Ustne nadawanie upoważnień do przetwarzania danych. Co na to RODO?

Monika Brzozowska-Pasieka

Autor: Piotr Janiszewski

Dodano: 16 października 2017
Ustne nadawanie upoważnień do przetwarzania danych. Co na to RODO?
Pytanie:  Czy zgodnie z przepisami ogólnego rozporządzenia o ochronie danych (RODO) administrator będzie miał obowiązek wydawania upoważnień do przetwarzania danych osobowych? Jeżeli tak, to jaka może być forma takiego upoważnienia? Czy upoważnienie do przetwarzania danych zgodnie z RODO będzie można nadać ustnie?
Odpowiedź: 

Ogólne rozporządzenie o ochronie danych (RODO) nie wskazuje wprost, że administrator musi nadać upoważnienie do przetwarzania danych osobowych. Wymaga jednak, żeby podmiot przetwarzający lub każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora. Administrator powinien wykazać, że spełnia wymogi RODO. Ciężko będzie udowodnić, że dane są przetwarzane na polecenie administratora, jeśli będzie ono wydane ustnie.

W przeciwieństwie do obecnie obowiązujących krajowych przepisów dotyczących ochrony danych osobowych RODO nie precyzuje wprost większości rozwiązań, które mają służyć zabezpieczeniu danych. Ogranicza się do stwierdzenia, że administrator zobowiązany jest wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych odbywało się zgodnie z jego przepisami. Jednym z wyjątków od tej zasady jest wyraźnie wskazany wymóg, aby podmiot przetwarzający (procesor) oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora (art. 29 RODO). Natomiast administrator i podmiot przetwarzający muszą podejmować działania, aby przetwarzanie danych odbywało się wyłącznie na polecenie administratora (art. 32 ust. 4 RODO).

Uwaga

Wyjątkiem zezwalającym na przetwarzanie danych bez polecenia administratora może być jedynie sytuacja, w której przetwarzania danych wymagają przepisy prawa unijnego lub krajowego.

Jak RODO odnosi się do ustnego upoważnienia

Polecenie administratora należy uznać za upoważnienie pozwalające przetwarzać dane. Przepisy RODO nie precyzują wyraźnie formy, w jakiej to upoważnienie (polecenie) administrator ma wydać osobie przetwarzającej dane. Czy zatem polecenie takie może być wyrażone przez administratora ustnie? Z całą pewnością należy stwierdzić, że nie.

Uzasadnienie tego stanowiska – częściowe, bo dotyczące tylko przetwarzania danych przez podmiot przetwarzający – dają przepisy RODO, które odnoszą się do instytucji powierzenia przetwarzania danych podmiotowi przetwarzającemu (art. 28 ust. 3 pkt a RODO). Stwierdzają one, że umowa powierzenia musi wskazywać, że procesor przetwarza dane wyłącznie na udokumentowane polecenie administratora. Ustnego polecenia nie sposób zaś uznać za udokumentowane.

Ponadto ustną formę wydawania upoważnień neguje z całą pewnością zasada rozliczalności (art. 5 ust. 2 RODO), na której opiera się według RODO odpowiedzialność administratora za przestrzeganie przepisów tego rozporządzenia. Wspomniana zasada sprowadza się do tego, że administrator musi być w stanie wykazać, że spełnia wymogi ogólnego rozporządzenia. Oczywiście ciężko będzie mu wykazać, że wydał pracownikom polecenie przetwarzania danych, jeżeli zrobi to ustnie.

Jaka forma upoważnienia będzie najlepsza

Na pewno forma udzielenia polecenia do przetwarzania danych nie musi mieć postaci pisemnej rozumianej jako „pisemna na papierze”. Jednakże wynikający z zasady rozliczalności wymóg udokumentowania spełnienia obowiązku prowadzi do tego, że administrator powinien mieć potwierdzenie tego, że udzielił upoważnienia. Zatem należy uznać, że polecenia przetwarzania danych można dokonać również w formie elektronicznej, np. za pośrednictwem służbowej poczty e-mail. Oczywiście pod warunkiem przechowywania kopii takich wiadomości wraz z potwierdzeniem pracowników, że zapoznali się z ich treścią.

Monika Brzozowska-Pasieka

Autor: Piotr Janiszewski

radca prawny, prezes zarządu Auraco sp. z o.o. Audytem w obszarze ochrony danych osobowych zajmuje się od lat. Doświadczony Administrator Bezpieczeństwa Informacji i trener. Certyfikowany audytor wewnętrzny według normy ISO 27001. Uczestnik inspekcji oraz postępowań administracyjnych prowadzonych przez GIODO. Autor licznych artykułów i opracowań dotyczących tematyki ochrony danych osobowych. Ekspert w zakresie informacji publicznej i tajemnicy przedsiębiorstwa

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x