Kwestie związane z nadawaniem upoważnień do przetwarzania danych osobowych na gruncie obecnie obowiązujących przepisów, nie są sprawą tak oczywistą jak w poprzednim porządku prawnym. Wielu administratorów oraz osób zajmujących się ochroną danych osobowych zadaje sobie pytanie czy ich nadawanie jest obowiązkowe? Czy warto je nadawać? A jeśli odpowiedź na poprzednio zadane pytanie brzmi tak, w jaki sposób rozsądnie podjeść do tych kwestii.
Upoważnienia, a poprzedni stan prawny
Warto zwrócić uwagę jak kształtowała się kwestia upoważnień w ustawie o ochronie danych osobowych z dnia 29 sierpnia 1997 roku. Przepisy ustawy wprost wskazywały na obowiązek nadawania upoważnień oraz sposób ich ewidencjonowania przez administratorów. Ustawa z 1997 roku wprowadzała szczegółowe wytyczne z tym związane:
„Art. 37. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
Art. 38. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Art. 39. 1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:
1) imię i nazwisko osoby upoważnionej;
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych;
3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
- Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.”
W artykule nie będziemy skupiać się i analizować postanowień uprzedniego ustawodawstwa (więcej na ten temat w naszej wcześniejszej publikacji).
Upoważnienie i polecenie w przepisach Ogólnego rozporządzenia o ochronie danych
Na temat działania z upoważnienia i przetwarzania na polecenie traktuje kilka artykułów rozporządzenia:
Odniesienie do upoważnienia, a właściwie „osoby upoważnionej” odnaleźć można także w art. 28 RODO traktującym na temat wymogów jakie powinna spełniać umowa powierzenia przetwarzania danych osobowych. W ustępie 3 lit. b wskazano „zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.”
Wspomniany art. 29 RODO stanowi niemal analogię do postanowień zawartych w art. 16 dyrektywy 95/46/WE, będącej poprzedniczką rozporządzenia. Oba te przepisy traktują na temat tego, że nie można przetwarzać danych osobowych bez polecenia administratora.
Polski ustawodawca, jak wskazano powyżej, nieco inaczej zaimplementował przepisy dyrektywy w polskim porządku prawnym (poprzednia ustawa o ochronie danych osobowych) poprzez większe ich uszczegółowienie oraz nadanie temu przepisowi większego formalizmu. Stosując się do wykładni przytoczonego artykułu należy przyjąć, że każda osoba, która działa w imieniu administratora lub procesora, zanim uzyska dostęp do danych, powinna otrzymać stosowne upoważnienie. Opisany sposób działania wynika z literalnej interpretacji art. 29 RODO oraz z silnego zakorzeniania w polskim porządku prawnym zwyczaju nadawania upoważnień.
Czy opisana wykładnia jest poprawna? Wielu ekspertów wskazuje na błędy interpretacyjne i różnice wynikające z wersji językowych. W angielskiej lub niemieckiej wersji językowej na próżno szukać sformułowań odnoszących się do upoważnienia. Wskazane są tam sformułowania odnoszące się do działania pod kontrolą / nadzorem administratora. Z drugiej strony, w przepisach rozporządzenia ogólnego brak jest również definicji „polecenia” czy też określenia konkretnej formy w jakiej przytoczone polecenie miałoby zostać wydane.
Biorąc jednak pod uwagę jedną z fundamentalnych zasad wskazaną w art. 5 ust. 2 RODO – tj. rozliczalność, administrator danych osobowych musi być w stanie wykazać się tym, że przestrzega nałożonych na niego obowiązków, wskazanych w treści rozporządzenia. Należy mieć tutaj w szczególności na uwadze rozliczalność w zakresie zasady integralności i poufności. Jak bowiem inaczej udowodnić, że ktoś działa z upoważnienia, pod nadzorem, czy też z polecenia administratora? Pomocne w tym zakresie może okazać się właśnie nadawanie wspomnianych wcześniej upoważnień. Nie oznacza to jednak, że jedyną i słuszną formą będzie ta w wersji papierowej.
