iSecure logo
  • pl
  • en
    • Blog

    Upoważnienia, oświadczenia, umowy, procedury… jak nad tym zapanować i czym się różni wróbelek?

    Daniel Taberski
    Kategorie

    RODO nakłada na przedsiębiorców obowiązek wytworzenia i pilnowania szeregu dokumentów. Szczególnie dotknięte tymi obowiązkami są działy kadr, które muszą dopilnować doręczenia każdemu pracownikowi (czy współpracownikowi) całej paczki materiałów. Pomijając już temat stosowania list kontrolnych by nad tym tsunami papieru zapanować, chciałbym dzisiaj omówić czym właściwie te dokumenty się od siebie różnią i dlaczego posiadanie jednego z nich nie zwalnia z obowiązku posiadania drugiego. Przyjrzymy się zatem – ze szczególnym uwzględnieniem perspektywy firmy programistycznej – temu „Czym się różni wróbelek?”. A wróbelek różni się oczywiście tym (jak żartowano w czasach słusznie minionych), że ma jedną nóżkę bardziej.

    Przeanalizujemy się dzisiaj zatem dokumentom:

    • umowie o pracę/współpracę,
    • obowiązek informacyjny,
    • upoważnieniu do przetwarzania danych osobowych,
    • oświadczeniu o zachowaniu danych osobowych w poufności,
    • oświadczeniu o zapoznaniu się z dokumentacją ochrony danych osobowych,
    • umowie o obowiązku zachowania poufności (NDA),

    a nadto temu jak stosować w praktyce oraz kwestii, dlaczego wszystkie dzisiejsze samochody mają trzypunktowe pasy bezpieczeństwa?

    Umowa o pracę / współpracę

    • 29 § 2 kodeksu pracy, Kodeks cywilny
    • Reguluje warunki współpracy, stanowi podstawę stosunku prawnego który uzasadnia umożliwienie danej osobie dostępu danych osobowych przetwarzanych przez firmę.
    • Pisemna/ opatrzona kwalifikowanym podpisem elektronicznym umowa.

    Obowiązek informacyjny

    • 13 RODO
    • Informuje pracownika/ współpracownika kto i po co przetwarza jego dane osobowe.
    • Zazwyczaj załącznik do umowy o pracy/ współpracy. W razie potrzeby dokonania zmian, wystarczy w udokumentowany sposób doręczyć nową wersję.

    Pisemne upoważnienie do przetwarzania danych osobowych

    • 29 RODO, zapisy szeregu ustaw szczególnych.
    • Żeby konkretny człowiek mógł mieć legalny dostęp do danych osobowych administrowanych przez naszą firmę, musi mieć do tego pisemne upoważnienie (tak samo jak adwokat występujący na rozprawie musi mieć pisemne pełnomocnictwo od osoby, którą reprezentuje).
    • Pisemne upoważnienie do przetwarzania danych podpisane przez Zarząd/ osobę upoważnioną przez Zarząd. Przy okazji dbamy oczywiście o to, żeby pracownika odpowiednio przeszkolić. Teoretycznie można to upoważnienie zawrzeć jako załącznik do umowy o pracę / współpracy. Ale gdyby pojawiła się potrzeba zmiany jego treści (co jest całkiem realne) to formalnie trzeba aneksować całą umowę. A to może generować „niespodzianki” typu „to może przy okazji jakaś podwyżka?” itp. Gdy upoważnienie jest osobnym dokumentem, jego aktualizacja czy zmiana wymaga jedynie doręczenia współpracownikowi nowej wersji.

    Oświadczenie o zachowaniu danych osobowych w tajemnicy

    • 5 ust. 2 RODO, art. 24 ust. 1 RODO, art. 28 ust. 3 lit. b) RODO
    • Wzmocnienie ochrony danych osobowych i wykazanie przed Urzędem Ochrony Danych Osobowych w razie kontroli (lub przed klientem Firmy, jeżeli spotka ją audyt np. ze strony podmiotu, który jej powierzył dane osobowe do przetwarzania), że coś robiliśmy, żeby dane osobowe chronić (zasada rozliczalności).
    • Pisemne oświadczenie, często stanowiące element upoważnienia do przetwarzania danych osobowych.

    Oświadczenie o zapoznaniu się z systemem ochrony danych osobowych

    • 5 ust. 2 RODO, Kodeks cywilny.
    • Wzmocnienie ochrony danych osobowych i wykazanie przed Urzędem Ochrony Danych Osobowych w razie kontroli, że firma podjęła konkretne działania, żeby dane osobowe chronić (zasada rozliczalności). Dokument absolutnie niezbędny do pociągnięcia pracownika/ współpracownika do odpowiedzialności dyscyplinarnej/ cywilnej/karnej w razie oczywistego łamania zasad ochrony danych.
    • Pisemne oświadczenie. Teoretycznie można by je umieścić jako załącznik do umowy o pracę/ współpracy, ale jakby trzeba było zaktualizować zasady ochrony danych (co jest immanentnie wbudowane w system i całkiem realne) to formalnie trzeba aneksować całą umowę. Gdy oświadczenie jest osobnym dokumentem, to przy drobnych zmianach można wysłać wiadomość e-mail w duchu „hej, pamiętasz, że obiecałeś przestrzegać naszych zasad ochrony danych osobowych? Właśnie je zaktualizowaliśmy”. Przy większych zmianach, można pokusić się o pobranie nowych oświadczeń.

