Upoważnienia do przetwarzania danych
29.10.2018
Autor: Joanna Peryt
Zanim Rozporządzenie o ochronie danych osobowych (RODO) zaczęło obowiązywać administratorzy danych osobowych zastanawiali się, czy konieczne będzie wydawanie upoważnień do przetwarzania danych i prowadzenie ewidencji osób upoważnionych.
Dotychczas obowiązek ten wynikał z art. 37 ustawy z dnia z dnia 29 sierpnia 1997 r.o ochronie danych osobowych (UODO), zgodnie z którym do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych oraz z art. 39 UODO, zgodnie z którym administrator zobowiązany był do prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych.
Jak się okazuje, obowiązek wydawania przez administratorów danych upoważnień do przetwarzania danych osobowych został w RODO utrzymany. Wskazuje na to art. 29 RODO zgodnie z którym „Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.” Należy w tym miejscu podkreślić znaczenie słowa polecenie, które podkreśla istotę tego obowiązku i wskazuje, iż upoważnienie wydane bez polecenia administratora danych nie upoważnia do przetwarzania danych zgodnie z prawem.
Ponadto art. 28 pkt. 3 lit. a wskazuje, iż podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, co oznacza, iż dane mogą być przetwarzane jedynie w zakresie, jaki określi administrator danych. Podobnie w art. 32 ust. 4 RODO odnoszącym się do kwestii bezpieczeństwa przetwarzania, również jest odniesienie do przetwarzania danych osobowych wyłącznie na polecenie administratora.
RODO nie wskazuje w jakiej formie upoważnienie powinno być wydane, jednak w celu zachowania zasady rozliczalności zasadne jest, aby była to forma papierowa lub elektroniczna, z zaznaczeniem, że osoba będzie miała wgląd do tego upoważnienia.
Jeśli przetwarzanie wykraczałoby poza zakres wskazany przez administratora danych w upoważnieniu, to wówczas odbywa się ono bezpodstawnie. W art. 107 Ustawy o ochronie danych osobowych zostały przewidziane kary za nielegalne przetwarzanie danych w postaci grzywny, kary ograniczenia wolności albo pozbawienia wolności do lat dwóch. Jeśli bez uprawnienia przetwarzane są dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej postępowanie takie podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.
Autor
Joanna Peryt
Z uwagi na posiadaną wiedzę specjalizuje się w zagadnieniach związanych z ochroną danych w prawie pracy. Przez kilkanaście lat zrealizowała wiele audytów bezpieczeństwa danych osobowych oraz projektów wdrożeniowych. Pełniła rolę Inspektora ochrony danych dla wielu klientów Audytela.
Kategorie
Dołącz do listy mailingowej i otrzymuj od nas zawsze aktualne informcje!