Strona główna Serwis prasowy GIODO w mediach Artykuły o działalności GIODO
Artykuły o działalności GIODO

Kadrowa musi mieć upoważnienie

Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Rzeczpospolita2007-06-01
Wprowadził informację: Rafał Grodzki2007-06-01 09:54:34
Ostatnio modyfikował: Rafał Kreusch 2014-02-21 12:31:00

Firma jest administratorem danych osobowych zatrudnionych w niej osób. By zyskać dostęp do tych danych, kadrowcy muszą zatem mieć od pracodawcy stosowne upoważnienie

Odpowiednie upoważnienia muszą mieć również inni pracownicy stykający się z danymi osobowymi. Oprócz specjalistów z działu kadr powinni je więc mieć np. menedżerowie zarządzający firmą, kierownicy, informatycy, pełnomocnicy ds. informacji niejawnych, a także inne osoby stale lub od czasu do czasu zajmujące się przetwarzaniem danych osobowych pracowników.

Upoważnieniem maj ą się też legitymować osoby, które formalnie nie są pracownikami, ale ich działalność jest związana z przetwarzaniem danych pracowniczych. Chodzi np. o zleceniobiorców, wykonawców dzieła albo np. praktykantów. Taką opinię wyraził generalny inspektor ochrony danych osobowych (GIODO) w odpowiedzi na pytanie przedsiębiorcy.

Co na to przepisy

Obowiązek posiadania upoważnienia wprowadza ustawa o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.), którą stosujemy też u zatrudniających. Ustawa przewiduje, że do przetwarzania danych (czyli m.in. imion, nazwisk, adresów zamieszkania, dat urodzenia, numerów PESEL, danych o rodzinie pracownika) mogą być dopuszczone wyłącznie osoby mające upoważnienie nadane przez administratora danych. Kto jest administratorem? W praktyce każdy podmiot mający pracowników - zarówno osoba fizyczna prowadząca działalność gospodarczą, jak i np. spółka akcyjna, spółka z 0.0. itp.

Przez przetwarzanie danych rozumie się natomiast wykonywanie na nich jakichkolwiek operacji, a więc przechowywanie ich (nawet jeśli faktycznie się z nich nie korzysta), udostępnianie, zmienianie, opracowywanie, modyfikowanie, przekazywanie, zbieranie, utrwalanie itp.

Najlepiej na piśmie

Od zasady, że trzeba mieć upoważnienie do przetwarzania danych w firmie zatrudniającej pracowników, nie ma żadnych wyjątków. Dlatego upoważnienie muszą mieć wszystkie grupy pracowników, o ile tylko w ramach swoich zadań służbowych wykorzystują dane osobowe.

Jak podkreśla GIODO, w świetle ustawy pracownicy działów kadr nie stanowią pod tym względem szczególnej grupy. Znaczy to, że i im administrator powinien wydać, gdy jest to potrzebne, upoważnienia do przetwarzania danych. Bez tego upoważnienia nie wolno ich dopuścić do danych osobowych pracowników. Tak przewiduje art. 37 ustawy.

Przepisy nie określają jednoznacznie formy udzielenia upoważnienia. Na wszelki wypadek - dla celów dowodowych - najlepiej jest go sporządzić na piśmie. Nie ma też nigdzie oficjalnego wzoru upoważnienia. Nie ulega jednak wątpliwości, że powinno ono określać nazwę i adres administratora danych, osobę, która uzyskuje upoważnienie do przetwarzania danych, datę nadania jej takich uprawnień (gdy upoważnienie nadane jest na czas określony), a także zakres upoważnienia do przetwarzania danych osobowych.

 

Ewidencja upoważnionych

Kolejny obowiązek pracodawcy to stworzenie ewidencji osób, które mają upoważnienia do przetwarzania danych. Wynika tak z art. 39 ustawy.

Ewidencji a musi zawierać imiona i nazwiska wszystkich upoważnionych przez administratora do wykorzystywania danych osobowych, daty nadania i ustania upoważnienia oraz jego zakres, a także identyfikacje tych osób, które dopuszczone zostały do przetwarzania danych w systemach informatycznych (np. sieci komputerowej).

W tej ewidencji należy uwzględnić również upoważnienia wydane pracownikom działu kadr - tutaj również nie ma wyjątku.

Kontrole w firmie

Czy firmy prawidłowo przetwarzają dane osobowe załogi, sprawdzają kontrolerzy GIODO. Mogą oni wejść do biura i pomieszczeń, gdzie są zbiory danych, w godzinach 6 - 22. Po kontroli GIODO wydaje np. nakaz usunięcia uchybień, poprawienia danych, wprowadzenia dodatkowych zabezpieczeń. Wolno mu również skierować do prokuratury zawiadomienie o popełnieniu przestępstwa przez pracownika lub kierownika kontrolowanej firmy. Za przetwarzanie danych bez upoważnienia grozi z reguły grzywna, a w drastycznych przypadkach do dwóch lat więzienia. Administrator zbioru danych, który umożliwia dostęp do nich osobom nieupoważnionym albo nie zabezpiecza ich odpowiednio, także popełnia przestępstwo. Winni uchybień mogą być ukarani dyscyplinarnie.

—Michał Kosiarski


TS v1109.