Czy prokurent musi być upoważniony do przetwarzania danych
Prokurent w ramach swojej działalności przetwarza dane osobowe. Czasami pozostaje on w zatrudnieniu w firmie, którą reprezentuje, na podstawie umowy o pracę, a czasami jest z nią związany umową cywilnoprawną. Sprawdź, czy w związku z tym powinien otrzymać upoważnienie do przetwarzania danych od firmy, którą reprezentuje?
Podstawowe pojęcia
Najpierw należy ustalić podział ról w systemie ochrony danych osobowych – kim jest administrator danych osobowych, a kim jest osoba upoważniona do przetwarzania danych osobowych. Otóż zgodnie z art. 4 pkt 7 RODO administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W opisanym przypadku administratorem danych będzie więc podmiot, który zbiera dane osobowe i decyduje o celach i środkach przetwarzania tych danych.
Art. 4 pkt 2 RODO nakazuje uważać za przetwarzanie operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Upoważnienie nie dla prokurenta
Jeżeli konkretna osoba, która jest pracownikiem (lub pozostaje zatrudniona niepracowniczo – w przypadku umowy cywilnoprawnej, np. umowy zlecenia) administratora danych osobowych lub procesora (tj. podmiotu, któremu dane osobowe zostały powierzone) ma przetwarzać dane osobowe to powinna zostać do tego celu imiennie upoważniona.
Takiego upoważnienia nie trzeba dawać członkom zarządu administratora danych a także prokurentom – z tej samej przyczyny. Po pierwsze, reprezentują oni przecież administratora danych w całym zakresie jego spraw, a po drugie, członkowie zarządu i prokurenci administratora danych musieliby sami sobie udzielić takiego upoważnienia. Upoważnienie takie powinni otrzymać natomiast konkretni pracownicy spółki, którzy powinni mieć dostęp do określonych danych osobowych.
Więcej porad dotyczących przetwarzania danych osobowych w biznesie znajdziesz na stronie https://www.poradyodo.pl/biznes-18
Podstawa prawna:
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 4, art. 28, art. 29.
Marcin Sarna
Radca prawny, ekspert portalu PoradyODO.pl
Komentarze