Miesięcznik informatyków i menedżerów IT sektora publicznego

Jakub Rzymowski

Upoważnienia do przetwarzania danych osobowych w rodo

Ustawa o ochronie danych osobowych ustanawia instytucję upoważnienia do przetwarzania danych osobowych. Udostępnienie, a nawet tylko umożliwienie dostępu osobie nieupoważnionej grozić może odpowiedzialnością karną na gruncie uodo.

Upoważnienia dla podmiotów przetwarzających

Na gruncie rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej: rodo – obowiązki w zakresie nadawania upoważnień i odpowiedzialność w przypadku zaniedbania ich nadania kształtują się podobnie. Osoby, które porównują uodo i rodo, mogą wyjść z fałszywego założenia, że o ile z uodo wynika obowiązek nadawania upoważnień do przetwarzania danych osobowych, o tyle z rodo ten obowiązek nie wynika. Podkreślić należy, że założenie to jest fałszywe. Obowiązek nadawania upoważnień wynika z rodo nie mniej, niż analogiczny obowiązek wynika z uodo, aczkolwiek faktem jest, że przepisy statuujące ten obowiązek w każdym z wymienionych aktów prawnych są zupełnie inaczej napisane.

Przetwarzanie z upoważnienia

Po pierwsze należy się zastanowić nad tym, skąd wiadomo, że z rodo wynika obowiązek nadawania upoważnień. O tym, że z rodo wynika obowiązek nadawania upoważnień, dowiadujemy się z kilku przepisów tego aktu prawnego. Po raz pierwszy pojęcie upoważnienia pada w art. 4 pkt 10 rodo. Przepis ten zawiera definicję podmiotu określonego jako „strona trzecia”. Jest to m.in. osoba fizyczna (bo mogą to być też inne kategorie podmiotów) inna niż m.in. osoba (bo i tu przepis wymienia inne kategorie podmiotów), która, z upoważnienia administratora lub podmiotu przetwarzającego, może przetwarzać dane osobowe. Strona trzecia to zatem człowiek inny niż ten, który przetwarza dane osobowe z upoważnienia administratora lub podmiotu przetwarzającego.

Mimo że powoływana definicja dotyczy głównie strony trzeciej, to jednak dowiadujemy się z niej, że na gruncie rodo istnieją osoby, które, z upoważnienia administratora lub podmiotu przetwarzającego, mogą przetwarzać dane osobowe. Już na gruncie omówionego przepisu można wysnuć teorię, że skoro wymienione w nim osoby mogą przetwarzać dane osobowe z upoważnienia administratora lub podmiotu przetwarzającego, to przetwarzanie danych osobowych bez takiego upoważnienia nie jest dopuszczalne. Za teorią tą przemawiają także argumenty wynikające z omówionych niżej przepisów. Z omawianej definicji wynika również, że upoważnienia do przetwarzania danych osobowych nadawane są, na gruncie rodo, przez administratora lub przez podmiot przetwarzający.

Upoważnienia obowiązkowe

Po raz kolejny o upoważnieniu dowiadujemy się z tytułu artykułu 29 rodo, tytuł ten brzmi: „przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego”. Samo „przetwarzanie” zdefiniowane jest w art. 4 pkt 2 rodo. Należy przez nie rozumieć każdą czynność wykonywaną na danych osobowych. Co prawda w przepisie mowa jest o „operacji”, jednak należy uznać to jedynie za nieumiejętne przetłumaczenie słowa „operation” na język polski. W zakresie istotnym dla niniejszego opracowania art. 29 rodo stanowi, że każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarza je wyłącznie na polecenie administratora.

Powołany przepis potwierdza istnienie obowiązku nadawania upoważnień do przetwarzania danych osobowych. Z przepisu wynika również konieczność zadbania o to, by dostęp do danych osobowych miały wyłącznie osoby, którym administrator lub podmiot przetwarzający nadali upoważnienie. Jednocześnie należy pamiętać o spoczywającym na administratorze i na podmiocie przetwarzającym, obowiązku sporządzenia rejestru czynności przetwarzania. Rejestr ten nosi zupełnie nieadekwatną nazwę, ponieważ akurat czynności przetwarzania ani kategorie tych czynności nie są w nim rejestrowane. Obowiązek rejestrowania czynności przetwarzania danych osobowych lub tylko kategorii czynności przetwarzania danych osobowych można jednak wyprowadzić z innych przepisów niż tylko z samego przepisu dotyczącego rejestru. Dla rozważań na temat upoważnień do przetwarzania danych osobowych istotne jest, że w rejestrze czynności przetwarzania danych osobowych należy odnotowywać m.in. opis kategorii danych osobowych.

[...]

Autor jest adiunktem w Katedrze Europejskiego Prawa Gospodarczego Wydziału Prawa i Administracji Uniwersytetu Łódzkiego.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej