Czy po 4 maja 2019 r. administrator danych osobowych musi nadać nowe upoważnienia członkom komisji ZFŚS, z których wynikać będzie, że wskazane osoby przetwarzają dane szczególnej kategorii?

Nie ma wymogu, by Administrator nadawał nowe upoważnienia do przetwarzania danych osobowych członkom komisji ZFŚS, jeśli już wcześniej zagwarantował odpowiednie upoważnienia tj. osoba działająca z upoważnienia Administratora i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie Administratora w zakresie wydanego upoważnienia. Należy zwrócić uwagę, że w upoważnieniu do przetwarzania danych osobowych musi być wskazane prawo do przetwarzania danych osobowych dotyczących zdrowia.

Uzasadnienie

Od dnia 4 maja 2019 r. obowiązują przepisy prawa dodanego art. 8 ust. 1b ustawy z 4 marca 1994 r., o zakładowym funduszu świadczeń socjalnych (Dz.U. z 2019 r. poz. 1352), - do przetwarzania danych osobowych dotyczących zdrowia, o których mowa w art. 9 ust. 1 Rozporządzenia Parlamentu Europejskiego i  Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w  związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1), mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy.

Interpretując powyższy przepis, zwrot "takich danych" wskazuje, że z nadanego upoważnienia powinno wprost wynikać uprawnienie do przetwarzania danych osobowych dotyczących stanu zdrowia. W sytuacji, gdy pracodawca w wewnętrznych dokumentach (np. rejestr czynności przetwarzania) dokonuje pogrupowania przetwarzanych danych osobowych na procesy i określa w nich rodzaj i kategorie danych osobowych przetwarzanych u Administratora, przy czym z dokumentów jasno wynika, że do konkretnej grupy (procesu) należą także dane osobowe dotyczące zdrowia, przetwarzane w związku z działalnością socjalną pracodawcy, wówczas poprzez wskazanie w treści pisemnego upoważnienia konkretnej grupy (procesu) danych osobowych, pośrednio wynika również przetwarzanie danych dotyczących zdrowia, zgodnie z wymogiem art. 8 ust. 1b ustawy o zakładowym funduszu świadczeń socjalnych.