Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonusy - ankietę do badania RODO-świadomości pracowników oraz arkusz oceny wdrożenia RODO.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

Upoważnienie do przetwarzania danych – czy należy je nadawać?

Kwestie związane z nadawaniem upoważnień do przetwarzania danych osobowych na gruncie obecnie obowiązujących przepisów, nie są sprawą tak oczywistą jak w poprzednim porządku prawnym. Wielu administratorów oraz osób zajmujących się ochroną danych osobowych zadaje sobie pytanie czy ich nadawanie jest obowiązkowe? Czy warto je nadawać? A jeśli odpowiedź na poprzednio zadane pytanie brzmi tak, w jaki sposób rozsądnie podjeść do tych kwestii.

Upoważnienia, a poprzedni stan prawny

Warto zwrócić uwagę jak kształtowała się kwestia upoważnień w ustawie o ochronie danych osobowych z dnia 29 sierpnia 1997 roku. Przepisy ustawy wprost wskazywały na obowiązek nadawania upoważnień oraz sposób ich ewidencjonowania przez administratorów. Ustawa z 1997 roku wprowadzała szczegółowe wytyczne z tym związane:

Ustawa o ochronie danych osobowych z roku 1997

„Art. 37. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

Art. 38. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Art. 39. 1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:

1) imię i nazwisko osoby upoważnionej;

2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych;

3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

  1. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.”

W artykule nie będziemy skupiać się i analizować postanowień uprzedniego ustawodawstwa (więcej na ten temat w naszej wcześniejszej publikacji).

Upoważnienie i polecenie w przepisach Ogólnego rozporządzenia o ochronie danych

Na temat działania z upoważnienia i przetwarzania na polecenie traktuje kilka artykułów rozporządzenia:

Art. 29 RODO
„Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.”
Art. 32 ust. 4 RODO
„Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.”

Odniesienie do upoważnienia, a właściwie „osoby upoważnionej” odnaleźć można także w art. 28 RODO traktującym na temat wymogów jakie powinna spełniać umowa powierzenia przetwarzania danych osobowych. W ustępie 3 lit. b wskazano „zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.”

Wspomniany art. 29 RODO stanowi niemal analogię do postanowień zawartych w art. 16 dyrektywy 95/46/WE, będącej poprzedniczką rozporządzenia. Oba te przepisy traktują na temat tego, że nie można przetwarzać danych osobowych bez polecenia administratora.

Polski ustawodawca, jak wskazano powyżej, nieco inaczej zaimplementował przepisy dyrektywy w polskim porządku prawnym (poprzednia ustawa o ochronie danych osobowych) poprzez większe ich uszczegółowienie oraz nadanie temu przepisowi większego formalizmu. Stosując się do wykładni przytoczonego artykułu należy przyjąć, że każda osoba, która działa w imieniu administratora lub procesora, zanim uzyska dostęp do danych, powinna otrzymać stosowne upoważnienie. Opisany sposób działania wynika z literalnej interpretacji art. 29 RODO oraz z silnego zakorzeniania w polskim porządku prawnym zwyczaju nadawania upoważnień.

Czy opisana wykładnia jest poprawna? Wielu ekspertów wskazuje na błędy interpretacyjne i różnice wynikające z wersji językowych. W angielskiej lub niemieckiej wersji językowej na próżno szukać sformułowań odnoszących się do upoważnienia. Wskazane są tam sformułowania odnoszące się do działania pod kontrolą / nadzorem administratora. Z drugiej strony, w przepisach rozporządzenia ogólnego brak jest również definicji „polecenia” czy też określenia konkretnej formy w jakiej przytoczone polecenie miałoby zostać wydane.

Biorąc jednak pod uwagę jedną z fundamentalnych zasad wskazaną w art. 5 ust. 2 RODO – tj. rozliczalność, administrator danych osobowych musi być w stanie wykazać się tym, że przestrzega nałożonych na niego obowiązków, wskazanych w treści rozporządzenia. Należy mieć tutaj w szczególności na uwadze rozliczalność w zakresie zasady integralności i poufności. Jak bowiem inaczej udowodnić, że ktoś działa z upoważnienia, pod nadzorem, czy też z polecenia administratora? Pomocne w tym zakresie może okazać się właśnie nadawanie wspomnianych wcześniej upoważnień. Nie oznacza to jednak, że jedyną i słuszną formą będzie ta w wersji papierowej.

Prezes UODO zajął tożsame stanowisko w omawianym temacie, wskazując, że „chodzi tu o zapewnienie, aby administrator miał kontrolę (władztwo) nad tym kto, w jakim zakresie ma dostęp do danych osobowych oraz na jakich zasadach i w jaki sposób je przetwarza. Przyjmowane przez administratora i podmiot przetwarzający środki (działania) powinny służyć m.in. zapobieganiu nieuprawnionemu wprowadzaniu danych osobowych oraz nieuprawnionemu oglądaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych oraz zapewnieniu, że osoby uprawnione do korzystania z systemu zautomatyzowanego przetwarzania będą mieć dostęp wyłącznie do danych osobowych objętych posiadanym przez siebie uprawnieniem. Dzięki tym środkom osoby, które zostały dopuszczone do przetwarzania danych zostają poinformowane, jaki jest zakres ich uprawnień co do przetwarzania danych osobowych.”

Upoważnienie na gruncie polskich przepisów prawa oraz jego forma

Pomimo braku formalnych wymogów i określenia wprost kwestii związanych z poleceniami czy działaniem z upoważnienia na gruncie RODO, polski prawodawca w ustawie z dnia 21 lutego 2019 roku o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE  wprowadził szereg przepisów, w których kwestia upoważnień została wprost uregulowana. Samo sformułowanie „upoważnienie” pojawia się w poszczególnych przepisach sektorowych aż 63 razy. Upoważnienie zgodnie z przepisami wprowadzającymi powinno być nadane między innymi w związku z przepisami:

  • Kodeksu Pracy,
  • ustawy o zakładowym funduszu świadczeń socjalnych,
  • ustawy o Rzeczniku praw obywatelskich,
  • ustawie o ochronie zdrowia psychicznego,
  • ustawie o zawodach lekarza i lekarza dentysty.

Z przytoczonych aktów prawnych możemy odczytać powód, dla którego ustawodawca zdecydował się na uregulowanie w ten sposób kwestii upoważnień.

Motywacją jest chęć wprowadzenia odpowiednich zabezpieczeń praw i interesów osób fizycznych, których dane osobowe są przetwarzane, oraz zabezpieczenie przed nadużyciami lub niezgodnemu z prawem dostępowi do danych lub ich przekazywaniu.

Co więcej polski ustawodawca narzuca wprost w poszczególnych przepisach formę w jakiej upoważnienie powinno zostać nadane – pisemnie.

Urząd Ochrony Danych Osobowych w swoich wytycznych opublikowanych na stronie internetowej rozwiewa wątpliwości w zakresie formy upoważnienia: Nadawanie upoważnień w postaci elektronicznej należy uznać za wykonanie obowiązku nadania upoważnień w formie pisemnej. W świetle zasady rozliczalności, jakakolwiek postać, w tym elektroniczna, która pozwala na udokumentowanie spełnienia obowiązków celem wykazania przestrzegania przepisów, a w tym przypadku wykonania obowiązku wynikającego z art. 29 RODO należy uznać za prawidłową. Za przyjęciem takiego stanowiska przemawia również podejście co do formy pisemnej wskazanej w art. 30 ust. 3 RODO. Zgodnie z tym przepisem, rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania, mają formę pisemną, w tym formę elektroniczną.”

Nadawanie poważnień – kwestie praktyczne

Urząd Ochrony Danych Osobowych w swoim stanowisku wskazuje, że „Wydawanie upoważnień może być jednym z takich środków organizacyjnych, którego celem jest zapewnienie odpowiedniej ochrony danych i kontroli nad procesem ich przetwarzania. Taki cel miały również upoważnienia do przetwarzania danych osobowych wydawane przed 25 maja 2018 r. na gruncie ustawy z dnia 29 sierpnia 1997 r.  o ochronie danych osobowych. Wielu administratorów – po wejściu do stosowania RODO – nadal korzysta z takiego rozwiązania i nadaje upoważnienia do przetwarzania danych osobowych. Na podstawie wydanych przez administratora danych upoważnień, stosuje się następnie mechanizmy kontroli dostępu do danych w systemie informatycznym służącym do przetwarzania danych osobowych (nadaje określone uprawnienia)”.

dokumentacja ochrony danych osobowych

Potrzebujesz szablonu upoważnienia i procedury nadawania upoważnień?

Zapoznaj się z naszymi sprawdzonymi wzorami i szablonami. Oferujemy pełną wersję Polityki Ochrony Danych wraz ze wszystkimi procedurami i dokumentami w formie załączników.

Sprawdź

W jaki sposób podjeść do tematu nadawania upoważnień do przetwarzania danych osobowych?

Upoważnienie do przetwarzania danych osobowych powinny posiadać wszystkie osoby fizyczne współpracujące na stałe z administratorem danych osobowych, niezależnie od formy tej współpracy (umowa o pracę, umowa cywilnoprawna).. W niektórych przypadkach, zasadnym jest je nadać także osobom, którym zlecono wykonanie niektórych zadań w sposób doraźny.

Kluczem do tego czy komuś takiemu nadać upoważnienie czy jednak podpisać z nim umowę powierzenia przetwarzania danych osobowych może być odpowiedź na następujące pytania:

  • czy osoba taka na co dzień pracuje na firmowym sprzęcie czy na swoim?
  • czy czynności związane z przetwarzane danych wykonywane są w siedzibie administratora czy wynosi pewne dokumenty poza obręb firmy?

Jeśli osoba tak wykonuje czynności na terenie oraz sprzęcie należącym do administratora, rozsądnym wydaje się nadanie jej upoważnienia.

W zakresie nadawania upoważnień należy pamiętać także o osobach, które wykonują na rzecz administratora danych pracę tymczasową – one również w niektórych przypadkach mogą uzyskać dostęp do danych osobowych.

Jaki jest najlepszy moment na nadanie upoważnień do przetwarzania danych osobowych?

Kwestie związane z nadawaniem upoważnień, ich formą i zakresem powinny być przez każdego administratora danych osobowych uregulowane w formie procedury. Najlepszą chwilą na wydanie upoważnienia, jest moment zatrudnienia nowego pracownika / współpracownika oraz ukończenie przez niego szkolenia z zakresu ochrony danych osobowych.

Jaka powinna być treść upoważnienia?

Na upoważnieniu powinny znajdować się bez wątpienia dane identyfikujące osobę, której nadaliśmy upoważnienie, w zakresie imienia i nazwiska. Zasadnym może być także dodanie dodatkowego pola np. z działem, w którym osoba taka pracuje lub numerem pracownika, w celu odróżniania osób o tych samych imionach i nazwiskach. Na dokumencie powinien znajdować się także zakres danych, do których upoważniamy taką osobę w postaci np. zbiorów danych czy procesów, do których dostęp jest jej niezbędny aby mogła wykonywać w sposób należyty swoje obowiązki.

Jak udokumentować nadawanie upoważnień do przetwarzania danych osobowych?

Najlepszym działaniem w tym zakresie będzie działanie w sposób w jaki zostało to opisane w przepisach ustawy z 1997 r., czyli prowadzenie ewidencji nadanych upoważnień. Dla spełnienia swojej funkcji, tj. rozliczalności, powinna ona zawierać co najmniej takie informacje jak:

  • imię i nazwisko osoby upoważnionej;
  • datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych.

Na rynku obecnie dostępnych jest wiele narzędzi, które mogą w tym zakresie usprawnić działanie naszej organizacji i zdjąć z barków inspektorów ochrony danych i administratorów znaczną część tego obowiązku.

e-learning RODO

Dwa w jednym: e-szkolenie i nadawanie oraz ewidencja upoważnień

Zależy Ci na tym aby Twoi pracownicy otrzymali upoważnienie i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?

Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

 

Podsumowanie

W naszej ocenie upoważnienia są ważnym narzędziem w celu zapewnienia w organizacji rozliczalności w zakresie zabezpieczeń oraz kontroli kto posiada dostęp do jakich zasobów. Ogólne rozporządzenie o ochronie danych pozostawia nam w zakresie nadawania upoważnień dużo swobody. Brak jest sztywno uregulowanych zasad, tak jak w poprzednim porządku prawnym.

Pobierz artykuł

Pobierz artykuł w PDF

Źródła:

Powiązane artykuły

praca zdalna a rodo
Praca zdalna zgodna z RODO
dpia szacowanie ryzyka RODO
Ocena ryzyka w RODO – jak się za to zabrać? (cz.3)
Koronawirus a RODO
RODO a koronawirus

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.