Skip to content
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Menu
0
Koszyk jest pusty.
Menu
0
Koszyk jest pusty.
mniej niż 1 minuta minut

Upoważnienie do przetwarzania danych osobowych

image_pdfimage_print

Upoważnienie do przetwarzania danych

Ochrona danych osobowych

W jakim celu udzielane jest upoważnienie do przetwarzania danych?

Upoważnienie do przetwarzania danych osobowych stanowi wyraz wykonania obowiązku, określonego w art. 32 ust. 4 w zw. z art. 29 RODO, do podejmowania działań w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora (podmiot przetwarzający), chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego. 

 

Celem nałożonego obowiązku jest czuwanie nad kręgiem podmiotów przez które dane osobowe są przetwarzane, czy inaczej – by dostęp do danych osobowych posiadały osoby wskazane przez administratora, zaś osoby upoważnione do przetwarzania danych osobowych przetwarzały je na zasadach i w sposób określony przez administratora (czyli zgodnie z poleceniem administratora).

Administrator (podmiot przetwarzający) może upoważnić inną osobę do nadawania upoważnień do przetwarzania danych osobowych, choć w ocenie PUODO wydawanie upoważnień osobiście przez osobę kierującą lub zarządzającą podmiotem będącym administratorem (podmiotem przetwarzającym) może istotnie wpłynąć na zapewnienie kontroli nad prawidłowym przebiegiem ich wydawania. Osobą, o której mowa w zdaniu poprzedzającym nie powinna być jednak osoba wyznaczona na stanowisko Inspektora Ochrony Danych (IOD), albowiem powoduje to konflikt interesów (art. 38 ust. 6 RODO). Do zadań IOD należy, bowiem monitorowanie przestrzegania przepisów o ochronie danych osobowych i ustanowionych przez administratora (podmiot przetwarzających) wewnętrznych polityk z zakresu ochrony danych osobowych (zob. art. 39 RODO) Podobne stanowisko wyraził PUODO (zob. Czy IOD może nadawać upoważnienia).

Oprócz tego, nadanie upoważnień do przetwarzania danych osobowych stanowi rodzaj zabezpieczenia przetwarzanych danych osobowych.

Art. 32 ust. 1 RODO

Administrator i podmiot przetwarzający mają obowiązek, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. 

Należy podzielić pogląd K. Witkowskiej – Nowakowskiej, że upoważnienie do przetwarzania danych osobowych do działania z upoważnienia administratora (podmiotu przetwarzającego) należy udzielić nie tylko osobom przetwarzającym dane osobowe, które są zatrudnione na umowę o pracę czy w oparciu o cywilnoprawne formy zatrudnienia. O udzieleniu upoważnienia do przetwarzania danych osobowych należy również pamiętać w przypadku praktykantów, stażystów, a nawet osoby współpracującej i prowadzącej działalność gospodarczą. Generalnie przyjmuje się, że osoba upoważniona do przetwarzania danych osobowych powinna być w pewien sposób zależna od administratora i nie powinna posiadać uprawnienia do decydowania o przetwarzaniu danych osobowych. Dodatkowo powinna działać w ramach organizacji administratora (podmiotu przetwarzającego) (K. Witkowska-Nowakowska, komentarz do art. 29 [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, pod red. E. Bielak -Jomaa, D. Lubasz, Lex).

Forma upoważnienia do przetwarzania danych osobowych

Pomimo licznych stanowisk przedstawicieli doktryny odnoszących się do formy pisemnej upoważnienia, dalej pojawiają się wątpliwości co do możliwości udzielania upoważnienia do przetwarzania danych osobowych w formie elektronicznej. Mając na uwadze jedną z naczelnych zasad RODO – zasadę rozliczalności (art. 5 ust. 2 RODO) dopuścić należy udzielenie przedmiotowego upoważnienia w formie elektronicznej, także stworzonego i podpisanego w dedykowanym temu procesowi systemie teleinformatycznym (tak PUODO [w:] Czy elektroniczna postać upoważnienia spełnia wymogi „pisemnego upoważnienia”?).

Co powinno zawierać upoważnienie do przetwarzania danych?

Upoważnienie do przetwarzania danych osobowych powinno zawierać takie dane jak:

  1. datę i miejscowość wydania upoważnienia
  2. oznaczenie, że dokument jest „upoważnieniem do przetwarzania danych osobowych” (choć będzie to wynikać z jego treści)
  3. podstawę prawną udzielonego upoważnienia (np. na podstawie art. 29 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1 ze zm.)
  4. imię i nazwisko, ewentualnie stanowisko osoby, która ma być upoważniona do przetwarzania danych osobowych
  5. zakres upoważnienia do przetwarzania danych osobowych
  6. okres ważności udzielonego upoważnienia (w przypadku udzielania ich bezterminowo, należy pamiętać o ich odwołaniu)
  7. zobowiązanie do:
    • do działania zgodnie z udzielonym upoważnieniem
    • zachowania poufności
    • przestrzegania przepisów o ochronie danych osobowych
    • przestrzegania zasad obowiązujących w firmie
  8. podpis osoby upoważniającej
  9. podpis osoby upoważnionej 

W praktyce nadanie upoważnienia powinno być związane z podpisaniem przez osobę odbierającą upoważnienie oświadczenia o zapoznaniu się z przepisami dotyczącymi ochrony danych osobowych, zasadami obowiązującymi w organizacji (firmie) oraz o przyjęciu do wiadomości obowiązku zachowania tajemnicy, przestrzegania przepisów o ochronie danych osobowych oraz działania zgodnie z udzielonym upoważnieniem. W przypadku zawarcia oświadczenia i upoważnienia w jednym dokumencie należy pamiętać o podpisie osoby składającej oświadczenie, a także dwóch egzemplarzach upoważnienia (1 dla organizacji, 1 dla upoważnionego, składającego oświadczenie).

Zakresy upoważnień do przetwarzania danych osobowych powinny być ustalone tak, aby zapewnić realizację obowiązku kontrolowania przez administratora (podmiot przetwarzający) przetwarzania przez osoby upoważnione danych osobowych, w tym czy osoby upoważnione do przetwarzania danych osobowych mają faktyczny dostęp do danych osobowych tylko w zakresie udzielonych upoważnień.

Źródła:

  1.  Stanowisko PUODO z dnia 29.11.2019 r., Czy IOD może nadawać upoważnienia? (online:) https://uodo.gov.pl/pl/225/1277, [dostęp: 24.01.2020 r.]
  2. Stanowisko PUODO z dnia 29.11.2019 r., Czy elektroniczna postać upoważnienia spełnia wymogi „pisemnego upoważnienia”?, https://uodo.gov.pl/pl/225/1278, [dostęp: 24.01.2020 r. ]
  3. K. Witkowska-Nowakowska, komentarz do art. 29 [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, pod red. E. Bielak -Jomaa, D. Lubasz, Lex
  4. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1 ze zm.

Aktualizacja 18.01.2021 r. 

Share on facebook Facebook Share on email Email Share on linkedin LinkedIn Share on print Print
Udostępnij

Natalia Stojanowska

Prawnik biznesowy. Wspieram przedsiębiorców, którzy skupiają swoje działania w internecie. Dostarczam poszukującym wsparcia prawnego, eksperckich porad i wskazówek dotyczących prowadzenia biznesu online. Założycielka projektu Tu Dział Prawny.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *