Osoby mające dostęp i przetwarzające w imieniu pracodawcy dane osobowe pracowników powinny być należycie do takich czynności umocowane. Poniżej przedstawiamy najważniejsze aspekty w zakresie tych upoważnień.
Administratorem danych osobowych pracowników jest pracodawca. Pracodawca jako administrator jest uprawniony do decydowania kogo upoważnia do przetwarzania danych osobowych w danym przedsiębiorstwie. Zgodnie z art. 37 ustawy o ochronie danych osobowych dostęp do danych oraz uprawnienie do ich przetwarzania powinny mieć tylko i wyłącznie osoby do tego upoważnione przez administratora. Upoważnienie powinno szczegółowo określać do jakich danych osoba upoważniona będzie miała dostęp.
Jest to o tyle istotne, że danych nieobjętych upoważnieniem osoba upoważniona nie ma prawa przetwarzać. Pracowników działu HR umocowanych do przetwarzania danych, należy uwzględnić w ewidencji osób upoważnionych. Zgodnie z art. 39 ustawy o ochronie danych osobowych w ewidencji tej wskazać należy imię i nazwisko upoważnionego, datę nadania upoważnienia oraz zakres, a także identyfikator, jeśli dane są przetwarzane w systemie teleinformatycznym.
Pracodawca upoważniający swoich pracowników w zakresie przetwarzania danych powinien sprawować nad nimi kontrolę w zakresie legalności ich działań. W związku z tym, że ustawa o ochronie danych osobowych wyraźnie wymaga, aby osoby mające styczność z gromadzeniem, utrwalaniem czy udostępnianiem danych osobowych miały ku temu odpowiednie umocowanie warto, aby umocowanie było udzielone na piśmie. Dokument taki w razie kontroli PIP lub GIODO stanowić będzie dowód udzielenia umocowania. Ewentualne naruszenia w tym zakresie wiązać się mogą z sankcjami prawnymi w postaci kary grzywny, ograniczenia lub nawet pozbawienia wolności.
Autor: Krystian Stanasiuk, LL.M., radca prawny, partner w Kancelarii Taylor Wessing w Warszawie
