Wydawanie upoważnień do przetwarzania danych osobowych 1

Podobne dokumenty
Ewidencja osób upoważnionych do przetwarzania danych wskazówki jak ją prowadzić i gotowy wzór

4 wzory oświadczeń pacjenta, których nie może zabraknąć w dokumentacji medycznej

4 wzory oświadczeń pacjenta, których nie może zabraknąć w dokumentacji medycznej

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

Jak dostosować formularze zgód pacjenta do RODO wraz z gotową checklistą 1

Przetwarzanie danych osobowych w urzędach 1

Odpowiedzialność pracownika za działania naruszające ochronę danych osobowych

POLITYKA BEZPIECZEŃSTWA

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

Dokumentacja kadrowa kierowcy 6 niezbędnych wzorów 1

Polityka bezpieczeństwa w zakresie ochrony danych osobowych

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

Załącznik 4. Umowa o zachowaniu poufności przetwarzania danych osobowych, zwana dalej Umową

Jak przetwarzać dane sensytywne zgodnie z RODO w gabinecie lekarskim 1

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

POLITYKA BEZPIECZEŃSTWA

Ochrona danych osobowych w biurach rachunkowych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (Umowa)

POLITYKA BEZPIECZEŃSTWA KRAJOWEGO REJESTRU KLIENTÓW HOTELOWYCH sp. z o.o.. Art. 1 Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

Uchwała wchodzi w życie z dniem uchwalenia.

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA

Umowa nr..- /15. o powierzeniu przetwarzania danych osobowych zawarta w dniu r. w Poznaniu pomiędzy:

Załącznik 5. UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową. zawarta w... w dniu... r. pomiędzy:

Uprawnienie do przeprowadzania kontroli mają zarówno organy nadzoru geodezyjnego oraz

OCHRONA DANYCH OSOBOWYCH

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Polityka bezpieczeństwa przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH zawarta w dniu.. w Warszawie, pomiędzy:

UMOWA RAMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Dane osobowe w data center

USTAWA O DZIAŁALNOŚCI POŻYTKU PUBLICZNEGO

OCHRONA DANYCH OSOBOWYCH

3. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

URZĄD MIASTA ZIELONA GÓRA PLAN SPRAWDZEŃ ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Z PRZEPISAMI O OCHRONIE DANYCH OSOBOWYCH

Regulamin w zakresie przetwarzania danych osobowych w Urzędzie Miejskim w Kocku

Umowa nr ADO/.../... powierzenia przetwarzania danych osobowych

20 lat doświadczeń w wykonywaniu funkcji ABI. ewolucja funkcji od administratora do inspektora

Polityka bezpieczeństwa i instrukcja zarządzania czy trzeba je prowadzić zgodnie z RODO

POLITYKA BEZPIECZEŃSTWA w STAROSTWIE POWIATOWYM w ŻYWCU. Rozdział I. Postanowienia ogólne, definicje

Tytuł ebooka Skarga do sądu wpisujesz i zadajesz styl administracyjnego Tytuł ebooka droga odwoławcza od decyzji podatkowych

Przedłużanie kadencji dyrektorów szkół w okresie reformy oświaty

USTAWA O DZIAŁALNOŚCI POŻYTKU PUBLICZNEGO

POROZUMIENIE W SPRAWIE POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

wraz z wzorami wymaganej prawem dokumentacją

CENTRUM ANALIZY PRAWA PRACY

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. nr./2018

ZASADY KLASYFIKACJI 175 błędów w klasyfikacji

Nowe przepisy i zasady ochrony danych osobowych

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

End of waste, czyli utrata statusu odpadu 1

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół Usługowo Gospodarczych w Pleszewie

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

REFORMA OŚWIATY. praktyczne rady. Polecamy nasze pozostałe publikacje: 38 zmian w ustawie o systemie oświaty

Rewolucja w ochronie danych osobowych?... 1 Precyzyjne zapisy... 2 O tym nie możesz zapomnieć!... 3 Nowe uprawnienia... 5 Podsumowując...

