fbpx
Zaznacz stronę

Administrator danych to osoba lub podmiot, który decyduje o celach i sposobach przetwarzania danych.


Obowiązkiem administratora danych jest sprawowanie kontroli nad dostępem do danych i to on decyduje o tym, kto i w jakim zakresie upoważnienie otrzyma. Administratorem danych jest osoba lub podmiot, który decyduje o celach i sposobach przetwarzania danych. W praktyce więc, administratorem danych może być zarówno osoba fizyczna, która wykorzystuje dane osobowe na cele zarobkowe lub zawodowe, szkoła, szpital, spółka z o.o., jak i jednostka publiczna.

Zgodnie z art. 29 RODO każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych przetwarza je wyłącznie na polecenie administratora.

Upoważnienia wydaje formalnie osoba, która działa w imieniu administratora danych, w zależności od formy prawnej, np. kierownik jednostki organizacyjnej, prezes zarządu, osoba prowadząca działalność gospodarczą lub inna osoba, która została przez administratora danych do tego upoważniona. W przypadku osób prowadzących działalność gospodarczą, gdy pojawiają się w jej ramach osoby współpracujące lub pracownicy, sprawa wydaje się jasna. Osoba ta powinna sama wydać im odpowiednie upoważnienia. Nie mamy tu raczej innej możliwości. 

W organizacjach o bardziej skomplikowanej strukturze temat wydawania upoważnień jest trochę jak kukułcze jajo, przerzucane z jednej osoby na drugą. A sprawa jest przecież równie oczywista, jak w przypadku mikroprzedsiębiorcy. Jednak w większej strukturze jest większa rotacja, co za tym idzie więcej upoważnień do nadania, odwołania lub zmiany. Dlatego wydawanie upoważnień ceduje się w większości na kierowników działów kadrowo-personalnych, którzy z racji swojej funkcji mają najlepszą wiedzę o tego typu zmianach w organizacji. W mojej ocenie jest to dopuszczalna sytuacja. Cieżko także oczekiwać, aby prezes dużej organizacji samodzielnie wydawał upoważnienia, następnie prowadził ich ewidencję. 

Nadal to administrator danych osobowych będzie odpowiadał za ich brak lub nieścisłości w ich nadawaniu lub odwołaniu.

Trzeba jednak uważać na kilka kwestii, gdyż nie można całkowicie przesunąć tego zadania na działy kadrowe, nie wyposażając je w procedury i narzędzia do zarządzania upoważnieniami. Nadal to administrator danych osobowych będzie odpowiadał za ich brak lub nieścisłości w ich nadawaniu lub odwołaniu. Osoba upoważniona do ich wydawania w imieniu administratora danych nie może także samodzielnie decydować o tym kto i w jakim zakresie powinien upoważnienie otrzymać. 

Rolą Inspektora jest informowanie administratora danych o spoczywających na nim obowiązkach oraz doradzanie mu w tej sprawie.


O ile zadanie wydawania upoważnień przez kadrową wydaje się dopuszczalne, to w mojej ocenie całkowicie błędne jest cedowanie tego zadania na Inspektora Ochrony Danych, który został w organizacji powołany. Uczestnicy moich szkoleń stacjonarnych to głównie osoby pełniące funkcję Inspektora w organizacjach wielu różnych branż, a jednak kwestia przypisywania tego zadania Inspektorom jest dla nich wszystkich wspólna. Co prawda spotykam się z tym coraz rzadziej, jednak są nadal takie organizacje, w których administrator danych z braku zasobów kadrowych, czy też nieznajomości przepisów wymaga, aby to Inspektor Ochrony Danych wydawał upoważnienia i prowadził ich ewidencję. To zadanie przeczyłoby jednak funkcji kontrolnej, którą Inspektorowi nadaje przecież art. 39 RODO. Rolą Inspektora jest informowanie administratora danych o spoczywających na nim obowiązkach oraz doradzanie mu w tej sprawie – tu, np. nadać upoważnienia – a następnie monitorowanie, kontrolowanie ich przestrzegania – np. czy upoważnienia zostały nadane. Jest to oczywiście duże uproszczenie roli Inspektora, ale w tym kontekście chciałam, aby zostało to jasno nakreślone. Inspektor nie może najpierw nadawać upoważnień, a potem sprawdzić, czy zostały wydane. Przeczyłoby to funkcji monitorowania, audytowania, którą przepisy prawa nadają Inspektorom. 

Podsumowując. W mojej ocenie jedyną dopuszczalną możliwością nadawania upoważnień, oprócz kierownika jednostki czy prezesa zarządu, jest po prostu wskazanie innej osoba fizycznej w organizacji. Oczywiście pod warunkiem, że nie będzie nią Inspektor Ochrony Danych. 

Chcesz szybko i skutecznie wydać upoważnienia?

Zapoznaj się z moją publikacją, w której szczegółowo omawiam ten proces.

W e-booku znajdziesz także przydatne wzory: upoważnienia, oświadczenia i rejestr upoważnień.

A czy Twoja firma jest już gotowa na RODO? 

Zapoznaj się ze szczegółami mojego autorskiego kursu online, który dostarczy Ci nie tylko niezbędnej wiedzy w pigułce, ale i zapewni wszystkie wzory wymaganych dokumentów, polityk i instrukcji!

CHCĘ POZNAĆ SZCZEGÓŁY KURSU!