1

Upoważnienie do przetwarzania danych osobowych

Wstęp

Administrator musi spełnić liczne obowiązki prawne związane z przetwarzaniem danych osobowych. Podobne obowiązki stawiane są podmiotowi przetwarzającemu. Czy zastanawiałaś(-łeś) się jednak, w jakim celu udzielane jest upoważnienie do przetwarzania danych?

Upoważnienie jako obowiązek prawny

Upoważnienie do przetwarzania danych osobowych stanowi wyraz wykonania obowiązku, określonego w art. 32 ust. 4 w zw. z art. 29 RODO, do podejmowania działań w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora (podmiot przetwarzający), chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

Celem nałożonego obowiązku jest czuwanie nad kręgiem podmiotów, przez które dane osobowe są przetwarzane. Niewątpliwie to administrator musi czuwać nad tym, aby dostęp do danych osobowych miały osoby wskazane przez niego. Oprócz tego, osoby upoważnione do przetwarzania danych osobowych muszą przetwarzać je na zasadach i w sposób określony przez administratora (czyli zgodnie z poleceniem administratora).

Administrator (podmiot przetwarzający) może upoważnić inną osobę do nadawania upoważnień do przetwarzania danych osobowych. W ocenie Prezesa Urzędu Ochrony Danych Osobowych (PUODO) jednak wydawanie upoważnień osobiście przez osobę kierującą lub zarządzającą podmiotem będącym administratorem może istotnie wpłynąć na zapewnienie kontroli nad prawidłowym przebiegiem ich wydawania. Osobą, o której mowa w poprzednim zdaniu, nie powinna być jednak osoba wyznaczona na stanowisko inspektora ochrony danych (IOD). Powoduje to konflikt interesów (art. 38 ust. 6 RODO). Ostatecznie przecież do zadań IOD należy bowiem monitorowanie przestrzegania przepisów o ochronie danych osobowych i ustanowionych przez administratora wewnętrznych polityk z zakresu ochrony danych osobowych (zob. art. 39 RODO). Podobne stanowisko wyraził PUODO (zob. Czy IOD może nadawać upoważnienia).

Upoważnienie jako zabezpieczenie prawne

Oprócz tego nadanie upoważnień do przetwarzania danych osobowych stanowi rodzaj zabezpieczenia tych informacji.

Administrator i podmiot przetwarzający mają obowiązek, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

Art. 32 ust. 1 RODO

Komu udzielić upoważnienia?

Należy podzielić pogląd K. Witkowskiej-Nowakowskiej, że upoważnienia do przetwarzania danych osobowych do działania z upoważnienia administratora należy udzielić nie tylko osobom przetwarzającym dane osobowe, które są zatrudnione na umowę o pracę czy na podstawie cywilnoprawnych form zatrudnienia. 

Dodatkowo o udzieleniu upoważnienia do przetwarzania danych osobowych należy również pamiętać w przypadku:

 • praktykantów;
 • stażystów; 
 • osoby współpracującej (np. małżonka). 

Generalnie przyjmuje się, że osoba upoważniona do przetwarzania danych osobowych powinna być w pewien sposób zależna od administratora. Nie powinna posiadać uprawnienia do decydowania o przetwarzaniu danych osobowych. Dodatkowo powinna działać w ramach organizacji administratora (podmiotu przetwarzającego).

K. Witkowska-Nowakowska, komentarz do art. 29 [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak -Jomaa, D. Lubasz, Lex

Forma upoważnienia

Pomimo licznych stanowisk dostępnych w literaturze odnoszących się do formy pisemnej upoważnienia dalej pojawiają się wątpliwości co do możliwości udzielania upoważnienia do przetwarzania danych osobowych w formie elektronicznej. Niewątpliwie taka forma jest prawnie dopuszczalna.

Mając na uwadze jedną z naczelnych zasad RODO – zasadę rozliczalności (art. 5 ust. 2 RODO) dopuścić należy udzielenie przedmiotowego upoważnienia w formie elektronicznej, także stworzonego i podpisanego w dedykowanym temu procesowi systemie teleinformatycznym.

PUODO [w:] Czy elektroniczna postać upoważnienia spełnia wymogi „pisemnego upoważnienia”?

Co powinno zawierać upoważnienie?

Upoważnienie do przetwarzania danych osobowych powinno zawierać takie dane jak:

 1. datę i miejscowość wydania upoważnienia;
 2. oznaczenie, że dokument jest „upoważnieniem do przetwarzania danych osobowych” (choć będzie to wynikać z jego treści);
 3. podstawę prawną udzielonego upoważnienia (np. na podstawie art. 29 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1 ze zm.);
 4. imię i nazwisko, ewentualnie stanowisko osoby, która ma być upoważniona do przetwarzania danych osobowych;
 5. zakres upoważnienia do przetwarzania danych osobowych;
 6. okres ważności udzielonego upoważnienia (w przypadku udzielania go bezterminowo należy pamiętać o jego odwołaniu);
 7. zobowiązanie do:

  • działania zgodnie z udzielonym upoważnieniem,
  • zachowania poufności,
  • przestrzegania przepisów o ochronie danych osobowych,
  • przestrzegania zasad obowiązujących w firmie;

 8. podpis osoby upoważniającej;
 9. podpis osoby upoważnionej. 

W praktyce nadanie upoważnienia powinno być związane z podpisaniem przez osobę odbierającą upoważnienie oświadczenia o zapoznaniu się z przepisami dotyczącymi ochrony danych osobowych, zasadami obowiązującymi w organizacji (firmie), o przyjęciu do wiadomości obowiązku zachowania tajemnicy, przestrzegania przepisów o ochronie danych osobowych oraz działania zgodnie z udzielonym upoważnieniem. Warto pamiętać, że w przypadku zawarcia oświadczenia i upoważnienia w jednym dokumencie należy pamiętać o podpisie osoby składającej oświadczenie, a także dwóch egzemplarzach upoważnienia (1 dla organizacji, 1 dla upoważnionego składającego oświadczenie).

Podsumowanie

Na zakończenie należy podkreślić, że zakresy upoważnień do przetwarzania danych osobowych mają zapewnić realizację obowiązku kontrolowania przez administratora przetwarzania danych. Administrator powinien mieć możliwość weryfikacji, czy osoby upoważnione do przetwarzania danych osobowych mają faktyczny dostęp do nich tylko w zakresie udzielonych upoważnień. 


Niniejszy artykuł ma charakter wyłącznie edukacyjny i nie stanowi porady prawnej ani opinii prawnej. Zapoznaj się z notą prawną.

Jeżeli potrzebujesz indywidualnej pomocy związanej dostosowaniem się do zmian prawnych, napisz na napisz@tudzialprawny.pl

Stan prawny na dzień: 24.01.2020 r. Aktualizacja: 16.04.2024 r.


Bibliografia

 1. Stanowisko PUODO z dnia 29.11.2019 r., Czy IOD może nadawać upoważnienia? (online:) https://uodo.gov.pl/pl/225/1277, [dostęp: 24.01.2020 r.]
 2. Stanowisko PUODO z dnia 29.11.2019 r., Czy elektroniczna postać upoważnienia spełnia wymogi „pisemnego upoważnienia”?, https://uodo.gov.pl/pl/225/1278, [dostęp: 24.01.2020 r. ]
 3. K. Witkowska-Nowakowska, komentarz do art. 29 [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak -Jomaa, D. Lubasz, Lex
 4. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1 ze zm.

Źródło zdjęcia: Vanessa Garcia, Pexels, https://www.pexels.com/pl-pl/zdjecie/osoba-w-niebieskiej-koszuli-z-dlugim-rekawem-gospodarstwa-bialej-ksiegi-6325904/, dostęp: 14.03.2024 r.