Prezes UODO zajął tożsame stanowisko w omawianym temacie, wskazując, że „chodzi tu o zapewnienie, aby administrator miał kontrolę (władztwo) nad tym kto, w jakim zakresie ma dostęp do danych osobowych oraz na jakich zasadach i w jaki sposób je przetwarza. Przyjmowane przez administratora i podmiot przetwarzający środki (działania) powinny służyć m.in. zapobieganiu nieuprawnionemu wprowadzaniu danych osobowych oraz nieuprawnionemu oglądaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych oraz zapewnieniu, że osoby uprawnione do korzystania z systemu zautomatyzowanego przetwarzania będą mieć dostęp wyłącznie do danych osobowych objętych posiadanym przez siebie uprawnieniem. Dzięki tym środkom osoby, które zostały dopuszczone do przetwarzania danych zostają poinformowane, jaki jest zakres ich uprawnień co do przetwarzania danych osobowych.”
Upoważnienie na gruncie polskich przepisów prawa oraz jego forma
Pomimo braku formalnych wymogów i określenia wprost kwestii związanych z poleceniami czy działaniem z upoważnienia na gruncie RODO, polski prawodawca w ustawie z dnia 21 lutego 2019 roku o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE wprowadził szereg przepisów, w których kwestia upoważnień została wprost uregulowana. Samo sformułowanie „upoważnienie” pojawia się w poszczególnych przepisach sektorowych aż 63 razy. Upoważnienie zgodnie z przepisami wprowadzającymi powinno być nadane między innymi w związku z przepisami:
- Kodeksu Pracy,
- ustawy o zakładowym funduszu świadczeń socjalnych,
- ustawy o Rzeczniku praw obywatelskich,
- ustawie o ochronie zdrowia psychicznego,
- ustawie o zawodach lekarza i lekarza dentysty.
Z przytoczonych aktów prawnych możemy odczytać powód, dla którego ustawodawca zdecydował się na uregulowanie w ten sposób kwestii upoważnień.
Motywacją jest chęć wprowadzenia odpowiednich zabezpieczeń praw i interesów osób fizycznych, których dane osobowe są przetwarzane, oraz zabezpieczenie przed nadużyciami lub niezgodnemu z prawem dostępowi do danych lub ich przekazywaniu.
Co więcej polski ustawodawca narzuca wprost w poszczególnych przepisach formę w jakiej upoważnienie powinno zostać nadane – pisemnie.
Urząd Ochrony Danych Osobowych w swoich wytycznych opublikowanych na stronie internetowej rozwiewa wątpliwości w zakresie formy upoważnienia: „Nadawanie upoważnień w postaci elektronicznej należy uznać za wykonanie obowiązku nadania upoważnień w formie pisemnej. W świetle zasady rozliczalności, jakakolwiek postać, w tym elektroniczna, która pozwala na udokumentowanie spełnienia obowiązków celem wykazania przestrzegania przepisów, a w tym przypadku wykonania obowiązku wynikającego z art. 29 RODO należy uznać za prawidłową. Za przyjęciem takiego stanowiska przemawia również podejście co do formy pisemnej wskazanej w art. 30 ust. 3 RODO. Zgodnie z tym przepisem, rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania, mają formę pisemną, w tym formę elektroniczną.”
Nadawanie poważnień – kwestie praktyczne
Urząd Ochrony Danych Osobowych w swoim stanowisku wskazuje, że „Wydawanie upoważnień może być jednym z takich środków organizacyjnych, którego celem jest zapewnienie odpowiedniej ochrony danych i kontroli nad procesem ich przetwarzania. Taki cel miały również upoważnienia do przetwarzania danych osobowych wydawane przed 25 maja 2018 r. na gruncie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Wielu administratorów – po wejściu do stosowania RODO – nadal korzysta z takiego rozwiązania i nadaje upoważnienia do przetwarzania danych osobowych. Na podstawie wydanych przez administratora danych upoważnień, stosuje się następnie mechanizmy kontroli dostępu do danych w systemie informatycznym służącym do przetwarzania danych osobowych (nadaje określone uprawnienia)”.
Potrzebujesz szablonu upoważnienia i procedury nadawania upoważnień?
Zapoznaj się z naszymi sprawdzonymi wzorami i szablonami. Oferujemy pełną wersję Polityki Ochrony Danych wraz ze wszystkimi procedurami i dokumentami w formie załączników.
SprawdźW jaki sposób podjeść do tematu nadawania upoważnień do przetwarzania danych osobowych?
Upoważnienie do przetwarzania danych osobowych powinny posiadać wszystkie osoby fizyczne współpracujące na stałe z administratorem danych osobowych, niezależnie od formy tej współpracy (umowa o pracę, umowa cywilnoprawna).. W niektórych przypadkach, zasadnym jest je nadać także osobom, którym zlecono wykonanie niektórych zadań w sposób doraźny.
Kluczem do tego czy komuś takiemu nadać upoważnienie czy jednak podpisać z nim umowę powierzenia przetwarzania danych osobowych może być odpowiedź na następujące pytania:
- czy osoba taka na co dzień pracuje na firmowym sprzęcie czy na swoim?
- czy czynności związane z przetwarzane danych wykonywane są w siedzibie administratora czy wynosi pewne dokumenty poza obręb firmy?
Jeśli osoba tak wykonuje czynności na terenie oraz sprzęcie należącym do administratora, rozsądnym wydaje się nadanie jej upoważnienia.
W zakresie nadawania upoważnień należy pamiętać także o osobach, które wykonują na rzecz administratora danych pracę tymczasową – one również w niektórych przypadkach mogą uzyskać dostęp do danych osobowych.
Jaki jest najlepszy moment na nadanie upoważnień do przetwarzania danych osobowych?
Kwestie związane z nadawaniem upoważnień, ich formą i zakresem powinny być przez każdego administratora danych osobowych uregulowane w formie procedury. Najlepszą chwilą na wydanie upoważnienia, jest moment zatrudnienia nowego pracownika / współpracownika oraz ukończenie przez niego szkolenia z zakresu ochrony danych osobowych.
Artykuł który czytasz jest dla Ciebie wartościowy? Zapisz się na nasz newsletter i bądź na bieżąco z naszymi blogowymi nowościami
Jaka powinna być treść upoważnienia?
Na upoważnieniu powinny znajdować się bez wątpienia dane identyfikujące osobę, której nadaliśmy upoważnienie, w zakresie imienia i nazwiska. Zasadnym może być także dodanie dodatkowego pola np. z działem, w którym osoba taka pracuje lub numerem pracownika, w celu odróżniania osób o tych samych imionach i nazwiskach. Na dokumencie powinien znajdować się także zakres danych, do których upoważniamy taką osobę w postaci np. zbiorów danych czy procesów, do których dostęp jest jej niezbędny aby mogła wykonywać w sposób należyty swoje obowiązki.
Jak udokumentować nadawanie upoważnień do przetwarzania danych osobowych?
Najlepszym działaniem w tym zakresie będzie działanie w sposób w jaki zostało to opisane w przepisach ustawy z 1997 r., czyli prowadzenie ewidencji nadanych upoważnień. Dla spełnienia swojej funkcji, tj. rozliczalności, powinna ona zawierać co najmniej takie informacje jak:
- imię i nazwisko osoby upoważnionej;
- datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych.
Na rynku obecnie dostępnych jest wiele narzędzi, które mogą w tym zakresie usprawnić działanie naszej organizacji i zdjąć z barków inspektorów ochrony danych i administratorów znaczną część tego obowiązku.
Dwa w jednym: e-szkolenie i nadawanie oraz ewidencja upoważnień
Zależy Ci na tym aby Twoi pracownicy otrzymali upoważnienie i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?
Sprawdź nasze interaktywne szkolenia e-learningowe.
Podsumowanie
W naszej ocenie upoważnienia są ważnym narzędziem w celu zapewnienia w organizacji rozliczalności w zakresie zabezpieczeń oraz kontroli kto posiada dostęp do jakich zasobów. Ogólne rozporządzenie o ochronie danych pozostawia nam w zakresie nadawania upoważnień dużo swobody. Brak jest sztywno uregulowanych zasad, tak jak w poprzednim porządku prawnym.
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- Stanowisko Prezesa Urzędu Ochrony Danych Osobowych - Czy elektroniczna postać upoważnienia spełnia wymogi „pisemnego upoważnienia”?
- Stanowisko Prezesa Urzędu Ochrony Danych Osobowych - Czy administrator powinien udzielać upoważnień do przetwarzania danych?
10 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Dzień dobry
Firma chce wydać nam upoważnienia papierowe do podpisywania umów z klientami. Osoba,która ten dokument przygotowuje chce od nas numery dowodów osobistych.
Czy firma ma prawo od pracowników rządać danych z dowodu osobistego?
Dzień dobry, zazwyczaj w treści upoważnienia podaje się dokument (serię i numer) na podstawie którego jest możliwa identyfikacja osoby upoważnionej. Pozdrawiamy!
Dzień dobry,
czy jeśli zdecydujemy się na stosowanie upoważnień w formie papierowej z wyszczególnionym zakresem poziomu dostępu do danych i operacji ich przetwarzania to czy członkowie zarządu administratora (spółki z ograniczoną odpowiedzialnością) powinni otrzymać takie upoważnienie? Czy można uznać, że wystarczy, że pełny dostęp do danych i zakres czynności wynika z pełnionej przez nich funkcji osoby, która reprezentuje administratora?
Dzień dobry, członkowie zarządu nie musza otrzymywać upoważnień, ponieważ działają w imieniu administratora danych, są uprawnieni do przetwarzania wszystkich danych przetwarzanych przez spółkę, a także do upoważniania do przetwarzania danych pracowników oraz współpracowników. Pozdrawiamy
Witam,
mam problem z nadanie upoważnienia dla osoby zatrudnionej na umowę zlecenie jako pomoc gospodarcza. Czy zamiast zbioru mogę wpisać zgodnie z zawartą umową? Taka osoba generalnie ma sprzątać gotować ale może się zdarzyć że zostanie z dziećmi w pieczy zastępczej. nie mogę rozgryźć jak takie upoważnienie ograniczyć, proszę o podpowiedz
Witamy, w opisanym przypadku nie ma potrzeby wystawiania upoważnienia do przetwarzania danych osobowych, w naszej opinii wystarczające będzie podpisanie przez pomoc gospodarczą oświadczenia o zachowaniu poufności. Pozdrawiamy!
Czy Państwa zdaniem można nadać upoważnienia do przetwarzania danych wskazując zakres, który wynikać będzie stricte z zakresu obowiązków danej osoby? Bez wskazywania konkretnych zbiorów danych czy systemów komputerowych. Firma może wprowadzić nowe systemy, do każdego zbioru danych może się pojawić aktualizacja.
Rozumiem, że rozporządzenie daje nam swobodę w tym zakresie i najważniejsza jest kwestia rozliczności. Czy jeżeli nadam upoważnienie nie do konkretnego zbioru a do czynności wynikających z zakresu obowiązków to nadal będzie miało to znamiona rozliczalności? Moim zdaniem tak, ale pewnie się bardzo mylę:)
tak, rozporządzenie daje dużą swobodę, ale z naszej wieloletniej praktyki wynika, że nadawanie upoważnień do konkretnego zbioru/procesu jest nie tylko efektywne ale też daje większa rozliczność niż przy zastosowaniu innych rozwiązań 🙂 Pozdrawiamy serdecznie
Jeżeli Administratora (sp. z o.o.) reprezentuje Zarząd (Prezes + 1 członek Zarządu) i zgodnie z KRS „DO SKŁADANIA OŚWIADCZEŃ WOLI I PODPISYWANIA W IMIENIU SPÓŁKI WYMAGANE JEST WSPÓŁDZIAŁANIE PREZESA I CZŁONKA ZARZĄDU LUB DWÓCH CZŁONKÓW ZARZĄDU, ALBO JEDNEGO CZŁONKA ZARZĄDU ŁĄCZNIE Z PROKURENTEM” to czy podpisywane upoważnienia także muszą być zarówno przez dwie osoby? Wg powyższego zapisu z KRS podpisy pod umowami może składać PROKURENT + członek Zarządu a przecież prokurent nie reprezentuje Administratora , więc czy nie wystarczający jest jeden podpis pod upoważnieniem?
Zgodnie z jedną odpowiedzi LEXa (QA 2197490) „w imieniu administratora działa cały zarząd, zatem, każdy z członków zarządu jest uprawniony do nadawania / zmiany / odwołania upoważnienia do przetwarzania danych osobowych, dla których administratorem jest sp. z o.o. Upoważnienia nadane przez każdego z członków zarządu są ważne, gdyż wypełniają polecenie administratora do przetwarzania danych”
Niestety w tym samym LEXie znalazłem sprzeczną odpowiedź na to pytanie (QA 1329274) „Jeśli reprezentacja spółki jest dwuosobowa, upoważnienia powinny być podpisane zgodnie z reprezentacją
spółki”.
Jak to się ma do wydawanych w spółce Zarządzeń Prezesa podpisywanych jedynie przez niego?
Dzień dobry, upoważnienie do przetwarzania danych osobowych nadaje pracownikom/współpracownikom osoba uprawniona do reprezentacji Administratora. Zasadniczo w przypadku spółek przyjmujemy, że tą osobą jest Prezes Zarządu. Nie ma konieczności, by pod takim upoważnieniem podpisywała się także inna osoba uprawniona do reprezentacji. Podobnie rzecz się ma z odwołaniem upoważnienia.