fbpx

Czy wszyscy pracownicy muszą mieć upoważnienia do przetwarzania danych? Z tym pytaniem kierują się do mnie najczęściej właściciele biznesów online, w których w związku z rozwojem, pojawiają się nowi pracownicy lub współpracownicy. W tym artykule wyjaśniam kto i kiedy powinien otrzymać upoważnienie do danych osobowych.

Upoważnienie do przetwarzania danych jest podstawą do tego, by można było uznać, że dana osoba przetwarza dane osobowe w sposób legalny. Zgodnie z art. 29 RODO Twoim obowiązkiem jako administratora danych klientów, kontrahentów lub pracowników jest zapewnienie, by dostęp do nich był ograniczony wyłącznie do osób, które zostały do tego upoważnione.

Aby przetwarzanie danych osobowych przez osobę było legalne, musi ona posiadać upoważnienie do przetwarzania tych danych!

Jak więc ustalić kto i do czego powinien mieć dostęp? Z podobnym problemem zwróciła się do mnie Joanna, właścicielka sklepu online. Wiedziała, że powinna wydać swoim pracownikom upoważnienia do przetwarzania danych osobowych klientów jej sklepu. Jednak miała wątpliwości, czy rzeczywiście wszyscy jej współpracownicy muszą je mieć. Przekonaj się, jaką radę dałam Joannie i wykorzystaj to u siebie.

 

Zobacz, jak to robią w inni!

Joanna współpracuje na stałe z Martą, która jest jej asystentką i obsługuje klientów przez telefon, odbiera korespondencję i opiekuje się firmową skrzynką e-mail. Marta jest zatrudniona na umowę o pracę. Joanna współpracuje także z dwiema osobami na podstawie umowy zlecenia, które pomagają przy realizacji zamówień (pakowanie i wysyłka). A trzy razy w tygodniu wpada do niej znajoma, która sprząta całe biuro.

W tej tej sytuacji, jak wyraźnie widać, dostęp do danych mogą mieć osoby, które mają różne zadania, inne formy współpracy, a także inne potrzeby. Jednak nie wszystkie osoby w tym przypadku powinny otrzymać upoważnienia do przetwarzania danych.

Pierwsze pytanie, jakie trzeba sobie zadać przed decyzją o wydaniu upoważnień brzmi: Która z tych osób potrzebuje dostępu do danych osobowych, aby mogła wykonać swoje zadania?

Dostęp tylko dla osób upoważnionych.

Dane osobowe są nieodłączną częścią niemalże każdej działalności gospodarczej. Dane osobowe dotyczą osoby fizycznej, zatem są nimi dane kupujących, a także dane osób prowadzących działalność gospodarczą (zarejestrowane w CEIDG).

W biznesie online dane osobowe przetwarzane są najczęściej w takich sytuacjach, jak:

  • zawieranie umowy z klientami,
  • realizacja zamówienia w sklepie internetowym,
  • wystawianie rachunku lub faktury,
  • wysyłaniu newslettera,
  • rekrutacja kandydatów do pracy,
  • podpisanie umowy z pracownikiem, etc.

Dane osobowe są nieodłączną częścią niemalże każdej działalności gospodarczej.

Podstawową zasadą jest nadawanie upoważnień do przetwarzania danych tylko tym osobom, które naprawdę tego potrzebują. Czyli musisz najpierw ustalić, kto bez tych danych po prostu nie będzie mógł u Ciebie pracować.

W przypadku sklepu internetowego Joanny będzie to na pewno Marta, asystentka, która musi mieć dostęp do danych na formularzu zamówienia, danych zawartych w korespondencji, jak i na poczcie e-mial. Bez tych danych nie będzie mogła prawidłowo wykonywać swoich zadań.

Dodatkowo, upoważnienia powinny otrzymać osoby pomagające w przygotowaniu zamówienia do wysyłki, gdyż podczas etykietowania paczki będą mieć dostęp do danych kupującego. Nie ma tu znaczenia, że są to osoby współpracujące na umowę zlecenie. Upoważnienie możesz wydać także osobom na umowę o dzieło, wolontariuszom lub praktykantom, o ile dane osobowe są konieczne do realizacji ich zadań na tym stanowisku.

Kiedy nie wydawać upoważnienia do danych

W opisanej sytuacji zostały jeszcze dwie osoby, których nie wymieniłam.

Jedną z tych osób jest Joanna, która jako właścicielka sklepu także ma dostęp do danych osobowych. Jednak jako osoba prowadząca działalność gospodarczą Joanna reprezentuje administratora danych i nie musi samej sobie nadawać upoważnienia. Podobnie będzie, jeśli jesteś prezesem zarządu spółki lub członkiem zarządu.

Drugą osobą, która nie powinna otrzymywać upoważnienia jest osoba wykonująca usługi sprzątania biura, nawet jeśli jest Twoim pracownikiem. Teoretycznie, także ta osoba może mieć dostęp do danych, np. tych leżących na biurku lub na półce. Tymczasem, nie ma racjonalnego uzasadnienia do tego, aby upoważniać osoby sprzątające do danych. Dostęp do danych nie jest tej osobie potrzebny do prawidłowego wykonania swoich zadań. Dlatego w tym przypadku upoważnienia do danych nie można nadać. Gdyby postąpić inaczej – znaczyłoby to, że ta osoba może swobodnie przeglądać dane klientów i ich zamówienia, a nawet tego zażądać, bo przecież została upoważniona!

Jak więc postąpić w takim przypadku? Przede wszystkim, musisz zapewnić, aby wszelkie dane na umowach czy w systemach zostały tak zabezpieczone, aby osoby nieupoważnione nie mogły uzyskać do nich dostępu. Jeśli sprzątanie odbywa się po zakończeniu pracy osób odpowiedzialnych, to wszelkie dokumenty muszą się znaleźć co najmniej w szafie zamykanej na klucz, a użytkownicy systemów komputerowych powinni się z nich wylogować.

Nadawanie upoważnienia wszystkim i do wszystkiego nie jest prawidłowe i nie powinno być uzasadnione brakiem zabezpieczeń przed dostępem dla pozostałych osób.

Wskazówki do wydawania upoważnień w sklepie online

Upoważnienia nadajemy tylko pracownikom i współpracownikom, których zadania są nierozerwalnie związane z przetwarzaniem danych osobowych. Musisz przy tym pamiętać, że przetwarzaniem danych jest już sam podgląd do danych, przechowywanie, wprowadzanie danych, usuwanie lub modyfikowanie.

Pamiętaj, że przetwarzaniem danych jest już sam podgląd do danych, przechowywanie, wprowadzanie danych, usuwanie lub modyfikowanie.

Nadal bardzo często spotykam się z błędnym założeniem, że upoważnienie trzeba wydać dosłownie wszystkim, nawet jeśli osoba nie ma i nie potrzebuje dostępu do danych przy wykonywaniu swojej pracy. Takie postępowanie zostanie na pewno negatywnie ocenione przez Urząd Ochrony Danych Osobowych, bo znaczyłoby to, że jako administrator tych danych nie kontrolujesz zupełnie tego, kto i w jakim celu je w Twojej firmie przetwarza.

Jeśli zatrudniasz wiele osób i na różnych stanowiskach to możesz wcześniej przygotować prostą tabelę, w której określisz to jakie dane są potrzebne na konkretnym stanowisku. Będzie Ci wtedy łatwiej działać i nadawać upoważnienia nowym osobom według przygotowanego już schematu.

Forma wydawania upoważnień do danych

Co do zasady, nie ma obowiązku nadawania upoważnień do przetwarzania danych Twojego klienta czy kontrahenta na piśmie. Taki dokument może się jednak przydać, np. przy ewentualnej kontroli lub skardze Twojego klienta na bezprawny dostęp do danych.

Wyjątkiem, kiedy jednak trzeba nadawać pisemne upoważnienia, jest przetwarzanie danych wrażliwych, np. tych o stanie zdrowia. Sklepy online jednak najczęściej nie przetwarzają takich danych, chyba że chodzi o stan zdrowia Twoich pracowników. Jeśli jakakolwiek inna osoba, poza właścicielem, musiałaby mieć do nich dostęp to wówczas musi mieć od Ciebie takie upoważnienie na piśmie.

Kolejna ciekawa sytuacja w sklepie online to współpraca z osobami na podstawie umowy o świadczenie usług (tzw. umowy B2B). Coraz częściej zatrudnia się wirtualne asystentki, które niejednokrotnie pomagają także w zdalnej obsłudze klienta, np. rozpatrywaniu reklamacji, etc. Z osobami prowadzącymi tego typu działalność, jeśli pracują poza Twoim biurem, należy zawrzeć umowę powierzenia przetwarzania danych. Tym osobom nie wydaje się upoważnienia do przetwarzania danych. Umowa powierzenia w tym przypadku będzie prawidłowym rozwiązaniem. Powierzenie danych to specjalna konstrukcja prawna, która pozwala Ci zabezpieczyć dane klienta, a jednocześnie umożliwia tej osobie legalny dostęp do danych osobowych.

Jeśli potrzebujesz sprawdzonego wzoru upoważnienia do przetwarzania danych oraz umowy powierzenia danych i dalszych wskazówek w tym temacie zajrzyj do pakietu e-booków „Wszystko o upoważnieniach RODO + Wszystko o powierzeniu danych”. Ten pakiet zawiera wzory upoważnienia i umowy powierzenia, które są edytowalne i dzięki temu możesz łatwo i szybko je dostosować do swojej działalności. W moim sklepie z gotowymi wzorami RODO możesz także kupić każdy z tych e-booków oddzielnie, jednak pamiętaj, że w pakiecie cena jest niższa.

© ABI Consulting Sylwia Templin-Świtała

Polityka Prywatności

Polityka cookies

Regulamin sklepu online

+48 607 718 878

Znajdź nas w sieci:

error: Treść strony jest chroniona!

Zapisz się na mój newsletter!

Dołącz do mojego newslettera i otrzymaj bezpłatny mini-kurs "Twój sklep online. RODO i regulaminy w pakiecie NA START!"

Wysłaliśmy Ci e-mail - potwierdź swoją subskrypcję!