Administratorem danych osobowych pracowników jest pracodawca. Jako administrator jest on uprawniony do decydowania, kogo upoważnia do przetwarzania danych osobowych w danym przedsiębiorstwie. Zgodnie z art. 37 ustawy o ochronie danych osobowych dostęp do danych oraz uprawnienie do ich przetwarzania powinny mieć tylko i wyłącznie osoby do tego upoważnione przez administratora. Upoważnienie powinno szczegółowo określać, do jakich danych osoba upoważniona będzie miała dostęp. Jest to o tyle istotne, że danych nieobjętych upoważnieniem osoba upoważniona nie ma prawa przetwarzać.

Pracowników działu HR umocowanych do przetwarzania danych należy uwzględnić w ewidencji osób upoważnionych. Zgodnie z art. 39 ustawy o ochronie danych osobowych w ewidencji tej należy wskazać imię i nazwisko upoważnionego, datę nadania upoważnienia oraz zakres, a także identyfikator, jeśli dane są przetwarzane w systemie teleinformatycznym.

Pracodawca upoważniający swoich pracowników w zakresie przetwarzania danych powinien sprawować nad nimi kontrolę w zakresie legalności ich działań. W związku z tym, że ustawa o ochronie danych osobowych wyraźnie wymaga, aby osoby mające styczność z gromadzeniem, utrwalaniem czy udostępnianiem danych osobowych miały ku temu odpowiednie umocowanie, warto, aby umocowanie było udzielone na piśmie. Taki dokument w razie kontroli PIP lub GIODO będzie stanowić dowód udzielenia umocowania. Ewentualne naruszenia w tym zakresie mogą się wiązać z sankcjami prawnymi w postaci kary grzywny, ograniczenia lub nawet pozbawienia wolności.

Autor jest radcą prawnym, partnerem w Kancelarii Taylor Wessing w Warszawie