnienia są objęci jego pracownicy i współpracownicy.  Nawet jeżeli przetwarzanie danych wynika bezpośrednio z obowiązku narzuconego przez przepisy prawa (opisywałam to na przykładzie upoważniania nauczycieli przez szkołę). Jednakże w podanym przykładzie zabrakło odpowiedzi na pytanie, kto powinien upoważnić osobę, która nie jest pracownikiem szkoły, np. pielęgniarkę szkolną lub pracownika ochrony. Zgodnie z art. 37. ustawy o ochronie danych osobowych: Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.Oznacza to, że administrator danych upoważnia do swoich danych. Nawet jeżeli osoba, która otrzyma dostęp do danych nie jest pracownikiem administratora, to właśnie on powinien nadać upoważnienie.Zatem upoważnienie jest nadawane przez administratora nie tylko pracownikom, ale także osobom wykonującym zlecenia, wykonawcom, współpracownikom, a także osobom zatrudnionym przy przetwarzaniu danych przez podmioty, którym administrator danych powierzył dane. Upoważnienie wydaje się także audytorom, kontrolerom – jeżeli mają mieć dostęp do danych oraz osobom, które w wyniku swoich obowiązków otrzymują dostęp do danych „na chwilę” (np. mają dostęp do systemu informatycznego, w którym są dane, w ramach współpracy między podmiotami). Należy pamiętać, że zgodnie z art. 38. ustawy o ochronie danych osobowych:  Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Nie będzie w stanie tego zapewnić, jeżeli nie będzie wiedział kto i kiedy oraz w jakim zakresie otrzymał dostęp do danych.

W tym artykule, opisałam alternatywne rozwiązanie, w którym to procesor upoważnia w imieniu ADO do przetwarzania danych, które zostały mu powierzone, a ADO sprawuje kontrolę nad samym procesem.


miniSpodobał Ci się ten wpis?

Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie