Przepisy regulujące przetwarzanie danych osobowych zarówno na poziomie ustawodawstwa krajowego (ustawa z 10.05.2018 o ochronie danych osobowych), jak i prawa europejskiego (art. 29 i art. 32 ust. 2 RODO) stanowią, że Administrator danych osobowych lub Współadministrujący albo tzw. Procesor (podmiot przetwarzający) mogą je przetwarzać wyłącznie na polecenie Administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Przez polecenie Administratora rozumie się tutaj – znane nam doskonale z ustawy o ochronie danych osobowych – upoważnienie do przetwarzania danych osobowych.
Upoważnienie do przetwarzania danych osobowych powinno dotyczyć pracowników, stażystów, wolontariuszy oraz praktykantów i odnosić się do zakresu obowiązków i czynności oraz do schematu zastępstw. Kwestie takie najlepiej uregulować w Regulaminie ochrony danych osobowych, a w treści upoważnienia zrobić stosowną adnotację, kierując w kwestii zastępstw do Regulaminu organizacyjnego.
Daleka jestem od wpisywania zastępców z imienia i nazwiska albo operowania stanowiskami. Wystarczy epidemia grypy w mniejszej organizacji i schemat zastępstw przestaje funkcjonować. Można oczywiście i temu zapobiec wpisując do Regulaminu organizacyjnego możliwość ustalania zastępstw ad hoc, zwłaszcza w sytuacjach nadzwyczajnych, a za takową można uznać epidemię grypy na danym terenie
i wtedy tym bardziej odesłanie do Regulaminu organizacyjnego ma sens.
Upoważnienie do przetwarzania danych osobowych powinno odnosić się do celów administratora
i wskazywać systemy przetwarzania (np. kartotekowe lub informatyczne) oraz wskazywać zbiory danych przynajmniej na poziomie zbiorów głównych. Takie podejście uzasadnia ekonomika procesu przetwarzania, ponieważ zbiór danych osobowych nie stanowi katalogu zamkniętego.
Kolejną kwestią jest zakres upoważnienia do przetwarzania danych osobowych, który może dotyczyć wprowadzania danych, wglądu w nie, modyfikacji, dodawania, usuwania czy drukowania albo kopiowania. Warto przemyśleć zakres przetwarzania danych każdego pracownika i odnieść go do zakresu obowiązków i czynności. Terminem ważności upoważnienia jest zwykle okres zatrudnienia, stażu, praktyki czy wolontariatu.
Od upoważnienia do przetwarzania danych osobowych należy odróżnić upoważnienie do przebywania w obszarze przetwarzania danych osobowych. Na mocy przepisów rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych upoważnienie takie uprawnia osobę upoważnioną do przebywania w pomieszczeniach, w których przetwarzane są dane osobowe w zakresie niezbędnym do wykonywania obowiązków służbowych, prac zleconych czy też innych zadań, wskazanych w upoważnieniu.
W związku z powyższym przed wydaniem upoważnień Administrator powinien staranie przeanalizować kogo i do czego upoważnia i rozróżnić dwa rodzaje upoważnień, np. pracownicy gospodarczy nie będą przetwarzali danych osobowych, natomiast będą mieli upoważnienie do przebywania w obszarach przetwarzania danych. Gdyby z powodu niedbalstwa lub niestaranności osób upoważnionych do przetwarzania danych osobowych weszli w posiadanie dokumentów lub mieli wgląd w systemy informatyczne, w których przetwarzane są dane osobowe, powinni wiedzieć jak postępować w takich sytuacjach, np. zawiadamiać Administratora Danych lub Administratora Systemów Informatycznych.