iSecure logo
  • pl
  • en
    • Blog

    Upoważnienia, oświadczenia, umowy, procedury… jak nad tym zapanować i czym się różni wróbelek?

    Daniel Taberski
    Kategorie

    RODO nakłada na przedsiębiorców obowiązek wytworzenia i pilnowania szeregu dokumentów. Szczególnie dotknięte tymi obowiązkami są działy kadr, które muszą dopilnować doręczenia każdemu pracownikowi (czy współpracownikowi) całej paczki materiałów. Pomijając już temat stosowania list kontrolnych by nad tym tsunami papieru zapanować, chciałbym dzisiaj omówić czym właściwie te dokumenty się od siebie różnią i dlaczego posiadanie jednego z nich nie zwalnia z obowiązku posiadania drugiego. Przyjrzymy się zatem – ze szczególnym uwzględnieniem perspektywy firmy programistycznej – temu „Czym się różni wróbelek?”. A wróbelek różni się oczywiście tym (jak żartowano w czasach słusznie minionych), że ma jedną nóżkę bardziej.

    Przeanalizujemy się dzisiaj zatem dokumentom:

    • umowie o pracę/współpracę,
    • obowiązek informacyjny,
    • upoważnieniu do przetwarzania danych osobowych,
    • oświadczeniu o zachowaniu danych osobowych w poufności,
    • oświadczeniu o zapoznaniu się z dokumentacją ochrony danych osobowych,
    • umowie o obowiązku zachowania poufności (NDA),

    a nadto temu jak stosować w praktyce oraz kwestii, dlaczego wszystkie dzisiejsze samochody mają trzypunktowe pasy bezpieczeństwa?

    Umowa o pracę / współpracę

    • 29 § 2 kodeksu pracy, Kodeks cywilny
    • Reguluje warunki współpracy, stanowi podstawę stosunku prawnego który uzasadnia umożliwienie danej osobie dostępu danych osobowych przetwarzanych przez firmę.
    • Pisemna/ opatrzona kwalifikowanym podpisem elektronicznym umowa.

    Obowiązek informacyjny

    • 13 RODO
    • Informuje pracownika/ współpracownika kto i po co przetwarza jego dane osobowe.
    • Zazwyczaj załącznik do umowy o pracy/ współpracy. W razie potrzeby dokonania zmian, wystarczy w udokumentowany sposób doręczyć nową wersję.

    Pisemne upoważnienie do przetwarzania danych osobowych

    • 29 RODO, zapisy szeregu ustaw szczególnych.
    • Żeby konkretny człowiek mógł mieć legalny dostęp do danych osobowych administrowanych przez naszą firmę, musi mieć do tego pisemne upoważnienie (tak samo jak adwokat występujący na rozprawie musi mieć pisemne pełnomocnictwo od osoby, którą reprezentuje).
    • Pisemne upoważnienie do przetwarzania danych podpisane przez Zarząd/ osobę upoważnioną przez Zarząd. Przy okazji dbamy oczywiście o to, żeby pracownika odpowiednio przeszkolić. Teoretycznie można to upoważnienie zawrzeć jako załącznik do umowy o pracę / współpracy. Ale gdyby pojawiła się potrzeba zmiany jego treści (co jest całkiem realne) to formalnie trzeba aneksować całą umowę. A to może generować „niespodzianki” typu „to może przy okazji jakaś podwyżka?” itp. Gdy upoważnienie jest osobnym dokumentem, jego aktualizacja czy zmiana wymaga jedynie doręczenia współpracownikowi nowej wersji.

    Oświadczenie o zachowaniu danych osobowych w tajemnicy

    • 5 ust. 2 RODO, art. 24 ust. 1 RODO, art. 28 ust. 3 lit. b) RODO
    • Wzmocnienie ochrony danych osobowych i wykazanie przed Urzędem Ochrony Danych Osobowych w razie kontroli (lub przed klientem Firmy, jeżeli spotka ją audyt np. ze strony podmiotu, który jej powierzył dane osobowe do przetwarzania), że coś robiliśmy, żeby dane osobowe chronić (zasada rozliczalności).
    • Pisemne oświadczenie, często stanowiące element upoważnienia do przetwarzania danych osobowych.

