04 wrz

Zleceniobiorca – upoważnienie czy umowa powierzenia?

Dość często spotykam się z dylematem, czy osoby realizujące zadania w oparciu o umowy cywilnoprawne powinny mieć dostęp do danych osobowych na podstawie umowy powierzenia, czy na podstawie upoważnienia. Szczególnie, że czasami mogą to być osoby fizyczne, które realizują zlecenie w ramach prowadzonej działalności gospodarczej.

Stoję na stanowisku, że jeżeli zleceniobiorca realizuje zadania osobiście, wystarczy upoważnienie do przetwarzania danych. W przypadku przedsiębiorcy istotne dla mnie też jest to, czy korzysta on z infrastruktury administratora, czy z własnej (swoje biuro, komputer, własny e-mail). Jeżeli jest zupełnie niezależny, np. firma szkoleniowa, która obsługuje kilka firm i korzysta z własnych narzędzi, właściwsze może być zawarcie umowy powierzenia. Szczególnie, gdy korzysta ona tylko ze swoich narzędzi i swojej poczty e-mail. Read More

14 maj

Czy z osobą samozatrudnioną należy podpisać umowę powierzenia?

Upoważnienie, czy powierzenie danych? Ten temat od pewnego czasu przewija się w moich rozmowach z klientami. Biorąc pod uwagę aktualny rynek pracy oraz to, że w wielu firmach dostęp do danych mają osoby prowadzące jednoosobowe działalności gospodarcze, a zatem nie będące pracownikami, należy w firmie przyjąć jednolitą procedurę postępowania. Osobiście jestem zwolenniczką umowy powierzenia i co do zasady takie rozwiązanie stosuję w relacjach biznesowych z moimi klientami, jednakże dla wielu administratorów to rozwiązanie jest dość problematyczne. Tym bardziej, że osoby samozatrudnione bardzo niechętnie podchodzą do kwestii zawarcia powierzenia, czasami stwierdzając wprost, że nie zgadzają się na takie rozwiązanie.

I naprawdę w wielu przypadkach jest to uzasadnione.

Read More

11 lut

O upoważnianiu słów kilka

Uważam, że upoważnianie ma fundamentalne znaczenie dla zapewniania zgodności przetwarzania z RODO. Jednakże większość przeprowadzanych przeze mnie audytów oraz moje doświadczenia we współpracy z różnymi administratorami, prowadzą do wniosku, że nie przykłada się zbyt dużej wagi do upoważnień. Bardzo często są one nadawane hurtem, tzn. wszystkim do wszystkiego, nie są odwoływane, nie są aktualizowane. Jest to błąd, bo w przypadku naruszenia przez pracownika wewnętrznych procedur, w szczególności kradzież lub udostępnienie danych, nienadane, niewłaściwie nadane lub nieodwołane upoważnienie może utrudnić lub uniemożliwić, że pracownik działał niezgodnie z wolą administratora.

Upoważnienie do wszystkiego lub w zbyt szerokim zakresie

Tak jest najłatwiej, szczególnie gdy firma jest mała, praktyką jest nadawanie upoważnienień do „przetwarzania danych osobowych”. Czasami określa się, że zakres upoważnienia jest „bez ograniczeń”. Bywa że upoważnienie jest trochę bardziej szczegółowe i zapisano w nim, że jest to przetwarzanie danych związanych z zatrudnieniem. W takim wypadku osoba upoważniona może uzurpować, że jest uprawniona także do dostępu do danych płacowych, czy bazy marketingowej, pomimo że jej obowiązki nie są z tym związane. Nie ograniczając uprawnień osoby upoważnionej administrator podcina gałąź, na której siedzi, dając wyraźny sygnał „ufam Ci, w mojej firmie możesz robić wszystko”. Czy pracownicy faktycznie tak do tego podchodzą? Zdecydowanie tak, szczególnie jeżeli otrzymają dostęp do danych związanych z zatrudnieniem lub klientami firmy. Na przykład osoby biorące udział w procesach rekrutacji (np. pracownicy HR, czy kierownicy działów) otrzymując upoważnienie do „przetwarzania danych związanych z zatrudnieniem”, dość często powołując się na to upoważnienie żądają od kadr informacji o umowach innych pracowników, w szczególności na podobnych stanowiskach. Czasami chcą też dostęp do historii umów zawartych z klientami, których znają (czytaj znajomych, których lubią lub nie), by zaspokoić swoją ciekawość. Ich żądania i oczekiwania są spowodowane tym, że otrzymali upoważnienie w zbyt szerokim zakresie. Read More

02 maj

Ustawa wdrażająca RODO a upoważnienia do przetwarzania danych osobowych

Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO [ustawa wdrażająca RODO] według niektórych cofa nas o kilka lat wstecz w sposobie realizacji obowiązków związanych z ochroną danych osobowych. W zasadzie od samego początku funkcjonowania przepisów o ochronie danych osobowych, nadawanie upoważnień do przetwarzania danych osobowych było jednym z najważniejszych obowiązków administratora. Upoważnianie do przetwarzania danych zapewnia rozliczalność danych osobowych, poprzez kontrolę nad tym, kto i w jakim zakresie jest uprawniony do dostępu do danych. Przepisy nigdy dotychczas nie precyzowały w jaki sposób to upoważnienie powinno wyglądać. Administrator był jedynie zobligowany nadać stosowane upoważnienie pracownikowi przed przyznaniem mu  dostępu do danych osobowych, w formie papierowej lub elektronicznej. Upoważnienie stanowi potwierdzenie, że użytkownik otrzymał stosowne uprawnienie do przetwarzania danych od administratora. Przepisy RODO w zasadzie nic nie zmieniły w zakresie zarządzania upoważnieniami do przetwarzania danych. Zgodnie z art. 29 RODO przetwarzanie danych musi odbywać się tylko i wyłączenie na wyraźne polecenie administratora.  W celu wykazania, że polecenie zostało faktycznie wydane, administrator danych kontynuuje, tak jak to miało miejsce przed wejściem w życie RODO, nadawanie upoważnień do przetwarzania danych osobowych. Należy podkreślić, że upoważnienie przed zmianami wynikającymi z ustawy wdrażającej RODO mogło być w dowolnej formie, tzn. ustnej, wiadomości e-mail, elektronicznej, pisemnej.Jednakże administrator danych, aby wykazać, że wywiązał się z ciążącego na nim obowiązku, powinien przyjąć taką formę, która daje możliwość udowodnienia, że upoważnienie faktycznie zostało nadane. W praktyce najczęściej były stosowane upoważnienia w formie pisemnej lub elektronicznej przy użyciu specjalnego systemu informatycznego. Szczególnie w dużych organizacjach upoważnienia elektroniczne doskonale się sprawdzały, pozwalając skrócić czas zarządzania upoważnieniami i uprawnieniami pracowników, a także skutecznie przekazując informacje o wszelkich zmianach upoważnienia, osobom nadzorującym ochronę danych osobowych. Dzięki takim systemom pracownicy kadr mogli z dużym wyprzedzeniem przekazać informację, że pracownik planuje dłuższy urlop, złożył wypowiedzenie lub będzie zwolniony. Podobnie można było dzięki systemowi informatycznemu zarządzać przyjęciami nowych pracowników.  Ustawa wdrażająca RODO wprowadzając zmiany w prawie 170 ustawach zmodyfikowała także kwestie dotyczące nadawania upoważnień. W przepisach sektorowych pojawiły się zapisy obligujące administratora danych do nadawania pracownikom upoważnienia na piśmie do poszczególnych kategorii danych, jak dane związane z rekrutacją, zatrudnieniem, czy wypłatami z zakładowego funduszu świadczeń socjalnych. Read More

28 lis

RODO: czy trzeba będzie upoważniać do przetwarzania danych

Chciałabym częściej dla Was pisać, ale niestety doba ma tylko 24 godziny. Bycie popularnym blogerem ma swoją cenę, spędzam nawet kilka godzin dziennie (głownie wieczorami) odpisując na pytania z Waszych maili. Jednakże wiele z nich bardzo pozytywnie mnie nastraja, bo tworzą obraz naprawdę dużego i fajnego zaangażowania w tematykę ochrony prywatności. Ale pora wrócić do zagadnienia rozliczalności procesów przetwarzania. Zodnie z art. 38. UODO: Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane, czyli jednym z najważniejszych obowiązków administratora danych jest posiadanie wiedzy nad tym kto, kiedy i w jakim zakresie ma dostęp do jego zasobów chronionych. Dlatego powinien nadawać uprawnienia do systemów informatycznych oraz zasobów papierowych (np. akta pracownicze, umowy z podwykonawcami). Często mówimy: zakres uprawnień powinien być zgodny z zakresem obowiązków pracownika. Jednakże żyjemy w ciekawych czasach, gdy zakresy obowiązków z upływem przepracowanych lat zaczynają rozmijać się z faktycznym zakresem wykonywanych czynności, a większość osób mających dostęp do danych to wykonawcy usług, na podstawie umów zleceń, dzieł, czy umów na usługi. W dotychczasowym stanie prawnym, odpowiedzią na taki stan rzeczy, było wprowadzenie przez ustawodawcę dodatkowego obowiązku nadawania upoważnień do przetwarzania danych osobowych. Upoważnienie nadaje się każdej osobie, która wykonuje czynności na danych osobowych (także osobom, które robią to w imieniu podmiotu przetwarzającego, o ile umowa powierzenia nie stanowi inaczej). Jest to dość żmudny i czasochłonny obowiązek. Dodatkowo z czasem upoważnień robi się bardzo dużo i ciężko byłoby się w nich odnaleźć, gdyby nie prowadzona dodatkowo ewidencja upoważnień. W praktyce jest to główne źródło wiedzy osoby, która nadzoruje procesy przetwarzania danych, nad tym kto i w jakim zakresie ma dostęp do danych. Jest to także bardzo przydatne narzędzie, gdy trzeba sięgnąć do wiedzy historycznej. Read More

03 kwi

Jak wprowadzić nowy wzór upoważnienia do przetwarzania danych?

Ostatnio otrzymałam takie pytanie od Pani Samanty i uświadomiłam sobie, że nie jest to banalny problem, bo sama musiałam się z nim zmierzyć na początku mojej przygody w roli ABI. Wtedy niestety nie wyszło mi to najlepiej…

Zasady nadawania/zmiany/odwołania upoważnień są istotnym elementem, którego nie powinno zabraknąć w polityce bezpieczeństwa (jest to jeden ze stosowanych przez administratora danych środków organizacyjnych mających na celu zapewnienie poufności informacji). Ja w mojej ówczesnej polityce nie miałam przewidzianej sytuacji zmiany wzoru upoważnienia. Dlatego za pierwszym razem odwoływałam wszystkie upoważnienia i nadawałam wszystkim nowe. Wyobraźcie sobie ile było z tym pracy i zamieszania przy ponad 100 osobowej organizacji i ponad 20 zbiorach danych, gdzie stosowałam zasadę nadawania upoważnienia do każdego zbioru. Koszmar. W dodatku ciągle mi czegoś brakowało, nie zgadzało się, itd. Nie wiedziałam co zrobić ze starymi upoważnieniami (niszczyć, czy trzymać?) oraz jak wpisać zmianę do ewidencji upoważnień.  To doświadczenie nauczyło mnie, że najpierw należy zastanowić się nad przebiegiem procesu, następnie zacząć działać. Read More

03 sty

Czy administrator danych może upoważnić do przetwarzania danych kogoś kto nie jest jego pracownikiem?

Nadawanie upoważnień do przetwarzania danych osobowych jest jednym z podstawowych obowiązków administratora danych, wynikających z ustawy o ochronie danych osobowych.

Informację jak nadawać upoważnienia oraz wzór upoważnienia znajdziesz tutaj

Większość administratorów danych nie ma wątpliwości, że obowiązkiem otrzymania upoważnienia są objęci jego pracownicy i współpracownicy.  Nawet jeżeli przetwarzanie danych wynika bezpośrednio z obowiązku narzuconego przez przepisy prawa (opisywałam to na przykładzie upoważniania nauczycieli przez szkołę). Jednakże w podanym przykładzie zabrakło odpowiedzi na pytanie, kto powinien upoważnić osobę, która nie jest pracownikiem szkoły, np. pielęgniarkę szkolną lub pracownika ochrony. Zgodnie z art. 29 RODO do przetwarzania danych mogą być dopuszczone wyłącznie osoby działające z polecenia administratra, posiadające upoważnienie nadane przez administratora danych. Nawet jeżeli osoba, która otrzyma dostęp do danych nie jest pracownikiem administratora, powinna otrzymać dostęp do danych na podstawie upoważnienia. Read More

19 kwi

Różnica w pojęciu osoby upoważnionej, uprawnionej oraz użytkownika

Bardzo często spotykam się w dokumentacjach, które przesyłacie mi do sprawdzenia w pomieszaniu pojęć: użytkownika, osoby upoważnionej oraz osoby uprawnionej.  Nie są to synonimy i nie można używać ich zamiennie. Natomiast każde z nich ma kluczowe znaczenie dla dobrej organizacji polityki bezpieczeństwa informacji.

Osoba upoważniona – to osoba (najczęściej pracownik, ale niekoniecznie), która otrzymała upoważnienie do przetwarzania danych osobowych od administratora danych (ADO). Upoważnienie najczęściej jest wydawane na piśmie, chociaż GIODO dopuszcza także wydawanie upoważnień w formie służbowej wiadomości e-mail, ale jest to raczej rozwiązanie dla małych firm. Poza tym może stwarzać problemy w przyszłości przy kontroli upoważnień. Warto jeszcze przypomnieć, że upoważnienie powinno zawierać także informacje o tym do jakich danych (tzn. zbiorów) oraz w jakim zakresie pracownik otrzyma dostęp. Uważam, że warto od razu dodać informację o systemach informatycznych, do których zostaną nadane uprawnienia oraz loginie, który ma zostać przydzielony. Zmniejszy to liczbę dokumentów, które trzeba będzie wypełniać. Możecie skorzystać z przygotowanego przeze mnie wzoru. Read More

18 lut

Kto upoważnia pracowników do przetwarzania danych przy umowie powierzenia?

Pytanie od Pani Beaty:

Czy firma, która świadczy usługę dla innej firm X, z którą ma podpisaną umowę powierzenia danych osobowych, ma obowiązek zebrać od pracowników oświadczenia o zgodzie na przetwarzanie danych osobowych firmy X? Czy wystarczy sama umowa powierzenia danych? Czy musimy uzyskać zgody od osób, których dane zostaną nam powierzone, na przetwarzanie ich danych?

Read More

06 lut

Do czego należy upoważnić nauczycieli?

Pytanie od Pana Daniela:

Chciałbym zapytać o upoważnienia dla nauczycieli – czy każdy z nich powinien je posiadać, jeżeli w Polityce Bezpieczeństwa Informacji na wykazie danych osobowych w formie papierowej widnieją między innymi dzienniki zajęć, deklaracje uczęszczania na etykę, itp.? W chwili obecnej upoważnienia posiadają jedynie nauczyciele pracujący w Systemie Informacji Oświatowej.

Read More