Zespół prawny
A.M. Jesiołowscy-Finanse sp. z o.o.
Wprowadzenie
W kolejnej części dotyczącej dokumentacji RODO zostanie omówiony dosyć istotny dokument – upoważnienie do przetwarzania danych osobowych. Zalicza się on do dokumentów obowiązkowych, zaś podstawą prawną jego wdrożenia są art. 29 i 32 ust. 4 RODO. Mimo, że upoważnienie zasadniczo nie jest zbyt rozbudowane, a na pierwszy rzut oka zbyt skomplikowane, istnieje kilka kwestii, które mogą sprawić trudności przy jego tworzeniu, a którym będzie poświęcone niniejsze opracowanie. Trudności te z kolei prowadzą najczęściej do błędów, które zostaną omówione na końcu analizy.
Treść dokumentu
Jak przyjmuje się w literaturze przedmiotu, upoważnienie administratora lub podmiotu przetwarzającego powinno być odrębnym oświadczeniem, zaś jego zakresu lub treści nie można domniemywać z umowy o pracę lub z zakresu obowiązków pracownika. Jeśli zaś chodzi o zawartość takiego oświadczenia, czyli jego treść, rozporządzenie nie opisuje tego wprost. Można jednak z RODO wiele rzeczy wydedukować. Przede wszystkim, z artykułu 29 RODO (a pośrednio także z art. 4 pkt 10 RODO) wynika, iż upoważnienia do przetwarzania danych osobowych są nadawane przez administratora bądź podmiot przetwarzający. Zdaniem J. Rzymowskiego, oznacza to także, pochodną tego obowiązku jest zadbanie, aby dostęp do danych osobowych w danej organizacji miały wyłącznie osoby, którym administrator lub podmiot przetwarzający nadali upoważnienie. Z poglądem tym należy się zgodzić.
Co więcej, bardzo ważne jest, aby przy nadawaniu upoważnień do przetwarzania danych osobowych prowadzonych przez administratora odnotowywać w rejestrze przetwarzania danych osobowych (RCPD) opis kategorii osób, których dane dotyczą. Idąc dalej, kategorie osób, których dane dotyczą, odnotowywane w RCPD, powinny być analogicznie zamieszczone w upoważnieniach do przetwarzania danych osobowych. Jeśli bowiem administrator przetwarza dane osobowe osób należących do wymienionych w RCPD kategorii, to trzeba wiedzieć kto w ramach struktury konkretnego administratora przetwarza informacje o tych osobach. Będzie to natomiast jasne wtedy, gdy z upoważnienia będą wynikały informacje o poszczególnych kategoriach osób. W RCPD koniecznym jest umieszczenie również kategorii czynności przetwarzania, które wygląda analogicznie do poprzedniego.
Kluczową kwestią jest obowiązek nadawania upoważnienia konkretnym osobom fizycznym, przez co za niezgodne z przepisami RODO należy uznać nadawanie upoważnień dla osoby określonej rodzajowo, np.: „dla pracownika Spółki X”, tym bardziej, jeśli różne osoby fizyczne mogą u konkretnego pracodawcy w takiej roli wystąpić. Dlatego należy pamiętać, iż każde upoważnienie musi być imienne.
Forma dokumentu
Podobnie jak RCPD, upoważnienie do przetwarzania danych może mieć postać papierową lub elektroniczną. Przy tradycyjnej wersji papierowej należy pamiętać o podpisie osoby go sporządzającej, reprezentującej administratora danych. W przypadku dokumentu elektronicznego również należy zadbać o możliwość identyfikacji jego autorstwa, jednak jak wskazuje J. Rzymowski, nie jest koniecznym podpisywanie takiego dokumentu jakimkolwiek podpisem elektronicznym.
Upoważnienie w formie listy
Oprócz tradycyjnego, zindywidualizowanego rodzaju dokumentu upoważnienia, administrator może zdecydować się na wdrożenie rozwiązania o charakterze hurtowym – upoważnienia w formie listy. Polega ono na sporządzeniu jednego dokumentu, w którym administrator określa zakres uposażenia, a następnie wymienia imienną listę osób, którym to upoważnienie zostaje nadane. Jest to rozwiązanie bardzo wygodne w przypadku, gdy chcemy upoważnić w naszej firmie większą liczbę osób, zakres przetwarzania będzie identyczny, zaś sporządzanie (i podpisywanie) wielu odrębnych upoważnień, zajęłoby dużo czasu.
Nadanie uprawnień do nadawania upoważnień do przetwarzania danych osobowych
Istnieje także możliwość scedowania uprawnienia do generowania upoważnień na inną osobę, która ma to czynić w imieniu administratora danych. Obowiązek ten nie wynika bezpośrednio z RODO, jednak nie zawsze jest możliwe, by osoba kierująca podmiotem będącym administratorem osobiście podpisywała upoważnienia. Dlatego też w przypadku kontroli UODO, podmiot kontrolujący prawdopodobnie zażąda wykazania, iż osoba, która w imieniu administratora nadaje upoważnienia do przetwarzania danych, sama posiada od administratora stosowne upoważnienie w tym zakresie. Dlatego więc, ze zwykłej ostrożności, warto sporządzić także dokument w którym administrator (a więc osoba kierująca podmiotem nim będącym – w przypadku spółek zasadniczo członek zarządu – zgodnie z reprezentacją wynikającą z uregulowań wewnętrznych) nadaje uprawnienia imiennie wskazanej osobie (osobom) do nadawania upoważnień do przetwarzania danych osobowych. Dokument taki winien być przechowywany tak długo jak samo upoważnienie do przetwarzania danych osobowych.
Uchylenie upoważnienia
Upoważnienie może również ustać. Dotyczy to zwłaszcza sytuacji nadania upoważnienia na czas nieokreślony, podczas którego mógł zmienić się zakres obowiązków danej osoby, dana osoba mogła zmienić pracę, bądź stanowisko, w związku z czym upoważnienie nie jest jej już potrzebne. Dokument uchylający upoważnienie do przetwarzania danych powinien imiennie wskazywać konkretnego pracownika, numer upoważnienia (jeśli został nadany), a także wskazać przyczynę jego odebrania (zmiana zakresu upoważnienia, śmierć osoby upoważnionej itp.). Również przy uchylaniu upoważnień administrator nie musi działać osobiście (przez osobę kierującą organizacją). Może w sposób analogiczny do trybu z poprzedniego podtytułu nadać uprawnienia do uchylania upoważnień innej, wskazanej imiennie osobie. Co istotne, nadawanie uprawnień do nadawania upoważnień i do uchylania upoważnień można nadać tej samej osobie i to na podstawie jednego dokumentu.
Najczęściej popełniane błędy
Do najczęstszych możliwych błędów zaliczyć można:
- brak upoważnień w firmie (chyba że administrator uznaje, że upoważnienia są niepotrzebne, a sprawę dwuetapowego uprawnienia do przetwarzania danych rozwiązuje w inny sposób zgodny z RODO – opcja ta może być jednak mało przekonująca w przypadku kontroli UODO),
- brak upoważnień i jednoczesne zastępowanie ich za pomocą innych dokumentów, np. za pomocą klauzuli w umowie o pracę, za pomocą polecenia przetwarzania danych osobowych lub za pomocą jeszcze innych dokumentów,
- gdy zakres upoważnień nie pokrywa się z zakresem przetwarzania danych osobowych przez konkretne upoważnione osoby,
- nadawanie upoważnień niezmiennych, upoważnień dla osób wskazanych rodzajowo,
- nadawanie upoważnień przez osoby, które nie posiadają uprawnień do nadawania upoważnień do przetwarzania danych osobowych, uprawnienia te nadaje kierujący jednostką,
- nadawanie upoważnień wyłącznie w systemie informatycznym, jeżeli w podmiocie wykonywane są również czynności poza systemem.
Podsumowanie
Podsumowując, przy sporządzaniu upoważnień do przetwarzania danych osobowych należy zwrócić uwagę przede wszystkim na zakres przetwarzanych danych, imienne określenie osób upoważnionych, prawidłową formę oraz podpis administratora. Równie istotne jest skorelowanie dokumentów w tym zakresie z prowadzonym RCPD. Administrator może nadać uprawnienia do nadawania upoważnień (jak i ich uchylania) innych osobom wskazanym imiennie. Ważne jednak, by uprawnienie to było możliwe do wykazania w przypadku przeprowadzonej kontroli UODO.
Źródła:
- J. Rzymowski, RODO – GDPR. Obowiązkowa dokumentacja przetwarzania danych osobowych z punktu widzenia administratora, Oficyna Wydawnicza „Impuls”, Kraków 2019.
- W. Szczygielska (red.), Dokumentacja ochrony danych osobowych według RODO, Wyd. Wiedza i Praktyka, Warszawa 2018.