    Oświadczenie o zapoznaniu się z systemem ochrony danych osobowych

    • 5 ust. 2 RODO, Kodeks cywilny.
    • Wzmocnienie ochrony danych osobowych i wykazanie przed Urzędem Ochrony Danych Osobowych w razie kontroli, że firma podjęła konkretne działania, żeby dane osobowe chronić (zasada rozliczalności). Dokument absolutnie niezbędny do pociągnięcia pracownika/ współpracownika do odpowiedzialności dyscyplinarnej/ cywilnej/karnej w razie oczywistego łamania zasad ochrony danych.
    • Pisemne oświadczenie. Teoretycznie można by je umieścić jako załącznik do umowy o pracę/ współpracy, ale jakby trzeba było zaktualizować zasady ochrony danych (co jest immanentnie wbudowane w system i całkiem realne) to formalnie trzeba aneksować całą umowę. Gdy oświadczenie jest osobnym dokumentem, to przy drobnych zmianach można wysłać wiadomość e-mail w duchu „hej, pamiętasz, że obiecałeś przestrzegać naszych zasad ochrony danych osobowych? Właśnie je zaktualizowaliśmy”. Przy większych zmianach, można pokusić się o pobranie nowych oświadczeń.

    Umowa o zachowaniu poufności

    • Ustawa o zwalczaniu nieuczciwej konkurencji, kodeks cywilny.
    • Żeby chronić tajemnice przedsiębiorstwa (zarówno naszego jak i naszych klientów), które mogą (ale nie muszą) być danymi osobowymi (np. przepis na Coca-Colę nie zawiera danych osobowych, ale niewątpliwie jest tajemnicą przedsiębiorstwa).
    • Umowa NDA/ umowa o pracę (w art. 100 Kodeksu pracy wbudowany obowiązek zachowania tajemnicy).

    Sam związek danych osobowych („d.o.”) z danymi stanowiącymi tajemnicę przedsiębiorstwa („t.p.”) można zilustrować prostym diagramem Venn`a:

    Podsumowując

    Przedsiębiorcy mają do czynienia z różnymi wymogami prawnymi i biznesowymi. To szczególnie dotyczy tajemnicy przedsiębiorstwa, bo prawo formalnie nie zmusza np. firmy Coca Cola do trzymania przepisu na Coca Colę w tajemnicy. Słynna jest historia szwedzkiej firmy Volvo, która w 1959 wynalazła trzypunktowe pasy bezpieczeństwa do samochodów i stwierdziła że pomysł jest tak fenomenalnie dobry, że powinni go stosować wszyscy. Szwedzi pomysł opatentowali, ale oświadczyli ze każdy może z tego za darmo korzystać i dzisiaj stosują je wszyscy producenci aut – ku uciesze rzesz[1] ludzi, którzy dzięki nim przeżywają wypadki samochodowe.

    Opisane powyżej dokumenty są stosowane by realizować różne wymogi biznesowe i prawne. Z uwagi na fakt, że niektóre z nich są być relatywnie stałe (jak umowy NDA) a inne relatywnie zmienne (zakres upoważnienia do przetwarzania danych osobowych – który może ulegać zmianie przy każdej zmianie stanowiska, czy reorganizacji) to realizowane są w różny sposób. W żadnym niestety wypadku prawidłowa realizacja jednego z tych obowiązków nie pozwoli na uniknięcie zarzutu o brak realizacji innego.

     

    [1] Volvo na swojej stronie internetowej szacuje, że przez 60 lat stosowania trzypunktowych pasów bezpieczeństwa uratowały one życie milionowi ludzi: https://www.volvogroup.com/en/about-us/heritage/three-point-safety-belt.html [dostęp 14.07.2025 r.]

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Dane osobowe w kopiach zapasowych
    Olga Jaworowska

    Dane osobowe w kopiach zapasowych

    Po wejściu w życie RODO, administratorzy danych nie mają łatwego zadania – praktyczne wdrożenie przepisów unijnej regulacji jest bowiem czasochłonne i dotyka wielu sfer funkcjonowania firmy, w tym także w obszarze IT. Za przykład niech posłuży pionierska aplikacja na telefon za pomocą której można umawiać się na wizytę do usługodawców, takich jak zakłady fryzjerskie, czy […]

    Czytaj więcej
    Bartosz Migas

    BREXIT A RODO

    Proces opuszczania Unii Europejskiej przez Wielką Brytanię zwany potocznie brexitem stał się nie tylko doniosłym wydarzeniem polityczno-gospodarczym, ale także zapisał się w świadomości europejskiej opinii publicznej jako zjawisko popkultury (niejeden mem i żart oparty o brexitowe widowisko oblekł się w platynę).

    Czytaj więcej
    RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych
    Michał Sztąberek

    Zasady pracy zdalnej

    Biorąc pod uwagę to, że wiele firm (w tym nasi klienci) wybrało przejście w tryb pracy zdalnej, dzielimy się zaleceniami, co do zachowania środków bezpieczeństwa: Na komputerze wykorzystywanym do pracy powinien być zainstalowany program antywirusowy i firewall, które są na bieżąco aktualizowane Należy korzystać ze zaktualizowanych przeglądarek internetowych np. Firefox, Chrome lub Opera; analogicznie system […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki