Miesięcznik informatyków i menedżerów IT sektora publicznego

Piotr Wojczys

Pisemne upoważnienia do przetwarzania danych

Ustawa sektorowa wprowadziła obowiązek wydawania upoważnień do przetwarzania danych. Taki środek bezpieczeństwa nie został jednak określony w sposób bezpośredni w rodo. Zastrzeżenia budzi konieczność jego stosowania, jak i sama jego skuteczność.

Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej: ustawa sektorowa (DzU z 2019 r., poz. 730), wprowadziła szeroki, aczkolwiek wybiórczy obowiązek wydawania przez administratora danych pisemnych upoważnień do przetwarzania danych osobowych. Mechanizm ten jest wskazywany jako zabezpieczenie zapobiegające nadużyciom. Upoważnienia nie są wbrew pozorom skojarzone tylko z przetwarzaniem szczególnych kategorii danych osobowych. Ten „szczególny środek bezpieczeństwa” ma całkiem szerokie zastosowanie, także do danych w takich obszarach, jak te regulowane np.:

  • ustawą o szczególnych zasadach odbudowy, remontów i rozbiórek obiektów budowlanych zniszczonych lub uszkodzonych w wyniku działania żywiołu,
  • ustawą o samorządach zawodowych architektów oraz inżynierów budownictwa,
  • ustawą o planowaniu przestrzennym,
  • ustawą Prawo zamówień publicznych.

Szczególny środek bezpieczeństwa

Wydawanie upoważnienia do przetwarzania danych osobowych w formie samoistnego dokumentu, czyli dotychczasowa praktyka oparta na uproszczonej interpretacji art. 39 ust. 2 poprzedniej ustawy o ochronie danych osobowych, nie znajduje odzwierciedlenia w przepisach ogólnego rozporządzenia o ochronie danych (dalej: rodo). Nie dziwi więc, że takie działania nie były i zasadniczo nie są stosowane systemowo ani w innych krajach UE, ani w instytucjach unijnych znajdujących się pod bezpośrednim nadzorem Europejskiego Inspektora Ochrony Danych (EDPS). Artykuł 29 rodo nie jest emanacją naszych wcześniejszych praktyk. Wynika to z faktu, że użyte tam sformułowanie „z upoważnienia” (org. „under the authority”) odnosi się bowiem do ogólnego władztwa administratora lub przedmiotu przetwarzającego nad osobami, które mają dostęp do danych osobowych. Administratora czy podmiot przetwarzający wiąże z tymi osobami relacja zależności także w tym sensie, że wszystko to, co osoba mająca dostęp do danych z nimi zrobi, wynika z poleceń administratora (org. „on instructions”). Samo wprowadzenie mechanizmu wydawania upoważnień do ustawy sektorowej stanowi dowód na to, że rodo w sposób oczywisty nie ustanawia obowiązku wydawania szczególnych upoważnień osobom, które mają dostęp do danych osobowych. To nie takie mechanizmy legitymizują operacje na danych, a właśnie polecenia (instrukcje) administratora. Artykuł 29 rodo mówi o obowiązku operowania danymi tylko zgodnie z wolą administratora (chyba że wymagają tego prawo UE lub krajowe).

Wskazywanie korzystnego oddziaływania upoważnień jako szczególnego środka bezpieczeństwa nie opiera się ani na ugruntowanej teorii, ani na praktyce spotykanej w innych krajach europejskich. Skuteczność działania upoważnień jako „ogólnego zabezpieczenia zapobiegającego nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu” danych jest bardzo wątpliwa. Ministerstwo Cyfryzacji ma świadomość dużej względności w doborze i rzeczywistym oddziaływaniu środków ochrony, czemu dało wyraz podczas postępowania skargowego na decyzję Generalnego Inspektora Ochrony Danych Osobowych dotyczącego funkcjonowania m.in. systemu PESEL (wyrok WSA w Warszawie z 19 lipca 2018 r., II SA/Wa 2168/17). Można tu wskazać kluczowe pytanie, które przy tej okazji padło ze strony Ministerstwa Cyfryzacji, tj. „czy nałożony na Ministra Cyfryzacji obowiązek w sposób faktyczny przełoży się na poprawę bezpieczeństwa danych osobowych przetwarzanych przez podmioty uprawnione?”.

[...]

Autor jest audytorem wewnętrznym i IOD w Urzędzie Miejskim w Gdańsku. Certyfikowany audytor systemów informatycznych (CISA) oraz kontroli wewnętrznej (CICA).

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej