Bernadet Gronowska, Jacek Rembikowski, Poznań 2013

Zgodnie z art. 37. Ustawy z dnia 29.08.1997 roku o ochronie danych osobowych, do przetwarzania danych osobowych mogą być dopuszczone jedynie osoby posiadające upoważnienie nadane przez Administratora Danych (Bank).

Jednocześnie art. 39 ust.1. Ustawy z dnia 29.08.1997roku o ochronie danych osobowych kładzie na Administratora Danych obowiązek prowadzenia ewidencji osób upoważnionych do przetwarzania danych, która powinna zawierać co najmniej:

1) imię i nazwisko osoby upoważnionej,

2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,

3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Zarówno dopuszczenie do przetwarzania danych osobowych osób posiadających upoważnienie, jak i prowadzenie ewidencji tych osób jest punktem wyjścia do spełnienia wymagania zawartego w art. 38. Ustawy z dnia 29.08.1997roku o ochronie danych osobowych, czyli zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Natomiast osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia (art. 39. ust. 2. Ustawy z dnia 29.08.1997roku o ochronie danych osobowych).

Jak widać, ustawodawca nie określa precyzyjnie, czy osoby dopuszczone do przetwarzania danych osobowych powinny być związane jakąkolwiek umową cywilno-prawną z Administratorem. O tym, kto ma być dopuszczony do przetwarzania decyduje sam Administrator danych mając na uwadze zarówno własną organizację, jak i wymagania przytoczone powyżej.

Stażyści kierowani do pracy w Banku przez Urzędy Pracy nie są związani bezpośrednio z Bankiem umową o pracę, jednak Bank posiada o nich informacje wystarczające do wystawienia upoważnienia i uzupełnienia ewidencji osób upoważnionych, a z uwagi na to, że trudno znaleźć czynności, które nie wiązałyby się z dostępem do danych osobowych klientów (Bank przetwarza je przecież zarówno w formie papierowej, jak i elektronicznej), trudno przyjąć zasadę niedopuszczenia tych osób do dostępu i przetwarzania danych osobowych.

Należy jednak zaznaczyć, iż o ile samo dopuszczenie do dostępu i przetwarzania danych osobowych stażystów może mieć miejsce, o tyle należy wnikliwie przeanalizować zakres, w jakim mogą być oni upoważnieni. Uwzględnić tu należy możliwość odejścia tych osób z banku po odbyciu stażu, zarówno z inicjatywy Banku, jak i ich samodzielnej decyzji. Konsekwencją tej oceny może być np. niedopuszczenie lub ograniczenie uprawnień w systemie informatycznym służącym do przetwarzania danych osobowych.

Bezwzględnie należy też dochować obowiązku pobierania oświadczeń o zachowaniu w tajemnicy przetwarzanych danych osobowych oraz sposobów ich zabezpieczenia w stosunku do wszystkich osób przetwarzających lub posiadających dostęp do danych, w tym stażystów.

Podobnie rzecz się ma w przypadku praktycznie wszystkich działań innych stron trzecich, pracujących na rzecz banku w ramach jego struktur organizacyjnych oraz na terenie banku – jest to dość istotne rozgraniczenie, bo nie każda strona trzecia musi mieć kontakt z danymi osobowymi.

Skoro zatem Ustawodawca nie precyzuje form współpracy jako warunku dopuszczenia do przetwarzania danych, poprawnym podejściem wydaje się być traktowanie każdej pracującej na rzecz banku osoby na tych samych prawach, na jakich funkcjonują etatowi pracownicy – oceniając bowiem zakres praw i obowiązków danej osoby (niezależnie od formy współpracy) i odnosząc go do wykonywania działań w ramach etatu otrzymamy zawsze poprawną odpowiedź czy dopuszczenie i stosowne oświadczenia są w danym przypadku i zakresie potrzebne, czy też nie.

Jeżeli bank zatrudnia osoby do utrzymania czystości, to z pewnością nie muszą mieć dopuszczenia, ale muszą podpisać oświadczenie o zachowaniu poufności. Jeżeli te osoby zastąpimy firmą sprzątającą zmieni się jedynie podmiot wykonujący ale zakres odpowiedzialności i dostępności danych pozostanie taki sam. Stażysta to zatem taki sam pracownik banku, tyle że najczęściej ze znacznie mniejszym doświadczeniem i z pewnością wymagający większego nadzoru i zakresu szkoleń, ale na tym różnice się kończą, tym bardziej, że często stażyści wspierają działania banku w okresach intensywnych działań lub okresach urlopowych, a więc zastępując chociażby częściowo pracowników banku.