Jak odwołać dotychczasowe upoważnienia do przetwarzania danych osobowych

Artykuł 29 ogólnego rozporządzenia o ochronie danych (RODO) stanowi, że podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Zapis ten jest w pewnym sensie powtórzony w art. 32 ust. 4 RODO.

Dotychczasową podstawą prawną do udzielania upoważnień do przetwarzania danych osobowych był art. 37 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Stanowił on, że do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. W mojej ocenie stare upoważnienia straciły swoją ważność, skoro wygasła ich podstawa prawna przewidziana w art. 37 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Niemniej jednak, aby usunąć wszelkie wątpliwości, zalecam zamieszczenie dodatkowego zdania w nowych upoważnieniach o treści „Z chwilą udzielenia niniejszego upoważnienia traci moc upoważnienie nr ……… z ………”.

Jeżeli jednak administrator danych chce odwołać stare upoważnienie bez wydania nowego, rekomendowałbym przekazanie pracownikowi za potwierdzeniem odbioru pisemnego oświadczenia o utracie mocy dotychczasowego upoważnienia.