    Umowa o zachowaniu poufności

    • Ustawa o zwalczaniu nieuczciwej konkurencji, kodeks cywilny.
    • Żeby chronić tajemnice przedsiębiorstwa (zarówno naszego jak i naszych klientów), które mogą (ale nie muszą) być danymi osobowymi (np. przepis na Coca-Colę nie zawiera danych osobowych, ale niewątpliwie jest tajemnicą przedsiębiorstwa).
    • Umowa NDA/ umowa o pracę (w art. 100 Kodeksu pracy wbudowany obowiązek zachowania tajemnicy).

    Sam związek danych osobowych („d.o.”) z danymi stanowiącymi tajemnicę przedsiębiorstwa („t.p.”) można zilustrować prostym diagramem Venn`a:

    Podsumowując

    Przedsiębiorcy mają do czynienia z różnymi wymogami prawnymi i biznesowymi. To szczególnie dotyczy tajemnicy przedsiębiorstwa, bo prawo formalnie nie zmusza np. firmy Coca Cola do trzymania przepisu na Coca Colę w tajemnicy. Słynna jest historia szwedzkiej firmy Volvo, która w 1959 wynalazła trzypunktowe pasy bezpieczeństwa do samochodów i stwierdziła że pomysł jest tak fenomenalnie dobry, że powinni go stosować wszyscy. Szwedzi pomysł opatentowali, ale oświadczyli ze każdy może z tego za darmo korzystać i dzisiaj stosują je wszyscy producenci aut – ku uciesze rzesz[1] ludzi, którzy dzięki nim przeżywają wypadki samochodowe.

    Opisane powyżej dokumenty są stosowane by realizować różne wymogi biznesowe i prawne. Z uwagi na fakt, że niektóre z nich są być relatywnie stałe (jak umowy NDA) a inne relatywnie zmienne (zakres upoważnienia do przetwarzania danych osobowych – który może ulegać zmianie przy każdej zmianie stanowiska, czy reorganizacji) to realizowane są w różny sposób. W żadnym niestety wypadku prawidłowa realizacja jednego z tych obowiązków nie pozwoli na uniknięcie zarzutu o brak realizacji innego.

     

    [1] Volvo na swojej stronie internetowej szacuje, że przez 60 lat stosowania trzypunktowych pasów bezpieczeństwa uratowały one życie milionowi ludzi: https://www.volvogroup.com/en/about-us/heritage/three-point-safety-belt.html [dostęp 14.07.2025 r.]

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Gdy nastąpił wyciek danych
    Przemysław Siarka

    Czy chronisz swoje dane w chmurze?

    Ułatwienie pracy czy jedynie większe ryzyko otrzymania kary? Praca w środowisku chmurowym może zaoferować organizacjom wiele korzyści, jak również niesie ze sobą wiele niebezpieczeństw, np.: – możliwość przechwycenia kont pracowników, – nieuprawniony dostęp do danych znajdujących się w chmurze, – nieautoryzowane zmiany czy utrata plików, – inne naruszenia ochrony danych osobowych. Wprowadzając odpowiednie polityki oraz […]

    Czytaj więcej
    Karolina Żebrowska

    UODO sprawdza jak pracuje IOD – czyli o co chodzi z listą 27 pytań

    Prezes Urzędu Ochrony Danych Osobowych opublikował dnia 30.03.2022 r. listę pytań jakie zamierza skierować do administratorów oraz podmiotów przetwarzających w zakresie ustalenia poprawności powołania Inspektora Ochrony Danych (IOD) oraz prawidłowości wykonywanych przez niego zadań. Jak podaje UODO w swoim komunikacie, prowadzone przez niego od początku obowiązywania RODO postępowania, często inicjowane na skutek zgłaszanych przypadków nieprzestrzegania […]

    Czytaj więcej
    Nina Zacharska

    Jak realizować żądania podmiotów danych zgodnie z RODO? Praktyczne wskazówki

    W obliczu dynamicznego rozwoju technologii i cyfrowego przekształcenia współczesnego społeczeństwa, ochrona danych osobowych przyjęła nową, kluczową rolę. Ogólne rozporządzenie o ochronie danych (RODO), wprowadzone w maju 2018 roku, ustala ramy i zasady dotyczące gromadzenia, przetwarzania oraz przechowywania danych osobowych w Unii Europejskiej. Jednym z centralnych elementów RODO są prawa podmiotów danych do składania żądań dotyczących […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki