Upoważnienia do przetwarzania danych osobowych – jak udzielać ich prawidłowo?

Decyzja Prezesa UODO wydana w sprawie DPD (przypominam: PUODO nałożył na DPD Polska kary administracyjne o łącznej wartości ponad 11 mln zł), pokazuje, że  przemyślane i odpowiednio wdrożone procedury to podstawa. Nie wystarczą przy tym procedury, które istnieją tylko na papierze. Nie warto także uprawiać „nadprodukcji” tychże procedur, gdyż przedmiotem badania UODO może być nie tylko zgodność postępowania z obowiązującymi przepisami, ale także z regulacjami wewnętrznymi.

Jak już wiemy, w przywołanej decyzji PUODO uznał, że administrator nie udzielał pracownikom skutecznie i prawidłowo upoważnień do przetwarzania danych.

Czym jest upoważnienie do przetwarzania danych osobowych?

Zgodnie z art. 29 RODO, „podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego”. Powołany przepis potwierdza zatem istnienie obowiązku nadawania upoważnień do przetwarzania danych osobowych oraz wskazuje na konieczność zadbania o to, by dostęp do danych osobowych miały wyłącznie osoby, którym administrator lub podmiot przetwarzający nadali upoważnienie.

Upoważnienie powinno przyjmować postać odrębnego oświadczenia administratora lub podmiotu przetwarzającego, nie można domniemywać jego treści z umowy o pracę czy też zakresu obowiązków pracowniczych. Osoba upoważniona może działać wyłącznie na podstawie i w granicach polecenia wydawanego jedynie przez administratora. W pewnych ściśle określonych przypadkach, upoważnienie powinno zostać nadane na piśmie, np.:

• zgodnie z art. 22^1b § 3 kp. do przetwarzania szczególnych kategorii danych osobowych pracownika, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę; osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy;
• zgodnie z art. 8 ust. 1b ustawy o ZFŚS, do przetwarzania na potrzeby ZFŚS danych osobowych dotyczących zdrowia, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę; osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy.

Upoważnioną może być zarówno osoba zatrudniona na umowę o pracę, jak i funkcjonująca w strukturze administratora lub podmiotu przetwarzającego na podstawie cywilnoprawnych form zatrudnienia. Może to być także praktykant lub stażysta albo osoba fizyczna prowadząca działalność gospodarczą (współpracownicy), współpracująca z upoważniającym. To nie forma prawna współpracy decyduje o charakterze „dopuszczenia” do przetwarzania danych osobowych. Cechą wyróżniającą osobę upoważnioną jest pewna zależność od administratora lub podmiotu przetwarzającego, rozumiana jako brak samodzielności w zakresie decydowania o przetwarzaniu, a także działanie w ramach obszaru przetwarzania odpowiednio: administratora albo podmiotu przetwarzającego. Chodzi o podmiot, który na zewnątrz jest nie do odróżnienia od pracowników administratora (np. posługuje się przydzielonym mu adresem mailowy, a w stopce maila „przedstawia się” jako Spółka XYZ). Innymi słowy, upoważnienie do przetwarzania danych powinno dotyczyć wyłącznie przetwarzania tych danych w ramach infrastruktury i pod nadzorem administratora danych.

Zakres upoważnienia do przetwarzania danych musi być dopasowany do stanowiska zajmowanego przez pracownika/współpracownika i uzasadniony zakresem jego obowiązków.

Jak zatem udzielać upoważnień do przetwarzania danych osobowych prawidłowo i skutecznie?

Skoro upoważnienie nie musi mieć formy pisemnej (chociaż oczywiście może), to jak je nadać, aby w razie kontroli wykazać prawidłowość takiego procesu? Nie ma jednej dobrej odpowiedzi. Każdy administrator ma prawo ułożyć ten proces po swojemu.

Istotne jest to, że upoważnienie ma być oświadczeniem skierowany do pracownika. Oświadczenie natomiast nie może trafiać w próżnię, ale musi mieć „nadawcę” i „odbiorcę”. Czyli musi powstać – w dowolnej formie – coś na kształt „ja administrator X, upoważniam Ciebie pracowniku Y, do przetwarzania danych osobowych w następującym zakresie …”.

Upoważnienia należy udzielić przed dopuszczeniem pracownika do pracy związanej z przetwarzaniem danych osobowych.

Upoważnienie na piśmie

Jeśli decydujemy się na formę pisemną, to opcje mamy co najmniej dwie:

1. Może to być osobny dokument w tzw. „pakiecie startowym” dla pracownika
2. Może to być także odpowiedni zapis w umowie.

O ile upoważnienia nie można domniemywać z treści umowy, to nic nie stoi na przeszkodzie, żeby stało się ono częścią umowy.

Upoważnienie w mailu

Skoro upoważnienie nie musi mieć formy pisemnej, może przybrać np. formę maila. Taką wiadomość może wysłać na służbowy adres pracownika np. pracownik kadr, działający z upoważnienia administratora.

Ustne upoważnienie

Co do zasady, upoważnienie do przetwarzania danych osobowych może mieć także formę ustną, np. podczas wdrażania pracownika w obowiązki, pracownik zostanie także upoważniony do przetwarzania danych osobowych. Oczywiście taka forma jest „najsłabsza” dowodowo, czyli najtrudniej ją wykazać. Na to jednak też są sposoby.

Najważniejsza jest praca u podstaw!

Kluczem do sukcesu jest wykonanie „pracy u podstaw”, czyli staranne przygotowanie zakresów upoważnień. Dotyczy to zwłaszcza podmiotów z większą ilością pracowników. Dobrym sposobem na „zautomatyzowanie” procesu, jest przygotowanie wykazu stanowisk wraz z przypisanym do nich zakresem upoważnienia. Wówczas, nasze upoważnienia na piśmie lub te mailowe, mogą być wystandaryzowane. Nie musimy nawet przygotowywać różnych wzorów, odpowiednich dla poszczególnych stanowisk, ale w jednym ogólnym wzorze możemy odsyłać do przedmiotowego wykazu, który może stanowić np. załącznik do dokumentu upoważnienia, umowy czy po prostu do maila.

Taki wykaz upoważnień można wykorzystać także przy ustnej formie. Wówczas warto pójść o krok dalej i zadbać o to, żeby pracownik potwierdził na piśmie fakt, że został upoważniony. Można przygotować w tym celu wzorcowe oświadczenie lub „dorzucić” je do jednego z wielu na dokumentach z „pakietu startowego” dla pracownika.

Dobrym pomysłem jest także prowadzenie ewidencji upoważnień. Ewidencja jest oczywiście dokumentem „wtórnym” – wskazuje, komu i kiedy zostało nadane upoważnienie i może (a nawet powinna) wskazywać, w jakim zakresie (poprzez odesłanie do właściwej pozycji w wykazie upoważnień). W mojej ocenie, taka ewidencja jest kolejnym środkiem dowodowym służącym do wykazania, że administrator wywiązał się ze swojego obowiązku.

PODSUMOWUJĄC

RODO nie narzuca sposobu nadawania upoważnień do przewarzania danych osobowych. Każdy administrator może zorganizować ten proces w sposób dogodny dla siebie, a opcji jest wiele. Ważne tylko (a może raczej „AŻ”), żeby był w stanie wykazać, że dopuścił do przetwarzania danych osobowych jedynie upoważnione osoby.

Ps. Na koniec ciekawostka, która jednak nie zmienia powyższego:

Nie wszyscy zgadzają się z tym, że polska wersja językowa RODO oddaje prawdziwy sens art. 29. Postuluje się, poprzez odwołanie do innych wersji językowych RODO, by użyte w polskiej wersji sformułowanie „osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego” (ang. person acting under the authority of the controller or of the processor, niem. jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person) wykładać nie literalnie, a funkcjonalnie. Sformułowania użyte w innych wersjach językowych RODO, akcentują bowiem funkcjonalne podporządkowanie osób przetwarzających dane w imieniu administratora lub procesora, przejawiające się w podleganiu kontroli i nadzorowi ze strony administratora, a nie w konieczności upoważnienia tych osób w sposób formalny do przetwarzania danych osobowych. Sugeruje się, że w polskiej wersji językowej powinno się stosować określenie „osoba podlegająca kontroli administratora” lub „osoba działająca pod zwierzchnictwem administratora”.

Trudno odmówić zasadności powyższej argumentacji, uwzględniając jednak zasadę rozliczalności i zagrożenie administracyjną kara pieniężną, niestety radzę, aby dostosować się do przyjętej powszechnie praktyki formalnego nadawania upoważnień.