Czy pracownicy komórki do spraw zapewnienia zgodności powinni mieć wydane upoważnienia do przetwarzania danych osobowych?

Czy pracownicy komórki do spraw zapewnienia zgodności powinni mieć wydane upoważnienia do przetwarzania danych osobowych?

Zgodnie z rekomendacją 12.6 Rekomendacji H KNF zarząd banku powinien zapewnić odpowiednio szeroki dostęp do danych osobowych pracownikom komórki ds. zapewnienia zgodności. Artykuł 29 RODO natomiast mówi, że każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego (przyjmujemy, że upoważnienie jest jednym ze środków organizacyjnych, którego celem jest zapewnienie przez administratora odpowiedniej kontroli nad procesem ich przetwarzania). UODO wskazuje w swoim stanowisku, że dla IOD administrator powinien nadać upoważnienie, jeżeli zdecyduje się na ich wydawanie jako jeden ze środków organizacyjnych zapewniających kontrolę nad ich przetwarzaniem (https://uodo.gov.pl/pl/225/1939).

Czy takie upoważnienia (w tym w zakresie dostępu do danych, o których mowa w art. 9 ust. 1 RODO) powinni mieć nadane pracownicy komórki kontroli wewnętrznej funkcjonującej obok komórki ds. zapewniania zgodności?