RODO a upoważnienia do przetwarzania danych osobowych.

Jednym z podstawowych (i czasochłonnych) obowiązków związanych z zabezpieczeniem danych osobowych jest nadawanie upoważnień do przetwarzania danych (art. 37 ustawy o ochronie danych osobowych). Przepis ten nie zawiera żadnej wskazówki co do treści takiego upoważnienia. Natomiast można przyjąć, że jego celem jest zapewnienie rozliczalności dostępu do danych osobowych w myśl zasady, że nie wszyscy powinni mieć dostęp do wszystkiego a zakres upoważnienia powinien odpowiadać zakresowi obowiązków. Możliwość różnicowania zakresu upoważnienia można uzależnić od stażu pracy, rodzaju umowy, a także posiadania „zaledwie” statusu praktykanta czy stażysty.

Ogólne rozporządzenie o ochronie danych również posługuje się pojęciem upoważnienia. Można je znaleźć choćby w art. 29, który stanowi „podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego”.

Także art. 28 ust. 3 RODO wskazuje, że umowa o powierzeniu przetwarzania danych osobowych stanowi „w szczególności, że podmiot przetwarzający:

b)  zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy”.

Warto także pamiętać, że pośrednio możliwość stosowania upoważnień do przetwarzania danych osobowych przewiduje art. 32 regulujący bezpieczeństwo przetwarzania. Stanowi on bowiem, że „uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania”, a także, że „administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego”.

Generalnie wniosek płynący z powyższych przepisów jest optymistyczny – dotychczasowa praktyka nadawania upoważnień w dalszym ciągu będzie miała zastosowanie.

Z poważaniem,

Tomasz Cygan

Napisz komentarz/zapytanie

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

6 + eight =