GoldenLine
Zaloguj się
Anna Ś.

Anna Ś. Specjalista ds.
zasobów ludzkich -
ABI

Temat: upoważnienie do przetwarzania powierzonych danych osobowych

W firmie, w której pracuję podpisano kilka umów na obsługę kadrowo-płacową, w których są zapisy dot. powierzenia przetwarzania danych osobowych. Mam pytanie, czy każdy z naszych pracowników mający dostęp do tych danych musi mieć osobne upoważnienie do przetwarzania powierzonych danych odrębnie dla każdego z naszego klientów, czy możemy dać ogólne upoważnienie do przetwarzania powierzonych danych osobowych wszystkich obsługiwanych przez nas klientów. Jesli tak, jak powinno takie upoważnienie brzmieć?
Czy taki zapis byłby zgodny z prawem?

Z dniem ……………………………………….. r., na podstawie art. 37, w związku z art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.), upoważniam [imię i nazwisko] do zgodniego z zakresem obowiązków przetwarzania danych osobowych powierzonych do przetwarzania na podstawie zawartych umów cywilno - prawnych.

Oczywiście ze wskazaniem okresu obowiązywania upoważnienia.

Bardzo proszę o pomoc w tej sprawie.
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: upoważnienie do przetwarzania powierzonych danych osobowych

W upoważnieniu musi być wyszczególniony zbiór danych osobowych, do których to upoważnienie się odnosi.
W zależności więc od tego, jak traktowane są dane firm (wszystko w jednym "worze" czy każda firma = oddzielny zbiór), tyle zbiorów trzeba wpisać w upoważnienie.
Więc upoważnienie wystarczy jedno, ale musi w nim być zawarta informacja, do jakich zbiorów pracownik może mieć dostęp.
Link do wypowiedziLink
Anna Ś.

Anna Ś. Specjalista ds.
zasobów ludzkich -
ABI

Temat: upoważnienie do przetwarzania powierzonych danych osobowych

Zostały nam powierzone do przetwarzania dane osobowe pracowników firm, nazwijmy je X, Y,Z. Dane tych osób należą do zbioru danych PRACOWNICY odpowiednio X,Y,Z, bo one są administratorami danych osobowych.
Jako firma prowadząca usługowo obsługę kadrowo - płacową na podstawie umowy cywilno - prawnej, jaki mamy założyć zbiór danych, skoro zbiór danych osobowych pracowników został założony u naszych usługodawców?
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: upoważnienie do przetwarzania powierzonych danych osobowych

Upoważnienie powinny Waszym pracownikom wystawić firmy X, Y i Z.
Wasza firma, jako procesor nie jest administratorem danych, więc nie może do nich upoważniać.
Link do wypowiedziLink
Anna Ś.

Anna Ś. Specjalista ds.
zasobów ludzkich -
ABI

Temat: upoważnienie do przetwarzania powierzonych danych osobowych

Problem dotyczący tego kto nadaje upoważnienia był omawiany w innym wątku:
http://www.goldenline.pl/grupy/Pozostale/abi/powierzen...

To na firmie, w której pracuję ciąży obowiązek nadania pracownikom upoważnień do przetwarzania powierzonych danych osobowych. Nie wiem jednak jakie powinno być brzmienie takiego upoważnienia.
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: upoważnienie do przetwarzania powierzonych danych osobowych

W takim razie standardowe brzmienie upoważnienia (jak w poście pierwszym) z wyszczególnieniem zbiorów, dla których upoważnienie zostaje nadane.
A to, czy Pani firma dane firm X, Y i Z wrzuci "do jednego wora" czy też każda firma to osobny zbiór, zależy już od Pani firmy.
Bardziej prawidłowe (wg mnie) było by tworzenie osobnych zbiorów dla każdej firmy, ale to też zależy od organizacji pracy i podziału obowiązków: jeżeli wszystkie 3 firmy prowadzi jedna "kadrowa" z Pani firmy - to powinien wystarczyć 1 zbiór, jeśli każdą firmę prowadzi inna osoba - myślę że oddzielne zbiory... chyba że wszystkie pracujące u Pani "kadrowe" mają dostęp do danych wszystkich obsługiwanych firm... wtedy wystarczy 1 zbiór.
Link do wypowiedziLink
Anna Ś.

Anna Ś. Specjalista ds.
zasobów ludzkich -
ABI

Temat: upoważnienie do przetwarzania powierzonych danych osobowych

Bardzo dziękuję za pomoc. Upoważnienia są w przygotowaniu :)
Link do wypowiedziLink
Łukasz E.

