Zanim jednak udostępnimy informacje służbom personalnym czy finansowym, musimy dać specjalne upoważnienia każdej osobie mającej z nimi styczność. To nie koniec formalności. Resztę dokumentów wymienia rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji i przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU nr 100, poz. 1024) wraz załącznikiem opisującym poziomy bezpieczeństwa w firmie.
Wśród dokumentów wymienionych w rozporządzeniu znajduje się upoważnienie do przetwarzania danych. Nie jest to jednak jedyny dokument, który powinien znajdować się w aktach pracodawcy. Ma tam być również ewidencja osób upoważnionych do przetwarzania danych osobowych, a więc wykaz osób dopuszczonych przez pracodawcę do przetwarzania informacji o zatrudnionych.
Administrator danych, a więc pracodawca, powinien wskazać w tym dokumencie imię oraz nazwisko kadrowej, która zajmuje się sprawami pracowniczymi w firmie. To ona bowiem w imieniu pracodawcy przetwarza dane osobowe zatrudnionych. Pamiętajmy, aby koniecznie wskazać datę nadania upoważnienia oraz datę wygaśnięcia tego uprawnienia do przetwarzania danych osobowych. Ewidencję musi też podpisać administrator danych osobowych, czyli pracodawca.
Zazwyczaj dane załogi przetwarzamy w systemie informatycznym, dlatego w ewidencji wskazujemy również login – nazwę użytkownika, pod jaką figuruje w systemie, w którym przetwarzane są informacje osobowe.
Pracodawca powinien też przygotować tzw. indywidualny zakres obowiązków (IZO) osób uprawnionych do przetwarzania danych osobowych. W tym dokumencie należy opisać, jakie obowiązki i uprawnienia ma osoba upoważniona do przetwarzania danych osób zatrudnionych w firmie.
