Upoważnienia a inne konstrukcje.
Upoważnienia dla pracowników to rzecz wielce dyskutowana ale też często mylona z powierzeniem i udostępnieniem innemu administratorowi. A są to trzy zupełnie różne konstrukcje. Najprościej wskazać różnicę pomiędzy relacją wewnętrzną administratora (do swoich pracowników) i zewnętrzną (procesor, inny administrator).
Zgoda na przetwarzanie danych?
Udostępnianie pracownikom danych osobowych jest immanentnie związane z działalnością pracodawcy. Jest to rzecz normalna i nie wymaga czyjejkolwiek zgody.
Cele i zasady związane z udostępnianiem pracownikom
Udostępnianie pracownikom danych osobowych w celu wykonywania ich obowiązką wiąże się z kilkoma zasadami. Pierwse powiązanie - z zasadą minimalizacji danych. Administrator udostępnia tylko te dane, które są niezbędne do realizacji celu przetwarzania (wykonania obowiązku pracowniczego). Druga to zasada poufności danych osobowych. Zasada poufności mówi, że nie należy udostępniać danych pracownikom więcej niż jest to niezbędne do realizacji zadań przez nich wykonywanych. Innymi słowy, jeżeli pracownik jest tylko i wyłącznie odpowiedzialny za przyjmowanie reklamacji klientów, to nie są mu potrzebne dane HRowe kolegów i koleżanek z pracy. Konsekwentnie - nie są też zawsze potrzebne dane windykacyjne czy o marketingu.
Upoważnienia jako forma nadzoru pracodawcy
Udostępnianie pracownikom danych osobowych wiąże się istotnie z koniecznością kontrolowania z zakresu takiego udostępnienia. Proszę zwrócić uwagę, że naturalną tendencją będzie zwiększanie zakresu danych do których pracownicy mają dostęp. Absolutnie niezbędna dla podejścia opartego na ryzyku jest toodpowiednia polityka zarządzania uprawnieniami do przetwarzania konkretnych danych. Jest to tym istotniejsze, że jedna z dwóch kar nałożonych po 25 maja w Europie za nieprzestrzeganie wymogów RODO dotyczyła właśnie nieprawidłowego zarządzania uprawnieniami do przetwarzania danych osobowych.
Jaką formę powinno mieć upoważnienie do przetwarzania danych osobowych?
Trzecią kwestią istotną jest forma nadania upoważnienia. W odróżnieniu od poprzedniej ustawy, rodo nie wymaga formy pisemnej upoważnienia. RODO oczekuje, aby dane były przetwarzane przez osoby do tego uprawnione, nie definiując ani przez kogo, ani w jaki sposób. Z zasady rozliczalności wywodzi się natomiast, że w tym wypadku rozmiar ma kluczowe znaczenie. W przypadku kilkuosobowej organizacji możliwe jest przyjęcie, że takie upoważnienie zostało nadane ustnie. Jednak przy organizacji kilkusetosobowej czy nawet większej mało prawdopodobne jest, żeby administrator danych osobowych ustnie sprawował kontrolę nad wszystkim bezpośrednio. W takim wypadku ADO, czyli zarząd lub osoba wyznaczona do realizacji funkcji administratora w tym zakresie, musi umieć w należyty sposób kontrolować proces wydawania upoważnień, a to już wymaga śladu dowodowego. Niekoniecznie na papierze, równie dobrze w systemie IT, byle wiarygodnie i trwale. Wydaje się jednak, że konkluzja o faktycznym wymogu pisemności upoważnień. w przypadku średnich i dużych organizacji jest uzasadniona. Stworzenie odpowiedniego systemu upoważnień do przetwarzania danych osobowych jest rzeczą nie tylko cenną, ale wręcz niezbędną, jeśli nie konieczną.
Zawartość i wzór upoważnienia do przetwarzania danych osobowych
Co konkretnie powinno zawierać upoważnienie do przetwarzania danych osobowych? Napewno kluczową kwestią jest wskazanie osoby, która została uprawniona. A więc podajemy imię lub imiona i nazwisko lub nazwiska pracownika. Drugą kwestią jest zakres danych, jakie dana osoba może przetwarzać. Taki zakres danych osobowych można wskazać zarówno od strony podmiotowej (np. czyje dane są przetwarzane?), jak i od strony przedmiotowej (np. które konkretnie dane mogą być przetwarzane) lub też od strony procesowej (np. w jakich procesach możliwe jest przetwarzanie danych osobowych przez konkretną osobą fizyczną będącą pracownikiem). Możliwe jest tutaj stworzenia swojego własnego systemu nadawania uprawnień. Na przykład powiązanie zakresu danych lub procesów z konkretnymi systemami informatycznymi, co często zdarza się w życiu.
