Forma upoważnienia do przetwarzania danych osobowych 

BySylwia Ostrowska
upoważnieniePrzetwarzanie danych osobowych przez pracownika 

Zgodnie z art. 29 Ogólnego rozporządzenia o ochronie danych (RODO), osoba działająca z upoważnienia administratora może przetwarzać dane osobowe wyłącznie na jego polecenie, o ile nie wymaga tego obowiązujące prawo. Przepis ten jednoznacznie wskazuje, że pracownik danej organizacji nie może przetwarzać danych tak po prostu, bo jest to mu potrzebne. Wymagane jest umocowanie, upoważnienie, bezpośrednie polecenie administratora, by pracownik mógł dane osobowe przetwarzać w ramach wykonywania swoich obowiązków. Chociaż sam obowiązek nadania upoważnienia na gruncie wskazanego przepisu nie budzi wątpliwości, to brak określenia wymaganej formy może być problematyczny. 

Stosowanie upoważnień ustnych

Skoro przepisy nie wskazują, w jakiej formie nadawać upoważnienie, to czy z pewnością oznacza, że może być dowolna? Nie do końca. Wiadomo, że, podobnie jak umowy na gruncie prawa cywilnego, tak i upoważnienia w formie ustnej nie są niezgodne z prawem i są wiążące. Problem jednak polega na tym, że udowodnienie nadania takiego upoważnienia byłoby niezwykle trudne. Należy zawsze pamiętać o zasadzie rozliczalności wskazanej w art. 5 ust. 2 RODO. Zasada ta nakłada na administratora pełen ciężar dowodu pod kątem zgodności z prawem dokonywanego przez niego przetwarzania danych osobowych. Oznacza to, iż administrator musi być w stanie w każdej sytuacji wykazać, iż nie narusza przepisów dotyczących ochrony danych osobowych. Jak w takim razie mógłby udowodnić przed Urzędem Ochrony Danych Osobowych (UODO), że pracownicy mają nadane stosowne ustne upoważnienia? Założenie, że UODO uwierzy administratorowi na słowo, byłoby prostą drogą do otrzymania od organu nadzorczego dotkliwej kary. Dlatego też, upoważnienie w formie ustnej, choć teoretycznie wiążące, nie może być uznane za bezpieczne rozwiązanie chroniące organizację przed potencjalnie bolesną interwencją Urzędu. 

Forma upoważnienia gwarantująca zgodność 

Aby organizacja mogła mieć gwarancję, że nie spotkają jej negatywne konsekwencje z tego tytułu, najbezpieczniejszym rozwiązaniem jest stosowanie upoważnień pisemnych. Mogą one mieć zarówno formę elektroniczną jak i papierową, jednakże istotne jest, aby były one podpisane przez przedstawiciela administratora. Pozwala to administratorowi jednoznacznie wykazać, że upoważnienia wydano oraz nadano każdemu pracownikowi indywidualnie. Istotne jest również, aby nadawać upoważnienia wszystkim osobom mającym dostęp do danych osobowych i tylko tym osobom. W przeciwnym wypadku, administratora można oskarżyć o nadawanie dostępu do danych nadmiernej ilości osób bądź osobom do tego nieumocowanym. 

Treść upoważnienia

Wątpliwością organizacji może być to, co powinno znaleźć się w treści upoważnienia, której przepisy nie określają. W tym zakresie można stosować różne podejścia. Upoważnienie wskazujące, iż określony pracownik może przetwarzać dane osobowe w formie papierowej lub elektronicznej niezbędnych do pełnienia obowiązków służbowych na danym stanowisku, jest co do zasady wystarczające. Wyjątkiem jest sytuacja, kiedy pracownik otrzymuje dostęp do danych osobowych niewchodzący w zakres obowiązków na danym stanowisku. Przykładem takiej sytuacji jest umożliwienie ze względów bezpieczeństwa wglądu do monitoringu wizyjnego pracownikowi działu kadr. Wtedy należy nadać indywidualne upoważnienie szczegółowe do tej konkretnej czynności, gdyż nie jest ona objęta wspomnianym wcześniej upoważnieniem ogólnym. Aby dodatkowo zwiększyć poziom rozliczalności, administrator może w każdym upoważnieniu precyzyjnie określać czynności oraz zakres danych przetwarzanych przez danego pracownika. Taki zabieg, choć nie niezbędny, może ułatwić administratorowi, chociażby, zidentyfikować przyczynę wystąpienia naruszenia ochrony danych osobowych oraz osobę odpowiedzialną. 

Najskuteczniejszą gwarancją bezpieczeństwa danych osobowych w organizacji, w tym nadawania stosownych upoważnień, jest skorzystanie z usług InspektorzyODO sp. z o.o. Z naszą ofertą można zapoznać się pod Ochrona danych osobowych – Inspektorzy ODO.