Łukasz E. CIPP/E, Inspektor
Ochrony Danych
Osobowych

Temat: upoważnienie do przetwarzania powierzonych danych osobowych

Wcale nie są potrezebne oddzielne upoważnienia. Nie jest też potrzebne wypisywanie nazw zbiorów w upoważnieniu. Jeżeli firma jest outsourcerem czyli świadczy usługi na rzecz innych podmiotów to przecież nie będzie zmieniał upoważnienia za każdym razem kiedy zdobędzie nowego klienta lub straci dotychczasowego.
Podpisując umowę powierzenia danych osobowych ten kto przyjmuje je do przetwarzania ponosi odpowiedzialność jak administrator danych i ma takie same obowiązki. Musi więc swoim pracownikom wystawić upoważnienia do przetwarzania danych osobowych. No chyba, że tylko jeden podmiot podpisuje umowę.
Ale żeby nie zaciemniać.
W przypadku firmy Pani Anny rozumiem, że firma świadczy usługi kadrowo - płacowe różnym podmiotom. W tym przypadku pracodawca (administrator danych osobowych) ma obowiązek wydać upoważnienie do przetwarzania danych osobowych swoim pracownikom.
Nie ma tu znaczenia fakt podpisania przez pracodawcę umowy powierzenia danych osobowych.
W takim upoważnieniu radziłbym zawrzeć informację, że dany pracownik przetwarza dane zgodnie ze swoim zakresem obowiązków.
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: upoważnienie do przetwarzania powierzonych danych osobowych

Łukasz E.:
Wcale nie są potrezebne oddzielne upoważnienia. Nie jest też potrzebne wypisywanie nazw zbiorów w upoważnieniu.
Pisząc upoważnienie do przetwarzania DO, administrator jest obowiązany do wskazania zakresu tego upoważnienia. Jeżeli nie poprzez wpisanie nazw zbiorów, to jak? Musi również dać upoważnienie ODDZIELNIE dla każdego pracownika, który te DO będzie przetwarzał.
Łukasz E.:
Jeżeli firma jest outsourcerem czyli świadczy usługi na rzecz innych podmiotów to przecież nie będzie zmieniał upoważnienia za każdym razem kiedy zdobędzie nowego klienta lub straci dotychczasowego.
Oczywiście że będzie. Zyskując nowego klienta - zyskuje nowe dane, do których musi upoważnić jednego ze swoich pracowników. Tracąc klienta - klient prawdopodobnie zażyczy sobie usunięcia swoich danych, więc wydane na nie upoważnienie będzie nieważne.
Łukasz E.:
Podpisując umowę powierzenia danych osobowych ten kto przyjmuje je do przetwarzania ponosi odpowiedzialność jak administrator danych i ma takie same obowiązki. Musi więc swoim pracownikom wystawić upoważnienia do przetwarzania danych osobowych.
Wraz z zakresem tego upoważnienia. Tutaj wracamy do "cytatu" nr 1 z mojego posta.
Łukasz E.:
W przypadku firmy Pani Anny rozumiem, że firma świadczy usługi kadrowo - płacowe różnym podmiotom. W tym przypadku pracodawca (administrator danych osobowych) ma obowiązek wydać upoważnienie do przetwarzania danych osobowych swoim pracownikom.
A wręcz KAŻDEMU Z OSOBNA, z wyszczególnieniem zakresu upoważnienia.
Łukasz E.:
Nie ma tu znaczenia fakt podpisania przez pracodawcę umowy powierzenia danych osobowych.
Oczywiście że nie ma... umowa powierzenia to nie upoważnienie. Co najwyżej w umowie o powierzeniu należy zawrzeć punkt, w którym powierzający nakazuje procesorowi wskazanie imiennie osób, które będą upoważnione do przetwarzania DO i w jakim zakresie. Czyli jak niżej:
Łukasz E.:
W takim upoważnieniu radziłbym zawrzeć informację, że dany pracownik przetwarza dane zgodnie ze swoim zakresem obowiązków.
Link do wypowiedziLink
Łukasz E.

