iSecure logo
  • pl
  • en
    • Blog

    Upoważnienia, oświadczenia, umowy, procedury… jak nad tym zapanować i czym się różni wróbelek?

    Daniel Taberski
    Kategorie

    RODO nakłada na przedsiębiorców obowiązek wytworzenia i pilnowania szeregu dokumentów. Szczególnie dotknięte tymi obowiązkami są działy kadr, które muszą dopilnować doręczenia każdemu pracownikowi (czy współpracownikowi) całej paczki materiałów. Pomijając już temat stosowania list kontrolnych by nad tym tsunami papieru zapanować, chciałbym dzisiaj omówić czym właściwie te dokumenty się od siebie różnią i dlaczego posiadanie jednego z nich nie zwalnia z obowiązku posiadania drugiego. Przyjrzymy się zatem – ze szczególnym uwzględnieniem perspektywy firmy programistycznej – temu „Czym się różni wróbelek?”. A wróbelek różni się oczywiście tym (jak żartowano w czasach słusznie minionych), że ma jedną nóżkę bardziej.

    Przeanalizujemy się dzisiaj zatem dokumentom:

    • umowie o pracę/współpracę,
    • obowiązek informacyjny,
    • upoważnieniu do przetwarzania danych osobowych,
    • oświadczeniu o zachowaniu danych osobowych w poufności,
    • oświadczeniu o zapoznaniu się z dokumentacją ochrony danych osobowych,
    • umowie o obowiązku zachowania poufności (NDA),

    a nadto temu jak stosować w praktyce oraz kwestii, dlaczego wszystkie dzisiejsze samochody mają trzypunktowe pasy bezpieczeństwa?

    Umowa o pracę / współpracę

    • 29 § 2 kodeksu pracy, Kodeks cywilny
    • Reguluje warunki współpracy, stanowi podstawę stosunku prawnego który uzasadnia umożliwienie danej osobie dostępu danych osobowych przetwarzanych przez firmę.
    • Pisemna/ opatrzona kwalifikowanym podpisem elektronicznym umowa.

    Obowiązek informacyjny

    • 13 RODO
    • Informuje pracownika/ współpracownika kto i po co przetwarza jego dane osobowe.
    • Zazwyczaj załącznik do umowy o pracy/ współpracy. W razie potrzeby dokonania zmian, wystarczy w udokumentowany sposób doręczyć nową wersję.

    Pisemne upoważnienie do przetwarzania danych osobowych

    • 29 RODO, zapisy szeregu ustaw szczególnych.
    • Żeby konkretny człowiek mógł mieć legalny dostęp do danych osobowych administrowanych przez naszą firmę, musi mieć do tego pisemne upoważnienie (tak samo jak adwokat występujący na rozprawie musi mieć pisemne pełnomocnictwo od osoby, którą reprezentuje).
    • Pisemne upoważnienie do przetwarzania danych podpisane przez Zarząd/ osobę upoważnioną przez Zarząd. Przy okazji dbamy oczywiście o to, żeby pracownika odpowiednio przeszkolić. Teoretycznie można to upoważnienie zawrzeć jako załącznik do umowy o pracę / współpracy. Ale gdyby pojawiła się potrzeba zmiany jego treści (co jest całkiem realne) to formalnie trzeba aneksować całą umowę. A to może generować „niespodzianki” typu „to może przy okazji jakaś podwyżka?” itp. Gdy upoważnienie jest osobnym dokumentem, jego aktualizacja czy zmiana wymaga jedynie doręczenia współpracownikowi nowej wersji.

    Oświadczenie o zachowaniu danych osobowych w tajemnicy

    • 5 ust. 2 RODO, art. 24 ust. 1 RODO, art. 28 ust. 3 lit. b) RODO
    • Wzmocnienie ochrony danych osobowych i wykazanie przed Urzędem Ochrony Danych Osobowych w razie kontroli (lub przed klientem Firmy, jeżeli spotka ją audyt np. ze strony podmiotu, który jej powierzył dane osobowe do przetwarzania), że coś robiliśmy, żeby dane osobowe chronić (zasada rozliczalności).
    • Pisemne oświadczenie, często stanowiące element upoważnienia do przetwarzania danych osobowych.

    Oświadczenie o zapoznaniu się z systemem ochrony danych osobowych

    • 5 ust. 2 RODO, Kodeks cywilny.
    • Wzmocnienie ochrony danych osobowych i wykazanie przed Urzędem Ochrony Danych Osobowych w razie kontroli, że firma podjęła konkretne działania, żeby dane osobowe chronić (zasada rozliczalności). Dokument absolutnie niezbędny do pociągnięcia pracownika/ współpracownika do odpowiedzialności dyscyplinarnej/ cywilnej/karnej w razie oczywistego łamania zasad ochrony danych.
    • Pisemne oświadczenie. Teoretycznie można by je umieścić jako załącznik do umowy o pracę/ współpracy, ale jakby trzeba było zaktualizować zasady ochrony danych (co jest immanentnie wbudowane w system i całkiem realne) to formalnie trzeba aneksować całą umowę. Gdy oświadczenie jest osobnym dokumentem, to przy drobnych zmianach można wysłać wiadomość e-mail w duchu „hej, pamiętasz, że obiecałeś przestrzegać naszych zasad ochrony danych osobowych? Właśnie je zaktualizowaliśmy”. Przy większych zmianach, można pokusić się o pobranie nowych oświadczeń.