Nadawanie upoważnień do konkretnych systemów IT na przykładzie CRM.
Nie dla wszystkich systemów można nadać jedno uprawnienie. Spójrzmy przykładowo na system CRM. Realizuje on szereg czynności przetwarzania danych w wielu organizacjach nie tylko związane z działalnością marketingową. Bardzo często CRMy obejmują także działalność sprzedażową, obsługę klienta i wszelkich innych czynności klientocentrycznych. W takiej sytuacji do systemu może być konieczne nadanie kilku różnych typów uprawnień (nawet jeśli nastąpi w jednym dokumencie). Wówczas skupienie czynności upoważnienia do przetwarzania danych osobowych na całym systemie będzie niewystarczające.
Upoważnienie do przetwarzania danych i zakres danych opisany przez procesy
Bardzo dobrym przykładem wskazania zakresu danych poprzez odwołanie się do procesów będzie upoważnienie do przetwarzania danych osobowych w ramach procesów rekrutacyjnych. W tym wypadku od strony przedmiotowej pracodawca nigdy nie będzie w stanie określić zamkniętego katalogu danych. Natomiast poprzez wskazanie procesu nie ma wątpliwości które dane objęte są zakresem upoważnienia.
Kto nadaje upoważnienia?
Kto powinien wystawić upoważnienie do przetwarzania danych osobowych? Odpowiedź jest prosta i skomplikowana zarazem. Jednocześnie prosta, ponieważ za tego rodzaju czynność odpowiada zawsze administrator danych osobowych (a więc jest winowajca). Bardziej skomplikowana, gdyż o ile nie znajdziemy innego właściciela problemu, odpowiedzialnym tym będzie zarząd. Idąc tym tokiem rozumowania - trudno jednocześnie wyobrazić sobie prezesa poważnej spółki, który nie robi nic innego jak tylko nadaje zmienia i odbiera upoważnienia do przetwarzania danych osobowych.
Kto nadaje upoważnienia?
Kto nadaje upoważnienia?
Zazwyczaj będzie to więc osoba upoważniona przez administratora do wystawiania tego rodzaju upoważnień. Podstawą konkretnych decyzji o zakresie danych do upoważnienia których do przetwarzania których dochodzi następuje upoważnienie musi następować w ścisłej współpracy z właścicielami biznesowymi poszczególnych czynności przetwarzania danych.
Taka osoba (wykonująca techniczne czynności wystawiania upoważnień) nie będzie bowiem wiedziała czy pracownik Jan Kowalski powinien dostać upoważnienie do przetwarzania danych z zakresu x y czy z. Do tego będzie potrzebna decyzja własna, zwierzchnika Jana Kowalskiego albo innej osoby która podejmuje w tym aspekcie decyzję i która kontroluje w imieniu administratora proces przetwarzania danych w ramach taki czynności
Kto powinien wystawić upoważnienie do przetwarzania danych osobowych?
Odpowiedź jest prosta i skomplikowana jednocześnie prosta ponieważ za tego rodzaju czynność odpowiada administrator danych osobowych bardziej skomplikowana, Wynika to z faktu, że o ile nie znajdziemy innego właściciela problemu, odpowiedzialnym tym znowu będzie zarząd. Trudno jednocześnie wyobrazić sobie prezesa poważnej spółki który nie robi nic innego jak tylko nadaje zmienia i odbiera upoważnienia do przetwarzania danych osobowych. Zazwyczaj będzie to więc osoba upoważniona przez administratora do wystawiania tego rodzaju upoważnień. Co istotne - jak wynika z wypowiedzi GIODO - osobą tą nie powinien być ABI (obecnie IOD).
Podstawa decyzji o nadaniu upoważnienia
Podstawą konkretnych decyzji o zakresie danych do upoważnienia których do przetwarzania których dochodzi następuje upoważnienie musi następować w ścisłej współpracy z właścicielami b z nowymi biznesowymi poszczególnych czynności przetwarzania danych taka osoba wykonująca techniczne czynności wystawiania upoważnień nie będzie bowiem wiedziała czy pracownik Jan Kowalski powinien dostać upoważnienie do przetwarzania danych z zakresu x, y czy z. do tego będzie potrzebna decyzja albo zwierzchnika Jana Kowalskiego albo innej osoby która podejmuje w tym aspekcie decyzję i która kontroluje w imieniu administratora proces przetwarzania danych w ramach taki czynności.