Czy upoważnienia do przetwarzania danych osobowych muszą zostać podpisane? #RODOFAQ

Upoważnienia do przetwarzania danych osobowych oraz cały proces związany z ich nadawaniem i ewidencją może być dużym wyzwaniem organizacyjnym. Zwłaszcza, jeśli organizacja zatrudnia dużą liczbę pracowników. Zastosowanie elektronicznej formy e-upoważnień, może bardzo ułatwić Ci pracę i poprawić rozliczalność całej operacji. Pytanie tylko, czy forma elektroniczna jest zgodna z RODO?

Upoważnienia do przetwarzania danych osobowych w formie elektronicznej – co na to RODO?

Jak nietrudno się domyślić, RODO nie narzuca nam wprost, w jakiej formie powinny być nadawane upoważnienia. W RODO znajdziemy jedynie krótkie wzmianki dotyczące nadawanie upoważnień, jednak bez wskazania właściwej formy ani treści dokumentu.

Art. 29 RODO „Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.”
Art. 32 ust. 4 RODO „Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.”

W Polsce jesteśmy przyzwyczajeni do upoważnień, które zostały dość szczegółowo opisane przez poprzednio obowiązujące przepisy (treść, sposób nadawania). Więcej informacji na ten temat, znajdziesz w naszym artykule w całości poświęconym upoważnieniom do przetwarzania danych osobowych. Podejście prezentowane w RODO pozwala nam na daleko idącą elastyczność. Jeśli więc chodzi o przepisy RODO – to odpowiedź jest jednoznacznie twierdząca. Możemy nadawać upoważnienia w wersji elektronicznej!

e-learning RODO

Chcesz zautomatyzować proces nadawania i ewidencji upoważnień RODO?

Skorzystaj z Systemu Ochrony Danych Osobowych (SODO): dodaj użytkownika ze zdefiniowanym zakresem upoważnienia -> użytkownik aktywuje swoje indywidualne konto -> użytkownik realizuje e-szkolenie RODO i zdaje test sprawdzający wiedzę -> użytkownik otrzymuje upoważnienie. Tak, to naprawdę takie proste!

Sprawdź SODO

RODO to jednak nie wszystko

W pewnym momencie, nad powyższą elastyczną i zdroworozsądkową wykładnią, zaczęły zbierać się jednak ciemne chmury. Polski prawodawca w ustawie z dnia 21 lutego 2019 roku o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego (…), wprowadził szereg przepisów, w których kwestia upoważnień została uregulowana wprost.

Upoważnienia do przetwarzania danych osobowych w przepisach sektorowych

Samo sformułowanie „upoważnienie” pojawia się w poszczególnych przepisach sektorowych aż 63 razy. Upoważnienie zgodnie z przepisami wprowadzającymi powinno być nadane między innymi w związku z przepisami:

  • Kodeksu Pracy,
  • ustawy o zakładowym funduszu świadczeń socjalnych,
  • ustawy o Rzeczniku praw obywatelskich,
  • ustawie o ochronie zdrowia psychicznego,
  • ustawie o zawodach lekarza i lekarza dentysty.

Z przytoczonych aktów prawnych możemy odczytać powód, dla którego ustawodawca zdecydował się na uregulowanie w ten sposób kwestii upoważnień.

Motywacją była chęć wprowadzenia odpowiednich zabezpieczeń praw i interesów osób fizycznych, których dane osobowe są przetwarzane, oraz zabezpieczenie przed nadużyciami lub niezgodnym z prawem dostępem do danych lub ich przekazywaniem.

Co więcej, polski ustawodawca narzucił wprost w poszczególnych przepisach formę w jakiej upoważnienie powinno zostać nadane – pisemnie.

Pojawią się więc problem. Chcesz wdrożyć upoważnienia w formie elektronicznej. Dysponujesz nowoczesnym systemem e-learningowym lub innym, nadającym samodzielnie upoważnienia. Czy nadane dzięki systemowi upoważnienia, będą zgodne, także z polskimi przepisami prawa?

Przed nadaniem upoważnienia przeszkól zespół naszym bezpłatnym szkoleniem video…

… albo audio

Z pomocą przychodzi Urząd Ochrony Danych Osobowych

Na szczęście na wysokości zadania stanął Urząd Ochrony Danych Osobowych. Polski Organ Nadzorczy, (jeszcze jako GIODO), stykał się wielokrotnie z systemami informatycznymi, nadającymi e-upoważnienia. Sami demonstrowaliśmy inspektorom GIODO elektroniczną formę nadawania upoważnień w toku kontroli. Nigdy nie budziła ona żadnych obiekcji.

Na stronie UODO, znajduje się interpretacja, która rozwiewa wszelkie wątpliwości dotyczące e-upoważnień:

Wytyczne UODO Nadawanie upoważnień w postaci elektronicznej należy uznać za wykonanie obowiązku nadania upoważnień w formie pisemnej. W świetle zasady rozliczalności, jakakolwiek postać, w tym elektroniczna, która pozwala na udokumentowanie spełnienia obowiązków celem wykazania przestrzegania przepisów, a w tym przypadku wykonania obowiązku wynikającego z art. 29 RODO należy uznać za prawidłową. Za przyjęciem takiego stanowiska przemawia również podejście co do formy pisemnej wskazanej w art. 30 ust. 3 RODO. Zgodnie z tym przepisem, rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania, mają formę pisemną, w tym formę elektroniczną.”

Czy konieczna jest reakcja pracownika na nadane upoważnienie?

Formą reakcji na otrzymany dokument może być np. e-mail zwrotny z potwierdzeniem przyjęcia, kliknięcie w checkboks w systemie informatycznym. Elektroniczna forma jest oczywiście również dozwolona. Mimo, że nie ma konieczności otrzymania potwierdzenia bezpośrednio od pracownika, to jednak zachęcamy do pozyskania potwierdzenia. Poza zapewnieniem rozliczalności, chodzi również o sam gest wzięcia odpowiedzialności za przetwarzane dane osobowe.

Podsumowanie

Dzięki elastyczności RODO i zdroworozsądkowej wykładni UODO, wszyscy możemy korzystać z ułatwień oferowanych przez nowoczesną technologię. Elektroniczne upoważnienia, poza znaczącą oszczędnością czasu i papieru (ekologia!), wpisują się również w RODOwską zasadę rozliczalności. Znacznie łatwiej odszukać brakujące upoważnienie w systemie informatycznym, niż w papierowej kartotece. My oferujemy naszym klientom elektroniczny sposób nadawania upoważnień już od 2012 roku i oni bardzo sobie chwalą taką właśnie formę.

Pobierz artykuł upoważnienia do przetwarzania danych osobowych

Pobierz artykuł w PDF

Powiązane artykuły

Upoważnienie do przetwarzania danych – czy należy je nadawać?
Dokumentacja RODO
Dokumentacja RODO w praktyce, czyli zjedz tego słonia po kawałku
Dokumentacja danych osobowych w przedsiębiorstwie

2 Odpowiedzi

  1. Emma

    Dzień dobry.
    W firmie zostaje wdrożony Elektroniczny Obieg Dokumentów w związku z tym upoważnienia będą w formie elektronicznej czy wymagany jest podpis kwalifikowany na upoważnieniu osoby upoważnionej do wydawania upoważnień?

    1. Lex Artist

      Dzień dobry,

      Na upoważnieniach wydawanych w formie elektronicznej nie jest wymagany podpis kwalifikowany osoby upoważniającej. Najważniejsze, żeby cały proces był rozliczalny.

      Pozdrawiamy!

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO