Ustne upoważnienie do przetwarzania danych – co na to RODO

Zgodnie z RODO podmiot przetwarzający (procesor) oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, powinna przetwarzać je wyłącznie na polecenie administratora (art. 29 RODO). Natomiast administrator i podmiot przetwarzający muszą podejmować działania, aby przetwarzanie danych odbywało się wyłącznie na polecenie administratora (art. 32 ust. 4 RODO). Wyjątkiem zezwalającym na przetwarzanie danych bez polecenia administratora może być jedynie sytuacja, w której przetwarzania danych wymagają przepisy prawa unijnego lub krajowego.

Polecenie administratora należy uznać za upoważnienie pozwalające przetwarzać dane. Przepisy RODO nie precyzują wyraźnie formy, w jakiej to upoważnienie (polecenie) administrator ma wydać osobie przetwarzającej dane. Czy zatem polecenie takie może być wyrażone przez administratora ustnie? Z całą pewnością należy stwierdzić, że nie.

Uzasadnienie tego stanowiska – częściowe, bo dotyczące tylko przetwarzania danych przez podmiot przetwarzający – dają przepisy RODO, które odnoszą się do instytucji powierzenia przetwarzania danych podmiotowi przetwarzającemu (art. 28 ust. 3 pkt a RODO). Stwierdzają one, że umowa powierzenia musi wskazywać, że procesor przetwarza dane wyłącznie na udokumentowane polecenie administratora. Ustnego polecenia nie sposób zaś uznać za udokumentowane.

Ponadto ustną formę wydawania upoważnień neguje z całą pewnością zasada rozliczalności (art. 5 ust. 2 RODO), na której opiera się według RODO odpowiedzialność administratora za przestrzeganie przepisów tego rozporządzenia. Wspomniana zasada sprowadza się do tego, że administrator musi być w stanie wykazać, że spełnia wymogi ogólnego rozporządzenia. Oczywiście ciężko będzie mu wykazać, że wydał pracownikom polecenie przetwarzania danych, jeżeli zrobi to ustnie.