Zgodnie z obowiązującym art.  37 ustawy z dnia z dnia 29 sierpnia 1997 r. o ochronie danych osobowych [Dz.U. 1997 nr 133 poz. 883 ze zm. - dalej jako UODO], do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

W sprawie tej regulacji wypowiadał się Sąd Najwyższy, wskazują, że przepis art. 37 UODO należy rozumieć jako ustanawiający zakaz dopuszczania osób innych niż mające upoważnienie nadane przez administratora danych do przetwarzania danych osobowych. Do przetwarzania danych nie jest wystarczające upoważnienie wynikające ze stosunku prawnego łączącego daną osobę z administratorem danych, np. w związku z zawarciem umowy o pracę czy umowy zlecenia albo innej umowy o świadczenie usług, do której stosuje się odpowiednio przepisy o zleceniu.

UODO nie określa wymagań kwalifikacyjnych, jakie muszą spełniać osoby upoważnione do przetwarzania danych osobowych [Wyrok SN z dnia 4 kwietnia 2017 r. II PK 37/16].

Obserwowaną praktyką jest nieprzywiązywanie większej uwagi do omawianego obowiązku przez administratorów danych, co wpisywało się w ogólną tendencję do dość dowolnego przestrzegania przepisów obowiązującej ustawy. Upoważnienia albo w ogóle nie były udzielane, albo ich nadawanie ograniczane było wyłącznie do działów kadr.

Co więcej, podczas audytów stosunkowo często można było zaobserwować, iż upoważnieniom nadawano jednakową treść dla każdej osoby dopuszczanej do przetwarzania danych, niezależnie od faktycznego zakresu czynności związanego z ich przetwarzaniem. Nie oznacza to jednak, że administrator danych może nadawać upoważnienia do przetwarzania danych dowolnym osobom. Administrator danych jest bowiem obowiązany dołożyć szczególnej staranności w doborze osób upoważnionych do przetwarzania danych osobowych, który to obowiązek można wyprowadzić z ogólnego obowiązku ochrony interesów osób, których dane dotyczą (art. 26 ust. 1 UODO), jak również zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

W związku z powyższym, zarówno krąg osób, które są dopuszczane do przetwarzania danych osobowych nie powinien być zbyt szeroki, jak też zakresy udzielanych upoważnień do przetwarzania danych powinny być dostosowane do celu, ze względu na który upoważnienie jest udzielane.

Na poparcie powyższego należy wskazać na treść art. 39 UODO, ustanawiającego obowiązek prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych, w której to ewidencji powinno się zawrzeć takie informacje jak: imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych oraz identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Ani w stosunku do samej treści upoważnienia, ani co do ewidencji nie była przewidywana forma pisemna. W praktyce jednak najczęściej upoważnienia wystawiane były w formie pisemnej a ewidencję powadzono w postaci elektronicznej.

 Co zmieni RODO?

Wbrew temu, co mogło by się wydawać, z uwagi na brak w RODO analogicznej do omówionej powyżej regulacji z UODO, nie tylko obowiązek ten jest utrzymany, ale został również uzupełniony istotniejszym nawet na gruncie RODO elementem, jakim jest „polecenie” przetwarzania danych.Artykuł 29 RODO, który został zatytułowany jako „przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego” w istocie nakłada na podmiot przetwarzający oraz każdą osobę działającą z upoważnienia administratora lub podmiotu przetwarzającego i mającą dostęp do danych osobowych obowiązek przetwarzania danych wyłącznie na polecenie administratora. Z przepisu tego wynika, iż już na etapie „dostępu do danych” osoby upoważnione przez administratora lub podmiot przetwarzający są związane poleceniem.  Innymi słowy, należy stwierdzić, iż samo upoważnienie bez polecenia administratora danych nie pozwala na zgodne z prawem ich przetwarzanie. Wyjątki w tym zakresie mogą wynikać z prawa Unii lub prawa państwa członkowskiego.

Poleceniem administratora związana jest więc zarówno:

  • osoba działająca z upoważnienia administratora danych osobowych,
  • podmiot przetwarzający, jak i
  • osoba działająca z upoważnienia podmiotu przetwarzającego.

Mając na uwadze treść art. 28 pkt 2.a) RODO nie powinno budzić wątpliwości, że udokumentowane polecenie, jakie administrator danych osobowych udziela przetwarzającemu będzie jednocześnie wyznaczało granice dla osób przez niego upoważnionych.   

  RODO. Ogólne rozporządzenie o ochronie danych. Komentarz >>

W związku z powyższym należy wskazać, iż wykroczenie poza zakres polecenia może zostać potraktowane jako przetwarzanie danych osobowych bez uprawnienia, co z kolei może mieć dla takiej osoby doniosłe konsekwencje. W projekcie ustawy o ochronie danych osobowych z dnia 8 lutego 2018 r. w rozdziale poświęconym przepisom karnym dla osoby, która przetwarza dane osobowe a do przetwarzania których nie jest uprawniona przewidziana jest kara grzywny, ograniczenia wolności albo pozbawienia wolności do lat dwóch. Jeżeli czyn ten dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, biometrycznych, o stanie zdrowia, seksualności lub orientacji seksualnej, osoba ta podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech. (art. 101 projektu ustawy o ochronie danych osobowych z dnia 8 lutego 2018r.).  

W art. 32 ust. 4 RODO, dotyczącym bezpieczeństwa przetwarzania przesądzono, iż zarówno administrator danych jak również podmiot przetwarzający są obowiązani do podjęcia działań w celu zapewnienia, by każda osoba fizyczna działająca z ich upoważnienia która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

Podobnie jak w UODO, również RODO milczy odnośnie formy upoważnienia jako takiego. W kontekście polecenia dla podmiotu przetwarzającego pojawia się określenie „udokumentowane”. Zgodnie z zasadą rozliczalności, zarówno administrator jak i podmiot przetwarzający powinni być w stanie wykazać, iż przestrzegają oni zasad przetwarzania danych, o których mowa w art. 5 RODO. Wśród nich należy szczególnie wskazać na zasadę poufności danych (art. 5 lit. f RODO).

W analizowanym kontekście dla zapewnienia poufności danych niezbędnym jest, tak jak to wynika z obecnie obowiązującego art. 37 UODO, aby do przetwarzania danych dopuszczone były wyłącznie osoby posiadające upoważnienie nadane przez administratora danych inaczej a co za tym idzie, aby osoby, które takiego upoważnienia nie posiadają zostały pozbawione stosownego dostępu lub aby był on ze względów technicznych lub/i organizacyjnych uniemożliwiony. Co więcej, po 25 maja 2018 r. to właśnie z zakresu polecenia wynikał będzie dozwolony zakres skorzystania z udzielonego upoważnienia.

Na ile jest to możliwe od strony organizacyjnej, biorąc pod uwagę zasadę rozliczalności, w niewielkich organizacjach należy rekomendować wystawienie pisemnych upoważnień, w których treści powinno być zawarte także szczegółowe polecenie wykonania konkretnych czynności przetwarzania. Polecenia takie mogą również stanowić załącznik do upoważnienia w tych sytuacjach, w których mamy do czynienia ze zmiennością zakresu przetwarzania.Nie widzę również przeciwskazań, aby polecenia wypełniające właściwą treścią udzielone upoważnienia miały postać elektroniczną, o ile tylko pod względem organizacyjnym da się zapewnić osobom upoważnionym bieżący dostęp do treści polecenia oraz w przypadku jego modyfikacji osoby te powinny być każdorazowo automatycznie informowane.

r. pr. dr Dominika Dörre-Kolasa
Partner w kancelarii Raczkowski Paruch