Pytanie pochodzi z LEX Ochrona Danych Osobowych: Czy obecnie obowiązujące przepisy wymagają wydawania upoważnień do przetwarzania danych osobowych? Obowiązek nadawania upoważnień wynikał z art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, który jednoznacznie stwierdzał, że: „Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych”.

Odpowiedź:

Jak słusznie zauważyła osoba zadająca pytanie, przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) nie wskazują wprost, tak jak dotychczasowa ustawa o ochronie danych osobowych, obowiązku upoważniania do przetwarzania danych osobowych. Jednakże z przepisów art. 5 RODO wynika konieczność zapewnienia rozliczalności przetwarzanych danych, w tym zapewnienie kontroli nad tym, kto, kiedy i w jakim zakresie przetwarza dane w imieniu administratora. Jednocześnie art. 29 RODO wymaga, aby każde przetwarzanie danych odbywało się na wyraźne polecenie administratora. Nierealnym jest bowiem, aby administrator realizował wszystkie swoje zadania samodzielnie.

Administratorzy delegując zadania powinni uwzględniać problematykę ochrony danych osobowych – każda osoba działająca z upoważnienia administratora i mająca dostęp do danych przetwarza je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Ponadto, warto wspomnieć o art. 32 RODO, odnoszącym się do bezpieczeństwa przetwarzania danych osobowych. Zgodnie z ust. 4 wspomnianego przepisu, administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z uprawnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

Konieczność nadawania upoważnień została także wskazana przez Prezesa UODO w poradniku dotyczącym zatrudnienia:

Szkolenia z zakresu bhp mogą być przeprowadzone przez pracownika pracodawcy wyznaczonego np. ds. bhp lub podmiot zewnętrzny (osobę fizyczną lub firmę). Pracownik ds. bhp lub podmiot zewnętrzny będący osobą fizyczną powinni posiadać upoważnienie do przetwarzania danych osób biorących udział w szkoleniu. Z kolei firma zewnętrzna będzie musiała zawrzeć z pracodawcą umowę powierzenia przetwarzania danych osobowych. Należy pamiętać, że podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego, mająca dostęp do danych osobowych, przetwarzają je wyłącznie na polecenie administratora, chyba że inne przepisy przewidują od tego wyjątek. W razie pozostawania przez pracownika z pracodawcą w stosunku pracy, może on przetwarzać dane osobowe administrowane przez pracodawcę na podstawie udzielonego upoważnienia. W sytuacji, gdy administrator korzysta również z cywilnoprawnych form zatrudnienia (w tym także samozatrudnienia), gdzie tak zatrudnione osoby w efekcie przy przetwarzaniu danych osobowych korzystają ze środków i rozwiązań organizacyjnych administratora (np. systemów, pomieszczeń), a ponadto robią to na polecenie administratora, również należy uznać upoważnienie jako warunek dopuszczający przetwarzanie danych. Administrator, zgodnie z zasadą rozliczalności, powinien móc udowodnić fakt udzielenia upoważnienia do przetwarzania danych. W takich sytuacjach co do zasady nie dochodzi więc do powierzenia przetwarzania danych. („Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców”, s. 29-30, 41, uodo.gov.pl/pl/138/545, dostęp z 19.04.2021 r.).

Czytaj też: Czy urząd musi udostępnić petentowi nagranie jego rozmowy telefonicznej? >

Obowiązek upoważniania do przetwarzania danych osobowych został także wprost nałożony na administratora danych poprzez znowelizowane przepisami ustawy z 21.02.2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE przepisy sektorowe, co rozwiewa wszelkie wątpliwości dotyczące konieczności lub nie upoważniania przez administratora osób dopuszczonych do przetwarzania w jego imieniu danych osobowych.

Zgodnie z par. 3 art. 22[1] b Kodeksu pracy do przetwarzania danych osobowych szczególnych kategorii (m. in. danych dot. stanu zdrowia kandydata do pracy lub pracownika) mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy.

