Czy pracownicy działów kadr powinni posiadać upoważnienia wydane przez pracodawcę - zgodnie z art. 37 ustawy o ochronie danych osobowych - oraz czy należy osoby takie ujmować w ewidencji, o której mowa w art. 39 ustawy?

 

Art. 37 ustawy o ochronie danych osobowych przewiduje, że do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Przepis ten nie przewiduje żadnych wyłączeń, dlatego też powyższy obowiązek dotyczy administratorów w stosunku do wszystkich grup pracowników, o ile tylko praca tych osób związana jest z wykorzystywaniem danych osobowych.

 

To samo dotyczy obowiązku prowadzenia ewidencji osób upoważnionych do przetwarzania danych, o której mowa w art. 39 ustawy. Ewidencja ta powinna zawierać imiona i nazwiska wszystkich osób upoważnionych przez administratora do wykorzystywania danych osobowych, daty nadania i ustania oraz zakres upoważnień do przetwarzania danych oraz identyfikatory odnośnie tych osób, które dopuszczone zostały do przetwarzania danych w systemach informatycznych.

 

W związku z powyższym pracownicy działów kadr nie stanowią szczególnej grupy, wobec której administrator zwolniony byłby z obowiązku określonego w art. 37 oraz 39 ustawy o ochronie danych osobowych; muszą oni posiadać stosowne upoważnienia do przetwarzania danych oraz być uwzględnieni w ewidencji prowadzonej przez administratora danych.