28 Lis

RODO: czy trzeba będzie upoważniać do przetwarzania danych

Chciałabym częściej dla Was pisać, ale niestety doba ma tylko 24 godziny. Bycie popularnym blogerem ma swoją cenę, spędzam nawet kilka godzin dziennie (głownie wieczorami) odpisując na pytania z Waszych maili. Jednakże wiele z nich bardzo pozytywnie mnie nastraja, bo tworzą obraz naprawdę dużego i fajnego zaangażowania w tematykę ochrony prywatności. Ale pora wrócić do zagadnienia rozliczalności procesów przetwarzania. Zodnie z art. 38. UODO: Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane, czyli jednym z najważniejszych obowiązków administratora danych jest posiadanie wiedzy nad tym kto, kiedy i w jakim zakresie ma dostęp do jego zasobów chronionych. Dlatego powinien nadawać uprawnienia do systemów informatycznych oraz zasobów papierowych (np. akta pracownicze, umowy z podwykonawcami). Często mówimy: zakres uprawnień powinien być zgodny z zakresem obowiązków pracownika. Jednakże żyjemy w ciekawych czasach, gdy zakresy obowiązków z upływem przepracowanych lat zaczynają rozmijać się z faktycznym zakresem wykonywanych czynności, a większość osób mających dostęp do danych to wykonawcy usług, na podstawie umów zleceń, dzieł, czy umów na usługi. W dotychczasowym stanie prawnym, odpowiedzią na taki stan rzeczy, było wprowadzenie przez ustawodawcę dodatkowego obowiązku nadawania upoważnień do przetwarzania danych osobowych. Upoważnienie nadaje się każdej osobie, która wykonuje czynności na danych osobowych (także osobom, które robią to w imieniu podmiotu przetwarzającego, o ile umowa powierzenia nie stanowi inaczej). Jest to dość żmudny i czasochłonny obowiązek. Dodatkowo z czasem upoważnień robi się bardzo dużo i ciężko byłoby się w nich odnaleźć, gdyby nie prowadzona dodatkowo ewidencja upoważnień. W praktyce jest to główne źródło wiedzy osoby, która nadzoruje procesy przetwarzania danych, nad tym kto i w jakim zakresie ma dostęp do danych. Jest to także bardzo przydatne narzędzie, gdy trzeba sięgnąć do wiedzy historycznej. Aktualny obowiązek upoważniania do przetwarzania danych wynika z art. 37, a obowiązek prowadzenia ewidencji z art. 39 UODO. Co ciekawe RODO odnosi się do obowiązku upoważniania do przetwarzania danych w zasadzie tylko w jednym miejscu:

art. 28 ust 3. b Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy(…) Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.

Poza tym RODO odnosi się do osób nieuprawnionych do przetwarzania danych (czyli naruszeń poufności). Można więc domniemać, że osoba nieuprawniona to w szczególności ta, która nie otrzymała uprawnień od administratora danych. RODO nie narzuca wprost obowiązku upoważniania do przetwarzania danych osobowych, o ile nie dotyczy to czynności dokonywanych przez podmiot przetwarzający (czyli ten, który robi to w ramach powierzenia). Jednakże jednocześnie RODO wymaga, aby administrator danych był w stanie zapewnić danym osobowym poufność, adekwatność, celowość. Powinien on wiedzieć kto i kiedy miał do nich dostęp. Unijnego ustawodawcę nie interesuje to w jaki sposób administrator danych to zrobi, o ile jego działania będą skuteczne. Po stronie administratora leży udowodnienie, że środki są adekwatne i dają odpowiednie gwarancje. Czytając między wierszami, dochodzimy do wniosku, że zachowanie (być może zmodyfikowanej) procedury upoważniania do przetwarzania danych oraz prowadzenia rejestru upoważnień, może być jednym ze środków nadzoru stosowanych przez ADO, czyli wykazującym jego należytą staranność. RODO nie narzuca formy upoważniania, ustawa o ochronie danych też tego nie robiła. Ja w małych firmach stosuję formy pisemne, a w dużych upoważnienia elektroniczne. Rejestry zawsze prowadzę elektronicznie. Moim zdaniem forma nie ma znaczenia, liczy się efekt. Upoważnianie jest czynnością techniczną, która wiąże się z zapoznaniem przez tę osobą z obowiązującymi zasadami poufności oraz daje sygnał, że ten administrator podchodzi poważnie do tematu bezpieczeństwa informacji.

RODO nie narzuca na administratora danych obowiązku nadawania upoważnień. Jeżeli postanowi on w inny sposób zagwarantować rozliczalność uprawnień (dostępów do danych) i dokona tego skutecznie, należy uznać, że spełnił wymagania stawiane przez rozporządzenie.

[Aktualizacja] Napisał do mnie Pan Wiesław, z informacją, że w artykule 29 RODO można znaleźć odniesienie do obowiązku upoważniania do przetwarzania danych:

Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora.


Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001 Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie


Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia: Akredytowane szkolenia z ochrony danych osobowych