Czy upoważnienie do przetwarzania danych osobowych musi zawierać informację o karze za naruszenie obowiązku przetwarzania danych osobowych?

Nie ma prawnego obowiązku, który wskazywałby, że upoważnienie do przetwarzania danych osobowych musi zawierać informację o karze za naruszenie obowiązku przetwarzania danych osobowych.

Uzasadnienie

Zgodnie z art. 32 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) administrator zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa w aspekcie zdefiniowanych ryzyk. Jednym z zabezpieczeń organizacyjnych jest wydawanie upoważnień do przetwarzania danych osobowych. Prawodawca nie określił jednak zakresu treści, jakie powinny znaleźć się w tym dokumencie. W związku z powyższym nie ma prawnego obowiązku, który wskazywałby, że upoważnienie do przetwarzania danych osobowych musi zawierać informację o karze za naruszenie obowiązku przetwarzania danych osobowych. Warto jednak odebrać od pracownika czy zleceniobiorcy oświadczenie, w którym dana osoba potwierdza, iż została zapoznana z aktualnymi przepisami prawa, regulacjami przyjętymi u administratora a także zobowiązuje się do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczeń również po odwołaniu upoważnienia, a także ustaniu stosunku pracy/rozwiązaniu umowy/zakończeniu realizacji zadań związanych z przetwarzaniem danych osobowych.