02 maj

Ustawa wdrażająca RODO a upoważnienia do przetwarzania danych osobowych

Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO [ustawa wdrażająca RODO] według niektórych cofa nas o kilka lat wstecz w sposobie realizacji obowiązków związanych z ochroną danych osobowych. W zasadzie od samego początku funkcjonowania przepisów o ochronie danych osobowych, nadawanie upoważnień do przetwarzania danych osobowych było jednym z najważniejszych obowiązków administratora. Upoważnianie do przetwarzania danych zapewnia rozliczalność danych osobowych, poprzez kontrolę nad tym, kto i w jakim zakresie jest uprawniony do dostępu do danych. Przepisy nigdy dotychczas nie precyzowały w jaki sposób to upoważnienie powinno wyglądać. Administrator był jedynie zobligowany nadać stosowane upoważnienie pracownikowi przed przyznaniem mu  dostępu do danych osobowych, w formie papierowej lub elektronicznej. Upoważnienie stanowi potwierdzenie, że użytkownik otrzymał stosowne uprawnienie do przetwarzania danych od administratora. Przepisy RODO w zasadzie nic nie zmieniły w zakresie zarządzania upoważnieniami do przetwarzania danych. Zgodnie z art. 29 RODO przetwarzanie danych musi odbywać się tylko i wyłączenie na wyraźne polecenie administratora.  W celu wykazania, że polecenie zostało faktycznie wydane, administrator danych kontynuuje, tak jak to miało miejsce przed wejściem w życie RODO, nadawanie upoważnień do przetwarzania danych osobowych. Należy podkreślić, że upoważnienie przed zmianami wynikającymi z ustawy wdrażającej RODO mogło być w dowolnej formie, tzn. ustnej, wiadomości e-mail, elektronicznej, pisemnej.Jednakże administrator danych, aby wykazać, że wywiązał się z ciążącego na nim obowiązku, powinien przyjąć taką formę, która daje możliwość udowodnienia, że upoważnienie faktycznie zostało nadane. W praktyce najczęściej były stosowane upoważnienia w formie pisemnej lub elektronicznej przy użyciu specjalnego systemu informatycznego. Szczególnie w dużych organizacjach upoważnienia elektroniczne doskonale się sprawdzały, pozwalając skrócić czas zarządzania upoważnieniami i uprawnieniami pracowników, a także skutecznie przekazując informacje o wszelkich zmianach upoważnienia, osobom nadzorującym ochronę danych osobowych. Dzięki takim systemom pracownicy kadr mogli z dużym wyprzedzeniem przekazać informację, że pracownik planuje dłuższy urlop, złożył wypowiedzenie lub będzie zwolniony. Podobnie można było dzięki systemowi informatycznemu zarządzać przyjęciami nowych pracowników.  Ustawa wdrażająca RODO wprowadzając zmiany w prawie 170 ustawach zmodyfikowała także kwestie dotyczące nadawania upoważnień. W przepisach sektorowych pojawiły się zapisy obligujące administratora danych do nadawania pracownikom upoważnienia na piśmie do poszczególnych kategorii danych, jak dane związane z rekrutacją, zatrudnieniem, czy wypłatami z zakładowego funduszu świadczeń socjalnych.

Sformułowanie „pisemne” jest dość niefortunne i wzbudziło wiele kontrowersji. Na początku interpretowano to w taki sposób, że dla upoważnień należy zachować formę pisemną. Ze względu na wiele pytań napływających do Prezes UODO w sprawie pisemnej formy upoważnienia, w końcu zabrał w tej sprawie głos, stwierdzając że Nadawanie upoważnień w postaci elektronicznej należy uznać za wykonanie obowiązku nadania upoważnień w formie pisemnej. W świetle zasady rozliczalności jakakolwiek postać, w tym elektroniczna, która pozwala na udokumentowanie spełnienia obowiązków celem wykazania przestrzegania przepisów, a w tym przypadku wykonania obowiązku wynikającego z art. 29 RODO należy uznać za prawidłową. Osobiście zastanawiam się, czy przy kontroli u administratora organ zachowałby tę samą linię (chociażby ze względu na rozbieżności w decyzjach administracyjnych odnoszących się do realizowania obowiązków informacyjnych administratorów, a treści klauzul, które organ przekazuje osobom, których dane dotyczą). Uważam, że w przypadku upoważnienia najważniejsze jest to, aby osoba upoważniona potwierdziła jego otrzymanie, aby być w stanie zachować rozliczalność, aby upoważnienie nie było jednostronne. Kluczowa nie jest forma nadania upoważnienia, a zagwarantowanie jego stosowania przez osobę upoważnioną.

Należy podkreślić, że w ustawie wdrażającej RODO wprowadzono obowiążek obligowania osób upoważnionych do zachowania poufności/tajemnicy osoby upoważnionej. Oba słowa są używane w ustawie jako synonimy, a obowiązek administrator może wypełnić poprzez odpowiednie oświadczenie w nadanym upoważnieniu, ale także w formie odrębnej umowy lub odrębnego oświadczenia.


Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie



Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!

We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.


Data aktualizacji: 8 czerwca 2020