REKTORA UNIWERSYTETU RZESZOWSKIEGO z dnia r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

OCHRONA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI Urzędu Miasta Kościerzyna

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Sprawdzenie systemu ochrony danych

Nowe zasady w sprawozdaniach za 2013 rok

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Ochrona zdrowia. Dokumentacja medyczna w praktyce. 15 najczęstszych problemów

Ustawa o ochronie danych osobowych oznacza Ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych;

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

Prawo do zasiłku pogrzebowego w kwocie zł może być przeniesione na zakład

4. PROCEDURA POLITYKI BEZPIECZEŃSTWA I OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJĄCA W SZKOLE PODSTAWOWEJ NR 2 ŁĘCZNEJ

Polityka Bezpieczeństwa i Ochrony Danych Osobowych przetwarzanych przez Instytut Filozofii i Socjologii Polskiej Akademii Nauk. z siedzibą w Warszawie

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

POLITYKA BEZPIECZEŃSTWA

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Przetwarzanie danych osobowych w przedsiębiorstwie

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

Zarządzanie bezpieczeństwem danych osobowych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Kontrole placówek medycznych przez sanepid

Umowa o powierzanie przetwarzania danych osobowych

Nie jest on jednak bezwzględny. Możemy wskazać sytuacje, w których lekarz jest zwolniony z zachowania tajemnicy. Dotyczy to sytuacji, gdy:

Opisz zasady obsługi pacjenta... 1 Zapoznaj pracowników z prawami pacjenta... 2 Gdy trzeba, wyciągaj konsekwencje... 3

Nowe zasady rozliczania się z podwykonawcami

Regulamin w zakresie przetwarzania danych osobowych w Gimnazjum nr 2 im. Aleksandra Kamińskiego w Żarach

POLITYKA PRYWATNOŚCI Wersja 1.0 z dn Informacje ogólne

Załącznik nr 8 do SIWZ

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH, ZWANA DALEJ UMOWĄ (ZAŁĄCZNIK NR 3 DO UMOWY ZP ) . NIP:..., reprezentowanym przez:

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

Przewodnik po ochronie danych osobowych : vademecum dyrektora i nauczyciela placówki oświatowej / Dariusz Skrzyński. wyd. 2.

Podstawowe obowiązki administratora danych osobowych

Transkrypt:

Wydawanie upoważnień do przetwarzania danych osobowych 1

Środek zabezpieczający... 3 Kto nadaje upoważnienia... 4 Forma i zakres upoważnienia... 5 Upoważnienia dla wszystkich... 6 Ewidencjonowanie upoważnień... 7 Każdy, kto przetwarza dane osobowe, powinien mieć do tego upoważnienie nadane przez administratora danych. W praktyce jednak to często administratorzy bezpieczeństwa zajmują się nadawaniem takich upoważnień. Nadawanie upoważnień do przetwarzania danych rodzi wiele wątpliwości. Wśród najważniejszych można wymienić kwestię formy upoważnienia, tego, jaki powinien być jego zakres, czy tego, kto powinien je wydawać. Pojawia się też pytanie, czy powinniśmy upoważniać osoby prowadzące działalność gospodarczą, czy może trzeba podpisywać z nimi umowy powierzenia. Wydawanie upoważnień do przetwarzania danych osobowych 2

Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez ADO (art. 37 uodo). Jednak zanim zaczniemy rozważać konkretne problemy z upoważnieniami pojawiające się w praktyce, warto w pierwszej kolejności zwrócić uwagę na samo umiejscowienie przywołanego wyżej przepisu w ustawie o ochronie danych osobowych. Znajduje się on w rozdziale V ustawy, zatytułowanym Zabezpieczenie danych osobowych. Tak samo jak polityka bezpieczeństwa czy instrukcja zarządzania. Upoważnienie do przetwarzania danych służy ich bezpieczeństwu i jest ściśle połączone z tymi dokumentami. Upoważnienia do przetwarzania danych osobowych to organizacyjny środek ich ochrony. Każda osoba, która otrzymała uprawnienia do przetwarzania danych, powinna zapoznać się z regulacjami wynikającymi zarówno z powszechnie obowiązujących przepisów prawa, jak i z tymi wdrożonymi w organizacji. Do przetwarzania danych osobowych ADO może dopuścić wyłącznie osoby, które takowe upoważnienie otrzymały (art. 37 uodo). Warto się odnieść do pkt I A załącznika do rozporządzenia MSWiA z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024 ze zm.). Uwaga W obszarze przetwarzania danych osobowych powinny się znajdować wyłącznie osoby posiadające upoważnienie. Zgodnie z nim administrator danych powinien zabezpieczyć obszar przetwarzania przed dostępem osób nieuprawnionych podczas nieobecności osób upoważnionych. Przebywanie osób nieuprawnionych na obszarze przetwarzania danych możliwe jest za zgodą ADO lub w obecności osoby upoważnionej. Wydawanie upoważnień do przetwarzania danych osobowych 3