    Umowa o zachowaniu poufności

    • Ustawa o zwalczaniu nieuczciwej konkurencji, kodeks cywilny.
    • Żeby chronić tajemnice przedsiębiorstwa (zarówno naszego jak i naszych klientów), które mogą (ale nie muszą) być danymi osobowymi (np. przepis na Coca-Colę nie zawiera danych osobowych, ale niewątpliwie jest tajemnicą przedsiębiorstwa).
    • Umowa NDA/ umowa o pracę (w art. 100 Kodeksu pracy wbudowany obowiązek zachowania tajemnicy).

    Sam związek danych osobowych („d.o.”) z danymi stanowiącymi tajemnicę przedsiębiorstwa („t.p.”) można zilustrować prostym diagramem Venn`a:

    Podsumowując

    Przedsiębiorcy mają do czynienia z różnymi wymogami prawnymi i biznesowymi. To szczególnie dotyczy tajemnicy przedsiębiorstwa, bo prawo formalnie nie zmusza np. firmy Coca Cola do trzymania przepisu na Coca Colę w tajemnicy. Słynna jest historia szwedzkiej firmy Volvo, która w 1959 wynalazła trzypunktowe pasy bezpieczeństwa do samochodów i stwierdziła że pomysł jest tak fenomenalnie dobry, że powinni go stosować wszyscy. Szwedzi pomysł opatentowali, ale oświadczyli ze każdy może z tego za darmo korzystać i dzisiaj stosują je wszyscy producenci aut – ku uciesze rzesz[1] ludzi, którzy dzięki nim przeżywają wypadki samochodowe.

    Opisane powyżej dokumenty są stosowane by realizować różne wymogi biznesowe i prawne. Z uwagi na fakt, że niektóre z nich są być relatywnie stałe (jak umowy NDA) a inne relatywnie zmienne (zakres upoważnienia do przetwarzania danych osobowych – który może ulegać zmianie przy każdej zmianie stanowiska, czy reorganizacji) to realizowane są w różny sposób. W żadnym niestety wypadku prawidłowa realizacja jednego z tych obowiązków nie pozwoli na uniknięcie zarzutu o brak realizacji innego.

     

    [1] Volvo na swojej stronie internetowej szacuje, że przez 60 lat stosowania trzypunktowych pasów bezpieczeństwa uratowały one życie milionowi ludzi: https://www.volvogroup.com/en/about-us/heritage/three-point-safety-belt.html [dostęp 14.07.2025 r.]

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Przemysław Siarka

    Weryfikacja przestrzegania przepisów dotyczących inspektora ochrony danych – Norwegia

    W ostatnich miesiąca nie cichną komentarze po kontroli przeprowadzonej przez UODO w zakresie sprawdzenia sposobu działań IOD-ów, na podstawie listy 27 pytań. Ich treść można poznać na stronie Urzędu (link: https://uodo.gov.pl/pl/138/2336), a także na naszym blogu (link: https://www.isecure.pl/blog/uodo-sprawdza-jak-pracuje-iod-czyli-o-co-chodzi-z-lista-27-pytan/). Z ciekawości przejrzałem strony innych organów ochrony danych osobowych i interesujące wyniki swojej kontroli/ankiety przedstawił w ubiegłym […]

    Czytaj więcej
    Maciej Łukaszewicz

    Zbycie / pozyskanie przedsiębiorstwa a obowiązki wynikające z RODO

    Wstęp Zbycie przedsiębiorstwa lub jego części jest powszechną formą transakcji handlowej obejmującą przeniesienie własności przedsiębiorstwa wraz z jego aktywami z jednego podmiotu na drugim. Sam proces sprzedaży przedsiębiorstwa jest skomplikowanym, wielowątkowym procesem prawnym. Niemniej, w niniejszym artykule postaramy się odpowiedzieć na pytanie, w jaki sposób podczas transakcji zbycia przedsiębiorstwa zadbać o przetwarzanie danych osobowych zgodnie […]

    Czytaj więcej
    Katarzyna Ułasiuk-Delamare

    Wybrane kary organów ochrony danych osobowych w UE w obszarze marketingu elektronicznego lub telefonicznego

    Z doświadczenia wiemy, że branża e-commerce cechuje się dużą dynamiką, jeżeli chodzi o procesy przetwarzania danych osobowych. Ze względu na nie jest też często bardziej wyeksponowana na ryzyko niezgodności z RODO. Specjalnie dla Was przygotowałam zestawienie kilku wybranych kar organów ochrony danych z krajów UE. Nie zawsze zostały one nakładane na podmioty z branży e-commerce, […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki