Upoważnienia do przetwarzania danych

Zanim Rozporządzenie o ochronie danych osobowych (RODO) zaczęło obowiązywać administratorzy danych osobowych zastanawiali się, czy konieczne będzie wydawanie upoważnień do przetwarzania danych i prowadzenie ewidencji osób upoważnionych.

Dotychczas obowiązek ten wynikał z art. 37 ustawy z dnia z dnia 29 sierpnia 1997 r.o ochronie danych osobowych (UODO), zgodnie z którym do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych oraz z art. 39 UODO, zgodnie z którym administrator zobowiązany był do prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych.

Jak się okazuje, obowiązek wydawania przez administratorów danych upoważnień do przetwarzania danych osobowych został w RODO utrzymany. Wskazuje na to art. 29 RODO zgodnie z którym „Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.” Należy w tym miejscu podkreślić znaczenie słowa polecenie, które podkreśla istotę tego obowiązku i wskazuje, iż upoważnienie wydane bez polecenia administratora danych nie upoważnia do przetwarzania danych zgodnie z prawem.

Ponadto art. 28 pkt. 3 lit. a wskazuje, iż podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, co oznacza, iż dane mogą być przetwarzane jedynie w zakresie, jaki określi administrator danych. Podobnie w art. 32 ust. 4 RODO odnoszącym się do kwestii bezpieczeństwa przetwarzania, również jest odniesienie do przetwarzania danych osobowych wyłącznie na polecenie administratora.

RODO nie wskazuje w jakiej formie upoważnienie powinno być wydane, jednak w celu zachowania zasady rozliczalności zasadne jest, aby była to forma papierowa lub elektroniczna, z zaznaczeniem, że osoba będzie miała wgląd do tego upoważnienia.

Jeśli przetwarzanie wykraczałoby poza zakres wskazany przez administratora danych w upoważnieniu, to wówczas odbywa się ono bezpodstawnie. W art. 107 Ustawy o ochronie danych osobowych zostały przewidziane kary za nielegalne przetwarzanie danych w postaci grzywny, kary ograniczenia wolności albo pozbawienia wolności do lat dwóch. Jeśli bez uprawnienia przetwarzane są dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej postępowanie takie podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

Joanna Peryt

Autor

Joanna Peryt

Od ponad 10 lat pracuje w Audytelu, gdzie jako konsultant zrealizowała wiele audytów bezpieczeństwa danych osobowych oraz projektów wdrożeniowych. Pełni rolę Inspektora ochrony danych dla wielu klientów Audytela. Posiada certyfikat auditora wewnętrznego ISO 27001 (Bezpieczeństwo Informacji).

Z tej samej kategorii

Kategorie