Z przepisów RODO wynika, że organizacje przetwarzające dane osobowe (administrator i podmiot przetwarzający) są zobowiązane do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający charakterowi prowadzonego przetwarzania i związanego z nim ryzyka.
Co więcej ustęp 4 artykułu 32 RODO obliguje podmiot przetwarzający i administratora by każda osoba fizyczna, która działa z jego upoważnienia i ma dostęp do danych osobowych przetwarzała je wyłącznie na polecenie i w celach określonych przez administratora. Wspomina o tym również art. 29 RODO. Każda osoba przetwarzająca dane osobowe powinna działać pod władztwem lub z mocy administratora.
Administrator musi mieć kontrolę nad tym kto, w jakim zakresie oraz na jakich zasadach i w jaki sposób ma dostęp do danych osobowych za które jest on odpowiedzialny. Nieuprawnione osoby nie mogą mieć dostępu do danych osobowych, ale ważne jest też, żeby te uprawnione do przetwarzania danych osobowych miały dostęp do danych w zakresie zgodnym z tymi uprawnieniami.
Jednym ze środków, które mają pomóc administratorowi i podmiotowi przetwarzającemu w realizacji ich obowiązków wynikających z RODO jest właśnie nadawanie upoważnień do przetwarzania danych osobowych. Jest to dokument, który powinien wskazywać:
- Kto jest uprawniony do przetwarzania danych osobowych;
- W jakim zakresie może przetwarzać dane osobowe;
- Kiedy może przetwarzać dane osobowe oraz
- W jaki sposób będzie miał dostęp do danych osobowych.
Upoważnienie powinno być wydawane każdej osobie, której administrator zlecił działanie związane z przetwarzaniem danych osobowych. Czyli oprócz osób zatrudnionych na stałe, uprawnienia powinny zostać przyznane również stażystom czy praktykantom. W przypadku gdy w imieniu administratora działa podmiot przetwarzający to on nadaje swoim pracownikom i innym osobom przetwarzającym dane osobowe upoważnienia.
Samo RODO nie wskazuje formy w jakiej powinno zostać sporządzone upoważnienie. Jednak niektóre z ustaw wymagają by upoważnienie było sporządzone w formie pisemnej.
Sporządzanie upoważnień w formie pisemnej jest również zgodne z zasadą rozliczalności. Dzięki zachowaniu formy pisemnej administrator jest w stanie udokumentować spełnienie obowiązku określonego w art. 29 RODO, że każda osoba działająca z upoważnienia administratora przetwarza dane osobowe wyłącznie na jego polecenie. Jednocześnie zachowanie formy pisemnej daje zarówno sporządzanie upoważnień w formie papierowej jak i elektronicznej. Podobnie jak jest to w zakresie obowiązku prowadzenia rejestru czynności przetwarzania danych.
Zadaj pytanie ekspertowi
Masz pytanie związane z RODO i potrzebujesz porady?
Świetnie trafiłeś! Od 18 lat zapewniamy wsparcie w zakresie ochrony danych osobowych.