To ADO nadaje upoważnienia do przetwarzania danych (art. 37 uodo). Nie oznacza to, że to np. sam prezes spółki, jako osoba reprezentująca ADO, musi osobiście nadawać upoważnienia dla wszystkich pracowników. Wystarczy, że przekaże odpowiednie pełnomocnictwo do wydawania upoważnień wskazanej osobie. W praktyce są stosowane różne rozwiązania. Najczęstszym jest ABI sytuacja, w której to nadaje w imieniu administratora danych upoważnienia. Jest to rozwiązanie najwłaściwsze, bo to administrator bezpieczeństwa informacji nadzoruje przestrzeganie przepisów o ochronie danych osobowych u ADO. Innym rozwiązaniem jest sytuacja, w której to kierownik działu kadrowego lub inny wyznaczony pracownik działu kadrowego nadaje upoważnienia. Jest to o tyle dobre rozwiązanie, że pracownicy działu kadrowego mają najaktualniejsze informacje dotyczące zwalnianych i zatrudnianych pracowników. Niekiedy też pracownicy działów administracyjno-organizacyjnych nadają upoważnienia. Administrator danych powinien zadbać o to, by każda z osób wystawiających upoważnienie miała w danym czasie takie uprawnienia i by można było udowodnić to podczas ewentualnej kontroli GIODO. Ważne Osoba, która nadaje upoważnienia do przetwarzania danych osobowych, musi mieć do tego odpowiednie umocowanie w postaci pełnomocnictwa od administratora danych. Dopuszczenie do przetwarzania danych osób nielegitymujących się wymaganym upoważnieniem może narazić ADO na zarzut niewłaściwego zabezpieczenia danych, a tym samym naruszenia przepisów uodo. Wydawanie upoważnień do przetwarzania danych osobowych 4

Ustawa o ochronie danych osobowych nie przesądza o formie oraz zakresie upoważnienia. Reguluje ona jedynie zakres informacji wymaganych przez ewidencję osób upoważnionych do przetwarzania danych osobowych. U większości administratorów danych upoważnienie jest wydawane w formie papierowej. Niektórzy ADO chcą się pozbyć zbędnej papierologii i zmieniają formę wydawanych upoważnień na elektroniczną. W takiej sytuacji może pojawić się problem dowodowy w razie kontroli GIODO. Trudno jest bowiem wykazać, że rzeczywiście upoważnienie zostało wydane. Można w takiej sytuacji argumentować, że takim dowodem jest określony wpis upoważnienia w ewidencji osób upoważnionych do przetwarzania danych. Wydawanie upoważnień w formie elektronicznej wymaga więc pewnych nakładów finansowych, tak żeby system informatyczny, za pomocą którego takie upoważnienia były wydawane, spełniał wymagania przepisów o ochronie danych osobowych. GIODO dopuszcza możliwość wydawania upoważnień również w formie wiadomości poczty elektronicznej. Zgodnie ze stanowiskiem GIODO zakresy upoważnień do przetwarzania danych osobowych powinny być ustalane tak, aby zapewnić realizację obowiązku wynikającego z art. 38 ustawy (tj. obowiązku zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane). Osoby upoważnione do przetwarzania danych powinny mieć natomiast faktyczny dostęp do danych osobowych tylko w zakresie udzielonych upoważnień. W upoważnieniu należy określić nazwę (nazwisko) i adres administratora danych, osobę upoważnioną do przetwarzania danych osobowych, datę nadania i jeżeli jest ono przyznawane na czas określony, ustania oraz zakres upoważnienia do przetwarzania danych osobowych. Przykład Najwłaściwszym sposobem określania zakresu upoważnień do przetwarzania danych osobowych jest określanie zakresu upoważnienia na podstawie zbiorów danych osobowych lub ich części, do których osoba przetwarzająca dane osobowe będzie mieć dostęp. Upoważnienia służą realizacji zasady rozliczalności przetwarzanych danych. Sam sposób określenia zakresu przedmiotowego upoważnienia został pozostawiony do swobodnego rozstrzygnięcia przez ADO. W praktyce jednym ze sposobów upoważnienia jest upoważnienie do przetwarzania danych osobowych w związku z realizacją obowiązków wynikających z umowy cywilnoprawnej/o pracę/o współpracę. Jednak mógłby być on zakwestionowany podczas ewentualnej kontroli GIODO, jako zbyt mało precyzyjnie określony. Wydawanie upoważnień do przetwarzania danych osobowych 5

Do przetwarzania danych osobowych należy upoważnić pracowników, którzy mają dostęp do danych osobowych w związku z realizacją obowiązków pracowniczych, niezależnie od tego, jaka jest forma ich zatrudnienia. Obowiązek ten dotyczy również osób, które mają czasowy dostęp do danych osobowych jako stażyści czy praktykanci. Przepisy o ochronie danych osobowych nie rozróżniają osób mających dostęp do danych osobowych ze względu na formę współpracy. Wyjątkiem mogą być osoby prowadzące działalność gospodarczą, które współpracują z ADO na podstawie umowy o współpracę. W takim przypadku możliwe jest, podpisanie umów powierzenia przetwarzania danych osobowych w rozumieniu art. 31 uodo. Wybór pomiędzy upoważnieniem a podpisaniem umowy powierzenia zależy od formy współpracy. Jeżeli taka osoba stale przychodzi do biura i wykonuje podobne obowiązki jak osoby współpracujące na podstawie umów o pracę czy zlecenia, to rekomendowanym rozwiązaniem jest wydawanie dla takich osób upoważnień do przetwarzania danych osobowych. Jeżeli natomiast współpraca z taką osobą ma charakter zewnętrznego konsultanta, który przy tym pracuje na własnym sprzęcie komputerowym, to rekomendowanym rozwiązaniem jest podpisanie pomiędzy administratorem danych a takim konsultantem umowy powierzenia przetwarzania danych osobowych. Wydawanie upoważnień do przetwarzania danych osobowych 6

Kolejnym obowiązkiem, jaki narzuca ustawa o ochronie danych osobowych w odniesieniu do upoważnień, jest konieczność ich ewidencjonowania. W odróżnieniu od przepisu art. 37 ustawy o ochronie danych osobowych, który to nie wskazywał zakresu upoważnienia, art. 39 ustawy o ochronie danych osobowych w sposób wyczerpujący wskazuje zakres informacji, jaki powinien się znaleźć w ewidencji upoważnień. Są to: imię i nazwisko osoby upoważnionej, zakres upoważnienia, data nadania i ustania upoważnienia oraz identyfikator użytkownika, jeżeli dane osobowe są przetwarzane w systemach informatycznych. Natomiast podobnie jak w przypadku upoważnienia, przepisy nie wskazują formy, w jakiej ma być prowadzona ewidencja. Zatem można ją prowadzić zarówno w formie papierowej, jak i elektronicznej. Włodzimierz Dola, aplikant radcowski, ekspert ds. ochrony danych osobowych Wydawanie upoważnień do przetwarzania danych osobowych 7

Redaktor: Wioleta Szczygielska ISBN: 978-83-269-4729-2 E-book nr: Wydawnictwo: Adres: Kontakt: 2HH0421 Wydawnictwo Wiedza i Praktyka sp. z o.o. 03-918 Warszawa, ul. Łotewska 9a Telefon 22 518 29 29, faks 22 617 60 10, e-mail: cok@wip.pl NIP: 526-19-92-256 Numer KRS: 0000098264 Sąd Rejonowy dla m.st. Warszawy, Sąd Gospodarczy XIII Wydział Gospodarczy Rejestrowy. Wysokość kapitału zakładowego: 200.000 zł Copyright by: Wydawnictwo Wiedza i Praktyka sp. z o.o. Warszawa 2016 Wydawanie upoważnień do przetwarzania danych osobowych 8

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres