Upoważnienia do przetwarzania danych osobowych to standardowy temat pojawiający się podczas działań podejmowanych w ramach wdrażania przepisów prawa ochrony danych osobowych w organizacji. Mimo dość ustrukturyzowanej formuły upoważnienia, pojawia się szereg wątpliwości w kontekście obowiązku wydania samego dokumentu czy jego ostatecznej formy. W artykule postaramy się przybliżyć najważniejsze kwestie związane z upoważnieniami i jednocześnie odpowiedzieć na podstawowe, często pojawiające się pytania.
Upoważnienie do przetwarzania danych osobowych – obowiązek czy praktyka?
Aby precyzyjnie odpowiedzieć na wskazane pytanie, należy odwołać się do przepisów, które obecnie już nie obowiązują. Kwestię upoważnień określała ustawa o ochronie danych osobowych z 1997 r. Jej przepisy nie tylko wskazywały na konieczność nadawania upoważnień, ale również odnosiły się do obligatoryjności ewidencjowania dokumentacji. Czy tak ugruntowane podejście zostało zmienione przez przepisy RODO? Co trzeba przyznać, to z pewnością fakt, iż w aktualnie obowiązującym stanie prawnym nie ma już obowiązku udzielania pisemnych upoważnień każdej osobie bez względu na jej dostęp do danych osobowych. Jednakże to, o czym warto pamiętać, to przede wszystkim jedna z naczelnych zasad RODO – rozliczalność. Oznacza to, że choć przepisy prawne nie definiują wprost obowiązku wydawania upoważnień, to jako konsekwencja praktycznego zastosowania wskazanej zasady, niezbędne jest ich nadawanie oraz ewidencjonowanie. Administrator jako podmiot odpowiedzialny za poziom bezpieczeństwa danych osobowych w swojej organizacji, powinien móc wykazać w każdej chwili, że osoby, które wykonują szereg operacji na danych osobowych, zostały do tego rodzaju działania w odpowiedni sposób upoważnione.
Co upoważnienie powinno zawierać?
Jak już zostało wyjaśnione, doskonale wiemy, że dla zachowania i realizacji jednej z fundamentalnych zasad wynikających z RODO, konieczne wydaje się nadawanie i ewidencjonowanie upoważnień do przetwarzania danych osobowych. W dalszym etapie analizy, należy zastanowić się, jaka powinna być treść upoważnienia, czyli co taki dokument powinien zawierać, aby był prawnie skuteczny i spełniał swoją rolę. Dlaczego warto tę kwestię określić? Bowiem przepisy prawne nie wskazują wprost, co upoważnienie powinno zawierać, nie ma również ujednoliconego wzoru dokumentu.
Według przyjętej praktyki, bez wątpienia upoważnienie do przetwarzania danych osobowych powinno zawierać informacje o osobie, dla której upoważnienie jest wydane. Co istotne, konieczne jest przy tym spełnienie zasady minimalizacji danych. Wydaje się zatem, że wystarczające będą dane, które pozwolą zidentyfikować osobę upoważnioną – imię i nazwisko. Często spotykaną praktyką jest dodanie na upoważnieniu informacji o numerze ID pracownika, stanowisku, nazwy działu czy zespołu, w którym pracuje. Podyktowane jest to celem odróżnienia pracowników o tych samych imionach i nazwiskach.
Poza danymi identyfikującymi konkretną osobę, należy bezwzględnie określić zakres przyznanych dostępów do danych osobowych. Po raz kolejny trzeba odwołać się do praktyki, która zakres traktuje tożsamo z procesami przetwarzania danych osobowych zidentyfikowanymi u administratora danych. Warto również określić, na jaki okres upoważnienie zostało wydane, ewentualnie w dokumentach wewnętrznych dodać zapisy o cofnięciu uprawnień i jego formie.
Często stosowanym rozwiązaniem jest dodanie w treści upoważnienia zobowiązania do przestrzegania przepisów RODO oraz innych norm dotyczących przetwarzania informacji, a także wewnętrznych regulacji i procedur wraz z pouczeniem o możliwej odpowiedzialności.
Z kwestii czysto technicznych warto wspomnieć o konieczności opatrzenia dokumentu datą oraz stosownym podpisem (zwykle jest to osoba działająca na podstawie pełnomocnictwa udzielonego przez administratora).
Na samym końcu dokumentu, warto dodać treść oświadczenia, pod którym podpis złoży sam pracownik. Powinien on oświadczyć, że w pełni zrozumiał treść upoważnienia i akceptuje obowiązujące u administratora zasady przetwarzania danych osobowych. Administrator powinien zadbać o to, aby jeszcze przed rozpoczęciem przetwarzania danych osobowych przez pracownika, udostępnić mu wszelkie obowiązujące polityki, procedury i regulacje dotyczące bezpieczeństwa informacji funkcjonujące w organizacji.
Kto nadaje upoważnienie do przetwarzania danych osobowych?
Pierwsza myśl, jaka nasuwa się przy próbie odpowiedzi na to pytanie, to administrator. Jest to jak najbardziej trafna odpowiedź, bowiem to właśnie administrator jako podmiot ustalający m.in. cele przetwarzania danych, ich zakres, a także sposoby przetwarzania, powinien takie upoważnienie nadać.
Odpowiedź na to pytanie należy jednak rozszerzyć. Sam administrator, będący osobą prawną, nadaje zwykle upoważnienie poprzez osoby go reprezentujące. Podobnie zresztą przedstawia się sytuacja w przypadku prowadzenia działalności gospodarczych. Co istotne, dość często stosowaną praktyką jest również nadanie pełnomocnictwa dla pracowników (zwykle działów HR), którzy są umocowani do podpisywania w imieniu administratora upoważnień.
Jaka jest prawidłowa forma upoważnienia?
Kolejny raz należy wskazać, że przepisy prawne nie wskazują, jaka jest prawidłowa forma upoważnienia do przetwarzania danych osobowych. I kolejny raz należy odwołać się do powszechnie znanej i stosowanej praktyki. Przyjmuje się bowiem, że upoważnienie do przetwarzania danych osobowych powinno mieć formę pisemną bądź elektroniczną. Zdecydowanie doktryna odradza stosowanie formy ustnej. Ze względu na konieczność spełnienia choćby zasady rozliczalności, forma ta nie spełni swojej roli i nie pomoże administratorowi danych wykazać przed organem nadzorczym realizacji wymagań stawianych przez przepisy RODO.
Gdzie upoważnienie przechowywać?
Należy odwołać się do § 3 Rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej. Zgodnie z aktem prawnym, akta osobowe złożone są z czterech części. Z punktu ochrony danych osobowych najbardziej istotna jest część B. W § 3 pkt 2 lit. a) Rozporządzenia wskazane jest, że w części B akt osobowych pracownika powinny znaleźć się m.in. oświadczenia lub dokumenty dotyczące danych osobowych, gromadzone w związku z nawiązaniem stosunku pracy.
Mając na względzie powyższe, wskazać należy, że część B akt osobowych pracownika jest prawidłowym miejscem przechowywania upoważnienia do przetwarzania danych osobowych. Idąc dalej, można stwierdzić, że akta osobowe pracownika (który dane osobowe przetwarza, a nie otrzymał upoważnienia do przetwarzania danych osobowych) będą niekompletne – tym brakującym elementem będzie upoważnienie do przetwarzania danych osobowych. Warto, aby administrator we własnym interesie zadbał o prawidłowe przechowywanie dokumentów związanych z ochroną danych osobowych.
Podsumowując, samo upoważnienie, jak i proces jego nadawania jest niezwykle istotnym działaniem administratora gwarantującym zapewnienie zgodności z fundamentalnymi zasadami RODO. Ponadto, administrator dzięki upoważnieniom oraz ich ewidencjonowaniu ma kontrolę nad przyznanymi dostępami do danych osobowych i jednocześnie zwraca uwagę pracowników na istotność i znaczenie przetwarzania danych osobowych.
