Przetwarzanie informacji osobowych to nie tylko zbieranie ich bezpośrednio od pracowników. To także pozyskiwanie danych osobowych w wyniku dokonanego wcześniejszego ich udostępnienia (ich segregowania czy tworzenia jakiś zbiorów itp.).

Podstawy działania kadrowca

Pojawia się zatem pytanie, kto odpowiada za bezpieczeństwo danych w firmie. Czy jest to tylko szef, któremu dane udostępniono, czy również kadrowiec, który nimi na co dzień zarządza i nimi obraca?

Skoro czynnością przetwarzania danych osobowych będzie udostępnienie (przekazanie) danych, a także ich zbieranie przez odbiorcę danych, zarówno jedna, jak i druga czynność powinna odbywać się na odpowiedniej podstawie prawnej. Szef pozyskuje dane, korzystając ze zgody zatrudnionego (na mocy art. 23 ustawy). Natomiast podstawą działania kadrowca w tym zakresie będzie art. 37 ustawy.

Zgodnie z nim upoważnienie do przetwarzania danych powinno zostać „nadane” przez administratora danych osobowych, czyli najczęściej przez szefa. Nie przeszkadza to jednak, aby w konkretnych przypadkach (zwłaszcza przy masowym nadawaniu upoważnień do przetwarzania danych osobowych) stosować system upoważnień.

Dzięki temu administrator danych umocowuje określone osoby do przetwarzania danych oraz do dalszego nadawania upoważnień na zasadach określonych przez szefa w przepisach wewnątrzzakładowych, np. w regulaminie pracy.

Nie zmienia to faktu, że każda osoba mająca kontakt z danymi personalnymi podwładnych czy osób współpracujących musi mieć upoważnienie do ich przetwarzania (tak: Paweł Barta, Paweł Litwiński [w:] Ustawa o ochronie danych osobowych. Komentarz, C.H. Beck, Warszawa 2009 ).

Dla wybranych

Na pracodawcy, czyli na administratorze bazy danych podwładnych, ciąży obowiązek chronienia ich przed udostępnieniem osobom nieupoważnionym. Realizuje go, nie dopuszczając do przetwarzania danych innych osób poza dysponującymi upoważnieniem nadanym przez szefa. Tak stanowi art. 37 ustawy.

Upoważnienia nadaje pracodawca lub osoba działająca w jego imieniu. Najczęściej jest to administrator bezpieczeństwa informacji, nadzorujący przestrzeganie zasad ochrony danych, którego powinien wyznaczyć każdy pracodawca. Glejt do  przetwarzania danych osobowych powinien być upoważnieniem odrębnym, a nie wywodzącym się z treści stosunku prawnego łączącego osobę przetwarzającą dane osobowe z administratorem danych.

Na gruncie pracowniczym oznacza to tyle, że nie każda osoba z racji swojego zatrudnienia w dziale kadr czy płac może dowolnie eksploatować (oczywiście do celów kadrowych) dane pracowników. Każde bowiem upoważnienie powinno być pisemne, imienne, przypisane do danej osoby.

Musi także określać okres, na jaki zostało udzielone, i zakres czynności, których wolno dokonywać temu, kto się nim posługuje. Zatem imiennie wskazani pracownicy działu kadr i płac mogą być administratorami danych w rozumieniu ustawy o ochronie danych osobowych w ściśle określonym zakresie.

Ewidencja dostępu

Szef ma również obowiązek prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych. To jego kolejna powinność organizacyjna związana z czuwaniem nad zasobami pozyskanych wiadomości. Składa się na to odnotowanie – w formie ewidencji – następujących informacji:

- imienia i nazwiska osoby upoważnionej do przetwarzania danych,

- zakresu upoważnienia,

- daty nadania upoważnienia,

- daty ustania umocowania,

- identyfikatora, jeżeli dane są przetwarzane w systemie informatycznym.

Podobnie jak całość dokumentacji ochrony danych osobowych ewidencję należy prowadzić w postaci pisemnej.