Łukasz E. CIPP/E, Inspektor
Ochrony Danych
Osobowych

Temat: upoważnienie do przetwarzania powierzonych danych osobowych

Panie Wojtku, źle mnie Pan zrozumiał. Chodzi o to, że w przypadku takich firm, które przetwarzają wiele danych, różnych firm itd. (np. urzędy, firmy outsourcingowe) nie ma sensu w upoważnieinu wpisywać nazw wszystkich zbiorów. Np. w upoważnieniu pracownika przetwarzającego dane kadrowe wystarczy wpisać, że upoważnienia jest do takich danych - nie ma sensu wpisywać, że upoważnienie uprawnia do przetwarzania danych w zbiorach:
1.
2.
3.
....
100.
Takie upoważnienia byłyby zbyt rozbudowane. Moim zdaniem wystarczający jest zapis, że Pan/Pani XYZ ZXY upoważniony/a jest do przetwarzania danych osobowych w ramach wypełniania swoich obowiązków/ zgodnie z regulaminem organizacyjnym dla takiej i takiej komórki/ daneych kadrowych/ płacowych/ gruntów ... itp.
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: upoważnienie do przetwarzania powierzonych danych osobowych

Wtedy zbiory tworzy się pod pracowników.
Jan Kowalski obsługuje firmę X, Y, Z oraz A. W takim wypadku nie tworzy się 4 zbiorów, tylko jeden, pt. na przykład "Firmy JK". I każdą kolejną firmę obsługiwaną przez Jana Kowalskiego "wrzuca" się do jego zbioru.
Łukasz E.:
Moim zdaniem wystarczający jest zapis, że Pan/Pani XYZ ZXY upoważniony/a jest do przetwarzania danych osobowych w ramach wypełniania swoich obowiązków/ zgodnie z regulaminem organizacyjnym dla takiej i takiej komórki/ daneych kadrowych/ płacowych/ gruntów ... itp.
W upoważnieniu MUSZĄ być wskazane DO, czyli zbiory, do których dostęp ma osoba upoważniona.
No, chyba że każdy pracownik ma upoważnienie do wszystkich zbiorów przetwarzanych przez firmę. W takim wypadku również trzeba wskazać zbiór... ale zbiór może zawierać wszystkie obsługiwane DO w sobie. Więc będzie jeden.
KAŻDY podmiot ma obowiązek "katalogowania" DO w zbiory według powodu z jakiego te DO są przetwarzane. NIE MOGĄ egzystować dane nie zakwalifikowane do żadnego zbioru.
Link do wypowiedziLink
Łukasz E.

Łukasz E. CIPP/E, Inspektor
Ochrony Danych
Osobowych

Temat: upoważnienie do przetwarzania powierzonych danych osobowych

A z czego wynika, że w upoważnieniu muszą być wskazane zbiory? Nie muszą. UODO mówi że aby przetwarzać DO trzeba być upoważnionym. Nie ma przepisu mówiącego jak ma wyglądać takie upoważnienie.
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: upoważnienie do przetwarzania powierzonych danych osobowych

W literaturze przedmiotu, zgodnie wskazuje się, że upoważnienie takie powinno mieć ono formę pisemną. Wynika > to z treści art. 39 ust. 1 ustawy stanowiącego, iż w ewidencji osób upoważnionych do przetwarzania danych > osobowych, którą prowadzi administrator danych, wskazać należy imię i nazwisko osoby upoważnionej, datę > nadania, ustania oraz zakres upoważnienia do przetwarzania danych, a także identyfikator, jeśli dane > przetwarzane są w systemie informatycznym.
Proszę bardzo.
http://www.giodo.gov.pl/329/id_art/1604/j/pl/
Art. 39. Elementy ewidencji osób upoważnionych do przetwarzania danych
1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania,
która powinna zawierać:
1) imię i nazwisko osoby upoważnionej,
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych
osobowych,
3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
Link do wypowiedziLink
Łukasz E.

Łukasz E. CIPP/E, Inspektor
Ochrony Danych
Osobowych

Temat: upoważnienie do przetwarzania powierzonych danych osobowych

No właśnie. Zakres upoważnienia. Czyli np. do danych kadrowych itp. A nie do zbiorów: 1,2,3,4,5,...,100.
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: upoważnienie do przetwarzania powierzonych danych osobowych

Szanowny kolego...
Wszystkie dane osobowe MUSZĄ być poszeregowane w zbiory...
Jeżeli Ty u siebie w urzędzie stosujesz taką politykę bezpieczeństwa, to nie zazdroszczę.
Zakres danych ma być KONKRETNIE określony./ Natomiast (na przykład w omawianym przypadku), wpisanie "danych księgowych" każdy (podejrzewam) inspektor uwali z wejścia. Dlaczego? Bo w takim zapisie można dopatrzyć się takiej interpretacji, że KAŻDY kadrowy zatrudniony w tej firmie, ma dostęp do DO WSZYSTKICH klientów firmy.
Wybacz... ale ja w takiej firmie bym swoich danych nie zostawił.
Skoro "Jak Kowalski" ma prowadzić kadry firm A, B, C i D, to tylko do danych tych firm powinien mieć dostęp.
Dane firm E, F, G, H itp.... są dla niego "forbidden".
Jeżeli jednak w upoważnieniu wpiszesz sobie swoje ogólnikowe "dane kadrowe" to Jan Kowalski" dostaje upoważnienie do danych WSZYSTKICH firm obsługiwanych przez jego firmę.
DLATEGO w upoważnieniu należy konkretnie wskazać do jakich danych (czyli zbiorów) każdy "kadrowy" ma dostęp.
Link do wypowiedziLink
Anna Ś.

Anna Ś. Specjalista ds.
zasobów ludzkich -
ABI

Temat: upoważnienie do przetwarzania powierzonych danych osobowych

Ja nazwałam roboczo zbióry: "Powierzone dane pracowników spólek x,y,z"; "Powierzone dane osobowe klientów spółek X,Y,Z" - mam nadzieję, że takie nazewnictwo jest dopuszcalne...

I do tych zbiorów będą mieli nadane upoważnienia nasi pracownicy.
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: upoważnienie do przetwarzania powierzonych danych osobowych

Samo nazewnictwo zbiorów to indywidualna sprawa każdej organizacji.
Ważne jest, żeby w zbiory były ... funkcjonalne. Krótko mówiąc - jeden zbiór - jedna funkcjonalność. W tym wypadku "funkcjonalnością" będzie obsługiwanie konkretnych danych przez konkretnego pracownika.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: upoważnienie do przetwarzania powierzonych danych osobowych

Formalnie z tym upoważnieniem jest tak, że jeśli jest osoba, która ma dokładnie taki sam dostęp do wszystkich zbiorów, to faktycznie wyodrębnianie nie jest konieczne. Jednak tak to tylko w Erze ;-). Albo małe firmy.
Link do wypowiedziLink
Łukasz E.

Łukasz E. CIPP/E, Inspektor
Ochrony Danych
Osobowych

Temat: upoważnienie do przetwarzania powierzonych danych osobowych

Wojciech C.:
Szanowny kolego...
Wszystkie dane osobowe MUSZĄ być poszeregowane w zbiory...
Jeżeli Ty u siebie w urzędzie stosujesz taką politykę bezpieczeństwa, to nie zazdroszczę.
Zakres danych ma być KONKRETNIE określony./ Natomiast (na przykład w omawianym przypadku), wpisanie "danych księgowych" każdy (podejrzewam) inspektor uwali z wejścia. Dlaczego? Bo w takim zapisie można dopatrzyć się takiej interpretacji, że KAŻDY kadrowy zatrudniony w tej firmie, ma dostęp do DO WSZYSTKICH klientów firmy.
Wybacz... ale ja w takiej firmie bym swoich danych nie zostawił.
Skoro "Jak Kowalski" ma prowadzić kadry firm A, B, C i D, to tylko do danych tych firm powinien mieć dostęp.
Dane firm E, F, G, H itp.... są dla niego "forbidden".
Jeżeli jednak w upoważnieniu wpiszesz sobie swoje ogólnikowe "dane kadrowe" to Jan Kowalski" dostaje upoważnienie do danych WSZYSTKICH firm obsługiwanych przez jego firmę.
DLATEGO w upoważnieniu należy konkretnie wskazać do jakich danych (czyli zbiorów) każdy "kadrowy" ma dostęp.

Widzą, że kolega nigdy nie miał do czynienia z dużą organizacją. Ba, SIGMA nie ma zarejestrowanego żadnego zbioru w GIODO. Proszę porównać do Urzędu m.st. Warszawy :)
A słyszał kolega o zasadzie need to know albo o zakresie obowiązków pracownika?
Proszę mi wierzyć wpisywanie nazw zbiorów danych w dużej organizacji mija się z celem. Dzisiaj pracownik obsługuje takie firmy jutro inne. A co jeśli zastępować będzie kolegę nieobecnego w pracy? Nowe upoważnienie?
Proszę nie podejrzewać. Inspektorzy nie uwalają :)
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: upoważnienie do przetwarzania powierzonych danych osobowych

Sigma MA zarejestrowany jeden zbiór :)
Więcej nie potrzebuje rejestrować.
Natomiast sam obowiązek rejestracji lub jego brak nie ma nic wspólnego z omawianym tematem :)
Jeżeli "duża organizacja" uważa, że wpisywanie nazw zbiorów "mija się z celem", to może uważa również, że ODO mija się z celem w takim wypadku?
Albo ma inny, genialny sposób na przypisywanie uprawnień dla swoich pracowników tak, aby nie nadawać im ich zbyt dużych, nieadekwatnych do wykonywanej pracy?
Z chęcią poczytam bardziej doświadczonego kolegę :)
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj