Pracownicy mają niepełne upoważnienia – co zrobić

ABI zgłosiła administratorowi danych konieczność wydania nowych upoważnień. ADO przedłożył administratorowi bezpieczeństwa informacji umowy zawarte z pracownikami i wolontariuszami, wskazując na zakres przedmiotowy tych umów. Twierdził, że nie ma potrzeby udzielać upoważnień do przetwarzania danych osobowych , bo z zakresu obowiązków tych osób wynika, że muszą przetwarzać dane osobowe, w związku z czym nie ma potrzeby mnożyć dokumentów.

Administrator bezpieczeństwa informacji wypełnił swoje ustawowe obowiązki związane z zapewnieniem przestrzegania przepisów o ochronie danych osobowych. Jednym z nich jest przygotowanie planu sprawdzeń, a następnie sporządzenie z niego sprawozdania. W ramach badania organizacyjnych środków ochrony przetwarzania danych osobowych ABI stwierdziła, że upoważnienia nie realizują zasady rozliczalności przetwarzanych danych osobowych, ze względu na ich brak oraz błędnie oznaczony zakres. Zmiana zaproponowana przez administratora bezpieczeństwa informacji jest odzwierciedlona zarówno w przepisach opisujących zakres zadań ABI, jak i wśród ogólnych przepisów związanych z wdrożeniem organizacyjnych środków ochrony procesu przetwarzania danych osobowych.

ABI powinien uświadomić ADO, że należy zapewnić zgodne z prawem przetwarzanie danych osobowych przez ADO i jego współpracowników. Jednocześnie też nie powinien pominąć kwestii odpowiedzialności prawnej, która ciąży na administratorze danych w związku z dopuszczeniem do procesu przetwarzania danych osobowych osób nieupoważnionych. ABI powinien jak najszybciej pozbawić osoby przetwarzające dane osobowe bez upoważnienia wykonywania jakichkolwiek operacji związanych z przetwarzaniem tych danych, aż do czasu dysponowania przez nie stosownym upoważnieniem.