iSecure logo
  • pl
  • en
    • Blog

    Upoważnienia, oświadczenia, umowy, procedury… jak nad tym zapanować i czym się różni wróbelek?

    Daniel Taberski
    Kategorie

    RODO nakłada na przedsiębiorców obowiązek wytworzenia i pilnowania szeregu dokumentów. Szczególnie dotknięte tymi obowiązkami są działy kadr, które muszą dopilnować doręczenia każdemu pracownikowi (czy współpracownikowi) całej paczki materiałów. Pomijając już temat stosowania list kontrolnych by nad tym tsunami papieru zapanować, chciałbym dzisiaj omówić czym właściwie te dokumenty się od siebie różnią i dlaczego posiadanie jednego z nich nie zwalnia z obowiązku posiadania drugiego. Przyjrzymy się zatem – ze szczególnym uwzględnieniem perspektywy firmy programistycznej – temu „Czym się różni wróbelek?”. A wróbelek różni się oczywiście tym (jak żartowano w czasach słusznie minionych), że ma jedną nóżkę bardziej.

    Przeanalizujemy się dzisiaj zatem dokumentom:

    • umowie o pracę/współpracę,
    • obowiązek informacyjny,
    • upoważnieniu do przetwarzania danych osobowych,
    • oświadczeniu o zachowaniu danych osobowych w poufności,
    • oświadczeniu o zapoznaniu się z dokumentacją ochrony danych osobowych,
    • umowie o obowiązku zachowania poufności (NDA),

    a nadto temu jak stosować w praktyce oraz kwestii, dlaczego wszystkie dzisiejsze samochody mają trzypunktowe pasy bezpieczeństwa?

    Umowa o pracę / współpracę

    • 29 § 2 kodeksu pracy, Kodeks cywilny
    • Reguluje warunki współpracy, stanowi podstawę stosunku prawnego który uzasadnia umożliwienie danej osobie dostępu danych osobowych przetwarzanych przez firmę.
    • Pisemna/ opatrzona kwalifikowanym podpisem elektronicznym umowa.

    Obowiązek informacyjny

    • 13 RODO
    • Informuje pracownika/ współpracownika kto i po co przetwarza jego dane osobowe.
    • Zazwyczaj załącznik do umowy o pracy/ współpracy. W razie potrzeby dokonania zmian, wystarczy w udokumentowany sposób doręczyć nową wersję.

    Pisemne upoważnienie do przetwarzania danych osobowych

    • 29 RODO, zapisy szeregu ustaw szczególnych.
    • Żeby konkretny człowiek mógł mieć legalny dostęp do danych osobowych administrowanych przez naszą firmę, musi mieć do tego pisemne upoważnienie (tak samo jak adwokat występujący na rozprawie musi mieć pisemne pełnomocnictwo od osoby, którą reprezentuje).
    • Pisemne upoważnienie do przetwarzania danych podpisane przez Zarząd/ osobę upoważnioną przez Zarząd. Przy okazji dbamy oczywiście o to, żeby pracownika odpowiednio przeszkolić. Teoretycznie można to upoważnienie zawrzeć jako załącznik do umowy o pracę / współpracy. Ale gdyby pojawiła się potrzeba zmiany jego treści (co jest całkiem realne) to formalnie trzeba aneksować całą umowę. A to może generować „niespodzianki” typu „to może przy okazji jakaś podwyżka?” itp. Gdy upoważnienie jest osobnym dokumentem, jego aktualizacja czy zmiana wymaga jedynie doręczenia współpracownikowi nowej wersji.

    Oświadczenie o zachowaniu danych osobowych w tajemnicy

    • 5 ust. 2 RODO, art. 24 ust. 1 RODO, art. 28 ust. 3 lit. b) RODO
    • Wzmocnienie ochrony danych osobowych i wykazanie przed Urzędem Ochrony Danych Osobowych w razie kontroli (lub przed klientem Firmy, jeżeli spotka ją audyt np. ze strony podmiotu, który jej powierzył dane osobowe do przetwarzania), że coś robiliśmy, żeby dane osobowe chronić (zasada rozliczalności).
    • Pisemne oświadczenie, często stanowiące element upoważnienia do przetwarzania danych osobowych.

    Oświadczenie o zapoznaniu się z systemem ochrony danych osobowych

    • 5 ust. 2 RODO, Kodeks cywilny.
    • Wzmocnienie ochrony danych osobowych i wykazanie przed Urzędem Ochrony Danych Osobowych w razie kontroli, że firma podjęła konkretne działania, żeby dane osobowe chronić (zasada rozliczalności). Dokument absolutnie niezbędny do pociągnięcia pracownika/ współpracownika do odpowiedzialności dyscyplinarnej/ cywilnej/karnej w razie oczywistego łamania zasad ochrony danych.
    • Pisemne oświadczenie. Teoretycznie można by je umieścić jako załącznik do umowy o pracę/ współpracy, ale jakby trzeba było zaktualizować zasady ochrony danych (co jest immanentnie wbudowane w system i całkiem realne) to formalnie trzeba aneksować całą umowę. Gdy oświadczenie jest osobnym dokumentem, to przy drobnych zmianach można wysłać wiadomość e-mail w duchu „hej, pamiętasz, że obiecałeś przestrzegać naszych zasad ochrony danych osobowych? Właśnie je zaktualizowaliśmy”. Przy większych zmianach, można pokusić się o pobranie nowych oświadczeń.

    Umowa o zachowaniu poufności

    • Ustawa o zwalczaniu nieuczciwej konkurencji, kodeks cywilny.
    • Żeby chronić tajemnice przedsiębiorstwa (zarówno naszego jak i naszych klientów), które mogą (ale nie muszą) być danymi osobowymi (np. przepis na Coca-Colę nie zawiera danych osobowych, ale niewątpliwie jest tajemnicą przedsiębiorstwa).
    • Umowa NDA/ umowa o pracę (w art. 100 Kodeksu pracy wbudowany obowiązek zachowania tajemnicy).

    Sam związek danych osobowych („d.o.”) z danymi stanowiącymi tajemnicę przedsiębiorstwa („t.p.”) można zilustrować prostym diagramem Venn`a:

    Podsumowując

    Przedsiębiorcy mają do czynienia z różnymi wymogami prawnymi i biznesowymi. To szczególnie dotyczy tajemnicy przedsiębiorstwa, bo prawo formalnie nie zmusza np. firmy Coca Cola do trzymania przepisu na Coca Colę w tajemnicy. Słynna jest historia szwedzkiej firmy Volvo, która w 1959 wynalazła trzypunktowe pasy bezpieczeństwa do samochodów i stwierdziła że pomysł jest tak fenomenalnie dobry, że powinni go stosować wszyscy. Szwedzi pomysł opatentowali, ale oświadczyli ze każdy może z tego za darmo korzystać i dzisiaj stosują je wszyscy producenci aut – ku uciesze rzesz[1] ludzi, którzy dzięki nim przeżywają wypadki samochodowe.

    Opisane powyżej dokumenty są stosowane by realizować różne wymogi biznesowe i prawne. Z uwagi na fakt, że niektóre z nich są być relatywnie stałe (jak umowy NDA) a inne relatywnie zmienne (zakres upoważnienia do przetwarzania danych osobowych – który może ulegać zmianie przy każdej zmianie stanowiska, czy reorganizacji) to realizowane są w różny sposób. W żadnym niestety wypadku prawidłowa realizacja jednego z tych obowiązków nie pozwoli na uniknięcie zarzutu o brak realizacji innego.

     

    [1] Volvo na swojej stronie internetowej szacuje, że przez 60 lat stosowania trzypunktowych pasów bezpieczeństwa uratowały one życie milionowi ludzi: https://www.volvogroup.com/en/about-us/heritage/three-point-safety-belt.html [dostęp 14.07.2025 r.]

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Maria Lothamer

    Wykorzystywanie prywatnego komputera w celach służbowych – jak uregulować?

    Korzystanie z prywatnego komputera do celów służbowych jest dość powszechne, zwłaszcza w przypadku osób pracujących zdalnie lub prowadzących własne firmy (współpracujących na podstawie kontraktów B2B). Jest to praktyka, która pozwala pracownikom na używanie swojego prywatnego sprzętu do wykonywania obowiązków związanych z wykonywaniem obowiązków służbowych. Przedsiębiorca powinien tę kwestię uregulować w swojej organizacji i albo zakazać takiej praktyki, albo dopuścić, ale pod pewnymi warunkami.

    Czytaj więcej
    Obowiązki informacyjne przedsiębiorcy zawierającego umowy na odległość drogą elektroniczną…
    Agnieszka Rapcewicz

    Kiedy procesor staje się administratorem?

    Czy w toku obowiązywania umowy powierzenia przetwarzania danych osobowych procesor może jednocześnie pełnić rolę administratora? Czy po rozwiązaniu umowy powierzenia procesor może stać się administratorem danych osobowych, które wcześniej przetwarzał wyłącznie w imieniu innego podmiotu? Odpowiedzi na te pytania mają istotne znaczenie dla określenia obowiązków i potencjalnej odpowiedzialności podmiotów biorących udział w procesie przetwarzania danych osobowych. […]

    Czytaj więcej
    Nina Zacharska

    Naruszenie ochrony danych – czym jest i jak sobie z nim poradzić?

    Naruszenia ochrony danych osobowych to temat budzący niepokój wśród administratorów danych, inspektorów ochrony danych czy pracowników organizacji. Jak sobie z nimi poradzić, jakie kroki podjąć, czy formalności związane z naruszeniami są skomplikowane? Na te pytania odpowiem krótko w poniższym artykule. Zgodnie z RODO „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki
    UWAGA!
    Informujemy, że w ostatnim czasie pojawiły się przypadki podszywania się pod naszą firmę. Oszuści wykorzystują naszą nazwę, adres, NIP oraz logo, wysyłając fałszywe faktury z nieprawidłowym numerem rachunku bankowego.
    ⚠️ Prosimy o zachowanie szczególnej ostrożności i dokładne weryfikowanie danych nadawcy oraz numeru konta przed dokonaniem płatności.
    Prawdziwe faktury wystawiane przez iSecure zawsze zawierają numer konta: PL62 1140 2004 0000 3202 7863 9118 (dla płatności w PLN) bądź PL17 1140 2004 0000 3612 0768 4683 (dla płatności w EUR).
    W razie wątpliwości prosimy o kontakt pod adresem: kontakt@isecure.pl
    Dziękujemy za czujność i współpracę.