Administrator wydaje upoważnienia do przetwarzania danych osobowych

Zdaniem Generalnego Inspektora Ochrony Danych Osobowych tak, gdyż ustawa o ochronie danych osobowych wymaga, aby każda osoba dopuszczona do przetwarzania danych osobowych posiadała upoważnienie nadane jej przez administratora danych i była wpisana do ewidencji osób upoważnionych do przetwarzania danych osobowych.

Generalny Inspektor Ochrony Danych Osobowych przypomina, że zgodnie z art. 37 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Administratorem danych jest podmiot, który posiada władztwo decyzyjne nad danymi osobowymi, tzn. decyduje np. w jakim celu i zakresie dane gromadzi oraz ewentualnie, komu je udostępnia. Za administratora danych uznaje się np. pracodawcę. Obowiązek administratora danych polegający na wydaniu wspomnianego upoważnienia obejmuje wszystkich jego pracowników, o ile ich praca związana jest z przetwarzaniem danych osobowych (np. ich zbieraniem, utrwalaniem, przechowywaniem, opracowywaniem, zmienianiem, usuwaniem). Przepis ten odnosi się zarówno do osób, które przy wykonywaniu swojej pracy stale zajmują się przetwarzaniem danych, jak i do tych, które czasowo wykonują czynności w tym zakresie.

Upoważnienie powinno być wydawane nie tylko osobom, które bezpośrednio zatrudnione zostały w celu przetwarzania danych, ale również innym osobom mogącym w takim przetwarzaniu uczestniczyć, a więc np. kierownikom jednostek organizacyjnych, pracownikom działu kadr czy działu płac (na co wskazują również Janusz Barta, Paweł Fajgielski, Ryszard Markiewicz w książce Ochrona danych osobowych. Komentarz, Zakamycze 2004, Wydanie III, str. 675-676).

Jeśli chodzi o kwestię formalną, to upoważnienie do przetwarzania danych osobowych powinno być odrębnym dokumentem, nie może być dorozumiane tylko z treści umowy o pracę czy z zakresu obowiązków pracowniczych. Wskazane jest, aby miało formę pisemną. Powinno mieć także charakter imienny oraz określać zakres przetwarzania danych. Ustawodawca nie stworzył jednak wzoru upoważnienia do przetwarzania danych osobowych.

Generalny Inspektor Ochrony Danych Osobowych wskazuje także, że pracodawca jako administrator danych swoich pracowników ma także obowiązek prowadzenia ewidencji osób upoważnionych do przetwarzania danych, o której mowa w art. 39 ustawy o ochronie danych osobowych. Ewidencja ta powinna zawierać: imiona i nazwiska wszystkich osób upoważnionych przez administratora do wykorzystywania danych osobowych, daty nadania i ustania upoważnień do przetwarzania danych oraz zakres tych upoważnień, a także identyfikatory tych osób, które dopuszczone zostały do przetwarzania danych w systemach informatycznych.

Podsumowując, Generalny Inspektor Ochrony Danych Osobowych uważa, iż pracownicy działów kadr nie stanowią szczególnej grupy, wobec której administrator zwolniony byłby z obowiązku określonego w art. 37 oraz art. 39 ustawy o ochronie danych osobowych. Muszą oni zatem posiadać stosowne upoważnienia do przetwarzania danych oraz być uwzględnieni w ewidencji prowadzonej przez administratora danych.