Zgodnie z art. 8 ust. 1 ustawy o zakładowym funduszu świadczeń socjalnych do przetwarzania danych o stanie zdrowia osoby ubiegającej się o świadczenie socjalne mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę.

Ochrona danych osobowych. Ocena ryzyka i skutków. Metody i praktyczne przykłady ebook

Tomasz Izydorczyk, Mirosław Gumularz

Sprawdź  

Prezes UODO o upoważnieniach

Prezes Urzędu Ochrony Danych Osobowych szeroko odnosił się do problematyki upoważnień do przetwarzania danych osobowych. Co do zasady, administrator może upoważnić inną osobę do nadawania upoważnień do przetwarzania danych w jego imieniu. W ocenie organu nadzorczego, administrator danych osobowych nie może jednak upoważnić do nadawania takich upoważnień w jego imieniu inspektora ochrony danych. Upoważnienia takie mogą być natomiast nadawane przez np. kierownika działu HR, czy też kierowników poszczególnych pionów organizacyjnych (https://uodo.gov.pl/pl/225/1275, dostęp: 19.04.2021).

- Zgodnie z RODO, inspektor ochrony danych osobowych ma być właściwie oraz niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Podlega on bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Zadania IOD określone zostały w art. 39 RODO. W katalogu zadań znalazły się m.in. informowanie administratora o obowiązkach, które spoczywają na nim na mocy RODO, monitorowanie przestrzegania RODO, współpraca z organem nadzorczym - mówi Kinga Ciosk z kancelarii Raczkowski. Jak podkreśla, IOD nie powinien otrzymywać instrukcji dotyczących wykonywania wspomnianych zadań, nie może być również karany za ich wypełnianie (np. gdy współpraca z organem nadzorczym jest w ocenie administratora zbędna, zaś IOD realizuje swój obowiązek współpracy z organem nadzorczym). - Administrator musi pamiętać, że zadania i obowiązki IOD wykraczające poza katalog z art. 39 RODO nie mogą powodować konfliktu interesów. W pełni uzasadnione jest zatem stanowisko Prezesa UODO, w którym wskazano na możliwość wystąpienia konfliktu interesów w przypadku upoważnienia IOD do nadawania upoważnień do przetwarzania danych w imieniu administratora - zaznacza Kinga Ciosk. I dodaje: - Oczywiście, administrator danych może zwrócić się do inspektora ochrony danych z prośbą o konsultację w zakresie nadawania upoważnień.

Prezes UODO wypowiedział się również na temat nadawania upoważnień w postaci elektronicznej. Administratorzy danych osobowych często nadają bowiem upoważnienia właśnie w tej formie, a jak już wspomniano, wiele przepisów prawa wymaga „nadania upoważnienia w formie pisemnej” (np. wspomniany już art. 8 ust. 1 ustawy o zakładowym funduszu świadczeń socjalnych). W ocenie organu nadzorczego, nadanie upoważnienia w postaci elektronicznej uznać należy za wykonanie obowiązku nadania upoważnienia w formie pisemnej. W świetle zasady rozliczalności, jakakolwiek postać, w tym elektroniczna, która pozwala na udokumentowanie spełnienia obowiązków jest prawidłowa (https://uodo.gov.pl/pl/225/1278, dostęp: 19.04.2021).

Więcej informacji znajdziesz w LEX Ochrona Danych Osobowych:

Umowa powierzenia przetwarzania danych osobowych - POBIERZ WZÓR >

Klauzula informacyjna dla pracownika - dane pracownika przetwarzane w oparciu o przepis prawa - POBIERZ WZÓR >

Czynności kontrolne wykonywane przez kontrolujących z Urzędu Ochrony Danych Osobowych - PROCEDURA >

Czy od pracownika pełniącego funkcję IODO można zażądać zaświadczenia o niekaralności? >