Co o upoważnieniach mówi RODO?

Ogólne Rozporządzenie o ochronie danych osobowych (RODO) określa wiele spraw dotyczących przetwarzania danych osobowych na terenie Unii Europejskiej. Jedną z kwestii określonych przez RODO jest przetwarzanie danych osobowych z upoważnienia administratora danych lub podmiotu przetwarzającego i zostało zawarte w art. 29 RODO, który jest bodaj najkrótszym przepisem tego rozporządzenia:

„Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.” (art. 29 RODO)

Przepis ten zawarty jest w jednym zdaniu, mimo to jednoznacznie określa, że dane osobowe mogą być przetwarzane wyłącznie na polecenie administratora danych bez względu na to czy dane są przetwarzane przez osobę działającą z upoważnienia administratora czy też przez podmiot przetwarzający. Stanowisko to potwierdza Dyrektywa 95/46/WE:

„Żadna osoba działająca z upoważnienia administratora danych lub przetwarzającego, włączając samego przetwarzającego, który ma dostęp do danych osobowych, nie może przetwarzać ich bez polecenia administratora danych, chyba że wymaga tego prawo.” (art. 16 Dyrektywy 95/46/WE)

Z przepisów tych wynika jednoznacznie, że osoba przetwarzająca dane osobowe powinna zostać do tego uprzednio upoważniona. Przetwarzanie bez upoważnienia należy traktować jako przetwarzanie bez prawne lub niezgodne z prawem. Przepisy RODO ani innych aktów prawnych nie określają jednoznacznie, że upoważnienie takie powinno zostać sporządzone na piśmie. Zasada rozliczalności, która jest jedną z najistotniejszych zasad stosowanych w trakcie przetwarzania danych osobowych nie pozostawia złudzeń. Jedynym możliwym sposobem, nie pozostawiającym wątpliwości co do możliwości potwierdzenia istnienia upoważnienia, doprecyzowania zakresu danych i okresu na jaki upoważnienie zostało nadane jest zastosowanie formy pisemnej upoważnienia. Dzięki zachowaniu formy pisemnej administrator jest w stanie udokumentować spełnienie obowiązku określonego w art. 29 RODO, że każda osoba działająca z upoważnienia administratora przetwarza dane osobowe wyłącznie na jego polecenie.

Ustęp 4 art. 32 RODO również obliguje podmiot przetwarzający i administratora by każda osoba fizyczna, która działa z jego upoważnienia i ma dostęp do danych osobowych przetwarzała je wyłącznie na polecenie i w celach określonych przez administratora.

Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.(art. 32 ust. 4 RODO)

Przeanalizowanie orzecznictwa pozwala upewnić się, że powyższe stanowisko jest prawidłowe. W uzasadnieniu do wyroku z dnia 4-042017 r., sygn. akt II PK 37/16, Sąd Najwyższy – Izba Pracy, Ubezpieczeń Społecznych i Spraw Publicznych wskazał m.in. że:

„Pracownik, który przetwarza dane osobowe poza zakresem upoważnienia udzielonego przez administratora, dopuszcza się ciężkiego naruszenia podstawowych obowiązków pracowniczych, nawet gdy zachowuje poufność danych”. (sygn. akt II PK 37/16)

Co powinno zawierać upoważnienie do przetwarzania danych osobowych?

RODO nie określa jednoznacznie formy upoważnienia. Upoważnienie należy dostosować do potrzeb administratora, mając na względzie przede wszystkim bezpieczeństwo danych osobowych. Elementy, które powinny się znaleźć w każdym upoważnieniu to:

• wskazanie osoby, której nadano upoważnienie,
• zakres danych, które upoważniona osoba może przetwarzać,
• okres obowiązywania upoważnienia (konkretnie od … do),
• data sporządzenia upoważnienia,
• podpis przedstawiciela administratora nadającego upoważnienie,
• podpis osoby upoważnionej (potwierdzający otrzymanie upoważnienia).

Dobrą praktyką jest zawarcie na druku upoważnienia informacji o odpowiedzialności prawnej oraz formułki oświadczenia o zachowaniu w tajemnicy danych w posiadanie których osoba przetwarzająca wejdzie w trakcie wykonywania powierzonych zadań.

Każda osoba przetwarzająca dane osobowe, dla własnego bezpieczeństwa powinna zadbać o to, żeby otrzymała stosowne upoważnienie do przetwarzania danych. Przetwarzanie danych osobowych jest zgodne z prawem tylko wtedy, jeśli dokonywane jest na podstawie upoważnienia i zgodnie z określonym w upoważnieniu zakresie.

Przetwarzanie danych przez osoby nie posiadające upoważnienia naraża przede wszystkim bezpieczeństwo danych. Naraża również na odpowiedzialność karną administratora danych lub podmiot przetwarzający, ale także osoby bezpośrednio zajmujące się przetwarzaniem danych z ich polecenia.

GOTOWE DRUKI DO POBRANIA – UPOWAŻNIENIA I INNE

Dobra rada.

Bez względu na to, gdzie pracujesz. Zanim zaczniesz przetwarzać dane osobowe w pracy, poproś przedstawiciela administratora danych (szefa, kierownika, dyrektora) żeby nadał Ci upoważnienie do przetwarzania danych. Przetwarzaj dane osobowe zgodnie z nadanym upoważnieniem. W ten sposób uchronisz się przed kłopotami i poważnymi konsekwencjami.

Warto o tym pamiętać choćby z tego względu, że art. 107. 1. Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych jasno określa rodzaj i wysokość kary za jego naruszenie.

„Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.” (art. 107. Ustawy o ochronie danych osobowych)