Upoważnienie do przetwarzania danych dla prezesa spółki córki – czy trzeba je wydać

Marcin Sarna

Autor: Marcin Sarna

Dodano: 9 marca 2018
Dokument archiwalny
Upoważnienie do przetwarzania danych dla prezesa spółki córki – czy trzeba je wydać
Pytanie:  Czy prezes/dyrektor spółki córki powinien mieć pełnomocnictwo lub upoważnienie do przetwarzania danych osobowych od prezesa/dyrektora spółki matki? Czy z mocy przepisów prawa jako reprezentant spółki staje się automatycznie administratorem danych i jest zobowiązany w tym zakresie stosować przepisy o ochronie danych osobowych?
Odpowiedź: 

Prezesowi/dyrektorowi spółki córki nie trzeba wydawać pełnomocnictwa ani upoważnienia do przetwarzania danych osobowych.

Aby móc udzielić wyczerpującej odpowiedzi na pytanie, należy ustalić podział ról w systemie ochrony danych osobowych – kim jest administrator danych osobowych, a kim jest osoba upoważniona do przetwarzania danych osobowych.

W słowniczku ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych została zawarta definicja administratora danych. Należy go rozumieć jako organ, jednostkę organizacyjną bądź podmiot lub osoby, o których mowa w art. 3 tejże ustawy, jeśli decydują o celach i środkach przetwarzania danych osobowych. Zatem to podmioty, które przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub do realizacji celów statutowych, będą co do zasady administratorami danych wykorzystywanych w ramach ich działalności. W przypadku osoby prawnej (np. spółka) to ona będzie administratorem danych, a nie jej organy czy osoby ją reprezentujące. Konkretny administrator danych będzie pozostawał tym administratorem niezależnie od tego, czy powierzy przetwarzanie danych osobowych w drodze umowy innemu podmiotowi, czy też zostanie wyznaczony pracownik odpowiedzialny za przetwarzanie danych osobowych w strukturze administratora danych.

W opisanym przypadku administratorem danych będzie więc spółka, która zbiera dane osobowe i decyduje o celach i środkach przetwarzania tych danych.

Komu wydać upoważnienie do przetwarzania danych

Jeżeli konkretna osoba, która jest pracownikiem (lub pozostaje zatrudniona niepracowniczo – w przypadku umowy cywilnoprawnej, np. umowy zlecenia) administratora danych lub procesora (tj. podmiotu, któremu dane osobowe zostały powierzone) ma przetwarzać dane osobowe, to powinna zostać w tym celu imiennie upoważniona.

Takiego upoważnienia nie trzeba dawać członkom zarządu administratora danych. Po pierwsze, reprezentują oni przecież administratora danych w całym zakresie jego spraw, a po drugie, członkowie zarządu administratora danych musieliby sami sobie udzielić takiego upoważnienia. Upoważnienie takie powinni otrzymać konkretni pracownicy spółki, którzy powinni mieć dostęp do określonych danych osobowych.

Każda ze spółek (spółka matka i spółka córka) jest odrębnym bytem prawnym (osobą prawną) i – co za tym idzie – samodzielnym administratorem danych. Nie ma więc możliwości, aby upoważnienia do przetwarzania danych spółka matka udzieliła spółce córce. Upoważnienie służy bowiem do umożliwienia dostępu do danych osobowych konkretnej osobie fizycznej pozostającej w strukturze organizacyjnej danego administratora danych.

Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x