Centrum Audytu Bezpieczeństwa Sp. z o.o.

+48 881 256 247 | biuro@cab.com.pl
upoważnienie

Upoważnienia do przetwarzania danych osobowych – kiedy, dla kogo i jak je dokumentować zgodnie z RODO?

28.05.2025

W ochronie danych osobowych wiele elementów składa się na zgodność z przepisami – od rejestru czynności po analizę ryzyka. Jednym z podstawowych, a jednocześnie często bagatelizowanych obszarów są upoważnienia do przetwarzania danych osobowych. Wbrew pozorom, to nie tylko formalność – to dowód, że organizacja rzeczywiście kontroluje, kto i na jakiej podstawie ma dostęp do danych.

W tym artykule przyglądamy się temu zagadnieniu od strony praktycznej: kto musi posiadać upoważnienie, jak powinno wyglądać, jak prowadzić ewidencję i czego bezwzględnie unikać.

Czym jest upoważnienie do przetwarzania danych?

Zgodnie z art. 29 RODO każda osoba, która przetwarza dane osobowe, musi działać wyłącznie na polecenie administratora. W praktyce tym poleceniem jest właśnie upoważnienie – imienny dokument, który formalnie nadaje dostęp do danych określonej osobie, w określonym celu i zakresie.

Upoważnienie jest nie tylko obowiązkiem prawnym – to również element rozliczalności, czyli zdolności organizacji do wykazania, że przetwarzanie odbywa się zgodnie z przepisami. W razie incydentu lub kontroli jego brak może zostać uznany za przetwarzanie bez podstawy prawnej.

Kto powinien posiadać upoważnienie?

Upoważnienie należy nadać każdej osobie, która ma dostęp do danych osobowych, niezależnie od formy współpracy. Dotyczy to m.in.:

  • pracowników etatowych i tymczasowych,
  • osób współpracujących na zasadzie B2B,
  • zleceniobiorców i wolontariuszy,
  • praktykantów i stażystów,
  • członków zarządu lub rady nadzorczej (jeśli mają dostęp do danych),
  • pracowników IT, którzy mają dostęp do systemów z danymi.

Nie ma znaczenia, czy dana osoba „realnie korzysta” z danych – jeśli może je zobaczyć, edytować lub usunąć, musi być formalnie upoważniona.

Co powinno zawierać poprawne upoważnienie?

Chociaż przepisy nie określają konkretnego wzoru, dobrze przygotowane upoważnienie powinno zawierać:

  • imię i nazwisko osoby upoważnionej,
  • datę nadania,
  • określenie zakresu danych i celu przetwarzania,
  • podstawę prawną przetwarzania (np. art. 6 ust. 1 lit. b RODO),
  • okres obowiązywania (lub informację „do odwołania”),
  • podpis osoby nadającej i – jeśli to wersja papierowa – osoby upoważnianej,
  • oświadczenie o zachowaniu poufności.

Taki dokument powinien być przechowywany w sposób umożliwiający szybki dostęp i aktualizację.

Ewidencja upoważnień – czy trzeba ją prowadzić?

Tak, zdecydowanie. Chociaż RODO nie mówi o niej wprost, prowadzenie rejestru (ewidencji) upoważnień to jedna z dobrych praktyk w zakresie rozliczalności. Taka ewidencja przydaje się w przypadku:

  • audytu wewnętrznego,
  • incydentu bezpieczeństwa,
  • kontroli organu nadzorczego.

W rejestrze powinny znaleźć się takie informacje jak: numer upoważnienia, osoba upoważniona, data nadania i cofnięcia, zakres danych, cel przetwarzania, podpisy, status (aktywne/archiwalne).

Najczęstsze błędy popełniane przez administratorów

Na co dzień spotykamy się z wieloma organizacjami, które popełniają podobne błędy, np.:

  • brak jakichkolwiek upoważnień (np. w małych firmach),
  • nadawanie upoważnień zbiorczych („dla całego działu X”),
  • zbyt ogólny zakres („do danych osobowych” bez określenia, jakich),
  • brak podpisów lub nieprawidłowe podpisy (np. nadane przez osobę nieuprawnioną),
  • nieaktualizowanie ewidencji, mimo że pracownicy odchodzą, zmieniają stanowiska lub zakres obowiązków.

Wszystko to świadczy o braku kontroli nad dostępem do danych – a to z kolei bezpośrednio zwiększa ryzyko naruszenia ochrony danych.

Dobre praktyki w zakresie nadawania upoważnień

  • przygotuj spójny, zatwierdzony wzór dokumentu,
  • powierz proces nadawania upoważnień osobie wyznaczonej przez administratora,
  • zadbaj o etykietowanie uprawnień – czyli jasne przypisanie zakresów danych do stanowisk,
  • każdorazowo informuj upoważnionych o ich obowiązkach (np. klauzula poufności),
  • cofaj upoważnienia po zakończeniu współpracy lub zmianie stanowiska,
  • aktualizuj ewidencję upoważnień przy każdej zmianie personalnej.

Podsumowanie

Upoważnienia do przetwarzania danych osobowych to nie „papier do wypełnienia na początek współpracy”, ale realne narzędzie kontroli dostępu i zgodności z przepisami. Ich prawidłowe stosowanie jest wyrazem dojrzałości organizacyjnej – i najczęściej pierwszą rzeczą, jaką sprawdza audytor lub inspektor.

Zadbaj o to, by Twoja organizacja:

  • miała czytelny system nadawania upoważnień,
  • prowadziła aktualną ewidencję,
  • szkoliła zespół w zakresie ochrony danych.

🔐 Jeśli chcesz mieć pewność, że wszystko działa zgodnie z RODO – skorzystaj z naszego wsparcia. Pomagamy przygotować dokumentację, wdrożyć system ochrony danych oraz przeprowadzić szkolenia dopasowane do profilu Twojej organizacji.

Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwo, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!

Przejdź do treści