Marta Wiśniewska

radca prawny
Senior Associate
Phone: +48 22 244 00 22
E-Mail

Rozporządzenie o Ochronie Danych Osobowych (RODO) nie przewiduje wprost obowiązku wydawania przez administratora danych pisemnych upoważnień do przetwarzania danych osobowych. RODO posługuje się w tym zakresie jedynie pojęciami działania „z upoważnienia” lub „na polecenie” administratora, nie regulując formy przedmiotowego upoważnienia.

Upoważnienie według RODO

W świetle omawianych przepisów bardzo istotna jest jednak kwestia rozliczalności, czyli możliwości udowodnienia przez administratora danych, że dana osoba (np. pracownik) przy przetwarzaniu danych osobowych działa z jego upoważnienia.
Wobec zniesienia, wraz z wejściem w życie RODO, dotychczasowego obowiązku wydawania pisemnych upoważnień, wielu przedsiębiorców odeszło od tej praktyki podczas wdrażania nowych regulacji dotyczących ochrony danych osobowych.
Zakres „upoważnienia” danej osoby do przetwarzania danych (w szczególności dostępu do nich) wynika często z zakresu uprawnień tej osoby do pracy w systemach informatycznych, a dodatkowo określany jest zwykle w wewnętrznych ogólnych regulacjach, którymi dana osoba jest związana (np. opisie stanowiska, z którego jednocześnie wynika zakres upoważnienia do przetwarzania danych, w zależności m.in. od zadań służbowych).

Elektroniczny system upoważnień w praktyce pozwala na lepszy nadzór nad udzielonymi upoważnieniami, w tym także ich odpowiednie modyfikacje w razie np. zmiany zakresu zadań służbowych wynikających ze zmiany stanowiska pracy w ramach tej samej organizacji.

Ustawa sektorowa

4 maja 2019 r. weszła w życie ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO („Ustawa sektorowa”). Ma ona na celu dostosowanie polskich przepisów do RODO.

Polski ustawodawca w Ustawie sektorowej nałożył jednak na administratorów danych więcej obowiązków w zakresie upoważnień do przetwarzania danych  od tych, określonych w rozporządzeniu.

Ustawa sektorowa przewiduje bowiem, że w konkretnych przypadkach osoby przetwarzające dane osobowe muszą posiadać pisemne upoważnienie do przetwarzania danych wydane przez administratora danych. W szczególności dotyczy to:

  • przetwarzania danych szczególnej kategorii kandydatów do pracy,
  • przetwarzania danych szczególnej kategorii dotyczących pracowników,
  • przetwarzania danych dotyczących zdrowia osób ubiegających się o świadczenia z Zakładowego Funduszu Świadczeń Socjalnych.

Dodatkowo, osoby dopuszczone do przetwarzania ww. kategorii danych osobowych muszą zostać zobowiązane do zachowania ich w tajemnicy.

Weryfikacja procedur i zobowiązanie do zachowania tajemnicy

Wykładnia nowych polskich przepisów prowadzi do wniosku, że jedynie w przypadkach wprost wskazanych w Ustawie sektorowej konieczne jest wydanie przez administratora pisemnego upoważnienia do przetwarzania danych osobowych. W pozostałych przypadkach administratorzy danych nie są ustawowo zobligowani do wydawania upoważnień w takiej formie. Niemniej jednak, w przypadku kontroli, będą musieli oni wykazać, że osoby przetwarzające dane osobowe działały z ich upoważnienia.

Przedsiębiorcy, którzy w ramach wdrożenia przepisów RODO w swojej organizacji odeszli od wydawania indywidulanych pisemnych upoważnień, muszą w świetle nowych przepisów zweryfikować dotychczasowe procedury oraz dostosować wewnętrzne regulacje i praktykę do nowych przepisów, w szczególności wydawać pisemne upoważnienia w przypadkach wskazanych w Ustawie sektorowej.

Z drugiej zaś strony przedsiębiorcy, którzy dotychczas stosowali system indywidualnych pisemnych upoważnień, powinni pozostać przy tym rozwiązaniu. Pozwala ono bowiem zarówno wywiązać się z nowych obowiązków nałożonych Ustawą sektorową, jak i rozliczyć się z ogólnego „upoważnienia” do przetwarzania danych zgodnie z RODO.

Wszyscy przedsiębiorcy, niezależnie od stosowanego systemu nadawania upoważnień, powinni dokonać weryfikacji, czy osoby przetwarzające określone kategorie danych osobowych wskazane w Ustawie sektorowej zostały skutecznie zobowiązane do zachowania tajemnicy.

W przypadku zainteresowania audytem RODO, zapraszamy do kontaktu z ekspertami Rödl & Partner w Gdańsku, Gliwicach, Krakowie, Poznaniu, Warszawie i Wrocławiu.

Marta Wiśniewska

15.05.2019