Temat: Zakres upoważnienia do przetwarzania danych osobowych

Witam,
co w świetle przepisów RODO ma zawierać zakres w upoważnieniu do przetwarzania danych, czy jest to wyszczególniony zakres danych danego zbioru np. imię i nazwisko, adres itd., czy zakres operacji wykonywanych na tych danych jak wgląd, kopiowanie, zmienianie ?

Temat: Zakres upoważnienia do przetwarzania danych osobowych

Artykuł 29 stanowi ogólnie o upoważnianiu i przetwarzania na polecenie ADO. To oznacza, że w zakresie konstrukcji upoważnienia należy stosować przepisy ogólne.

Temat: Zakres upoważnienia do przetwarzania danych osobowych

Spotykam się z różnym podejściem, od bardzo szczegółowych określających zakres konkretnych danych ze zbioru, zakres operacji jak i konkretne czynności bo bardzo ogólne określające tylko polecenie przetwarzania na danym stanowisku w zakresie pełnionych obowiązków. Jak rozumiem obie formy są poprawne, skoro nie ma szczególnych przepisów i wytycznych?

Temat: Zakres upoważnienia do przetwarzania danych osobowych

Poprawne będą te, które potrafisz obronić podczas kontroli.
Im upoważnienie bardziej szczegółowe, tym podczas kontroli większa możliwość wpadki.

Przepisy rodo wyraźnie odróżniają polecenia od upoważnienia. Nie można tych dwóch pojęć stosować zamiennie.

Temat: Zakres upoważnienia do przetwarzania danych osobowych

Andrzej Ż.:
co w świetle przepisów RODO ma zawierać zakres w upoważnieniu do przetwarzania danych, czy jest to wyszczególniony zakres danych danego zbioru np. imię i nazwisko, adres itd., czy zakres operacji wykonywanych na tych danych jak wgląd, kopiowanie, zmienianie ?

Celem nadania upoważnienia jest posiadanie dowodu, że:
1. Dostęp do danych mają wyłącznie osoby upoważnione.
2. Każda osoba upoważniona ma dostęp wyłącznie do tych kategorii danych osobowych, do których dostęp przewidział jej przełożony.
3. Każda osoba uprawniona może wykonywać tylko takie operacje na danych, na które pozwala jej przełożony.

Dlatego zacznij od dokładnej ewidencji zasobów (informacji podlegających ochronie), miejsc ich przechowywania i nośników, rozpisz przepływy danych. Na tej podstawie, na tej solidnej bazie dopiero zacznij się zastanawiać, kogo i do czego chcesz upoważnić. Inaczej zrobisz papiery. Tylko papiery.

Temat: Zakres upoważnienia do przetwarzania danych osobowych

Inwentaryzację danych mam już zaplanowaną, chciałem opracować wzór upoważnienia.
Nie chcę tworzyć czegoś aby było, chcę to rozumieć i widzieć ten przepływ danych.
Dostałem wzór gdzie jest zbiór i operacja na danych wgląd, kopiowanie, modyfikacja itd., krzyżykiem zaznaczam zbiór i wpisuje operację przetwarzania, ale nie bardzo mi to pasuje. Nie czuję w tym ducha RODO :) wszystko ma być spójne i przejrzyste a tu taka czysta papierologia dla samego udowodnienia,że pracownik jest upoważniony. Po pierwsze zakres operacji to katalog otwarty mogą być różne operacje, mogę jakieś uprawnienie pominąć, po drugie nie wiele mi to mówi. Księgowa ma dostęp do zbioru danych pacjent w bardzo małym zakresie np. tylko imienia i nazwiska, adresu oraz wykonanej usługi, jeśli upoważnienie będzie do zbioru pacjent i wgląd to z upoważnienia nie wynika, że nie ma dostępu do przeglądania historii choroby. Znów jeśli ograniczyć dostęp ma zapis w zakresie pełnionych obowiązków to czemu nie napisać od razu, że upoważniam do danych pacjentów, kontrahentów, itd w zakresie pełnionych obowiązków.
Skoro pracownik ma przetwarzać dane na polecenie administratora w zakresie pełnionych obowiązków, to raczej widziałbym to jako polecam Pani Krysi na stanowisku Księgowej przetwarzać dane pacjentów w zakresie imion, nazwisk, adresu, usługi medycznej w celu rozliczenia wykonanych usług.
Wtedy widzę spójność z rejestrem czynności przetwarzania z czynnością rozliczenia z pacjentami oraz wiem, jakie dokładnie i w jakim celu Pani Krysia te dane przetwarza. Tylko nie wiem czy w dobrą stronę idę i czy nie utrudniam sobie i czy zakres operacji jest konieczny w upoważnieniu.
Oczywiście upoważnienia po inwentaryzacji.

Temat: Zakres upoważnienia do przetwarzania danych osobowych

Andrzej Ż.:
Skoro pracownik ma przetwarzać dane na polecenie administratora w zakresie pełnionych obowiązków, to raczej widziałbym to jako polecam Pani Krysi na stanowisku Księgowej przetwarzać dane pacjentów w zakresie imion, nazwisk, adresu, usługi medycznej w celu rozliczenia wykonanych usług.
Wtedy widzę spójność z rejestrem czynności przetwarzania z czynnością rozliczenia z pacjentami oraz wiem, jakie dokładnie i w jakim celu Pani Krysia te dane przetwarza. Tylko nie wiem czy w dobrą stronę idę

W dobrą.