Upoważnienie RODO

Dużo czasu minęło już od rozpoczęcia obowiązywania RODO* w Unii Europejskiej. Wiele osób posługuje się uproszczonym określeniem na zapewnienie zgodności z RODO mówiąc o „zgodach RODO” – niepoprawnie, gdyż zgoda jest tylko jedną z podstaw przetwarzania i zwykle wprowadza najwięcej zamętu, ale o tym eksperci od ochrony danych osobowych piszą dość regularnie. Wiele osób pamięta już o rejestrach czynności przetwarzania, umowach powierzenia i obowiązku informacyjnym. Warto przypomnieć o jeszcze jednym obowiązku – upoważnieniach do dostępu do danych wewnątrz organizacji administratora czy procesora danych.

Zgodnie z art. 29 RODO:

Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

W literaturze (Litwiński 2018) podkreśla się, że sam dostęp do danych osobowych, a nie tylko dalej idące ich przetwarzanie, wymaga stosownego upoważnienia. Akt upoważnienia jest mniej sformalizowany, niż na gruncie wcześniej obowiązujących przepisów, ale dla celów dowodowych zaleca się sporządzanie i archiwizowanie dotyczącej tego dokumentacji. W praktyce wystawiania upoważnień do dostępu do danych zwraca się często uwagę na to, że upoważnienia nie powinny być blankietowo wydawane w takim samym zakresie wszystkim pracownikom organizacji, jeśli ich funkcje i obowiązki są różne (upoważnienia powinny być adekwatne do tych zadań, realizując zdefiniowaną w RODO zasadę minimalizacji danych). Podkreśla się też, że fakt upoważnienia i jego zakres powinien być znany osobie upoważnionej (w ramach archiwizowanej dokumentacji powinien istnieć ślad doręczenia takiego upoważnienia osobie upoważnionej, na przykład jej podpis czy potwierdzenie zwrotne). Wydawanie upoważnień wpisuje się w zasady integralności i poufności oraz rozliczalności.

Wzory upoważnień do dostępu do danych zwykle zawierają następujące elementy:

  1. Wskazanie podstawy prawnej, na której wydawane jest upoważnienie (przepis RODO); dokładne określenie administratora / procesora, daty i miejsca sporządzenia upoważnienia
  2. Określenie adresata, w tym jego stanowiska / zakresu obowiązków
  3. Określenie zbiorów lub rodzajów danych przetwarzanych przez organizację, do których nadawane jest upoważnienie, ze wskazaniem, czy dotyczy to przetwarzania papierowego, czy elektronicznego (czy obu) oraz zakresu przetwarzania (wgląd, wprowadzanie, usuwanie, zmienianie, udostępnianie)
  4. Polecenie przetwarzania (polecenia mogą mieć jednak także bardziej szczegółowy charakter)
  5. Określenie kiedy lub w związku z jakim zdarzeniem upoważnienie wygasa
  6. Podpisy

(*) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Dz.Urz.UE.L 2016 Nr 119, str. 1