Prawo i podatki

Dokumentacja RODO – Część III: Polecenie przetwarzania danych osobowych i jego ustanie; Wskazanie osób uprawnionych do odwrócenia pseudonimizacji

Zespół prawny

A.M. Jesiołowscy-Finanse sp. z o.o.

Wprowadzenie

            Ostatnia analiza poświęcona była upoważnieniu do przetwarzania danych osobowych oraz dokumentom mu towarzyszącym. W niniejszym opracowaniu poruszona zostanie kwestia polecenia przetwarzania danych osobowych, które jest mocno skorelowane właśnie z upoważnieniem do przetwarzania danych osobowych. Jak podkreśla J. Rzymowski, obydwa te obowiązki można de facto zrealizować w jednym dokumencie, w którym administrator danych upoważnia do przetwarzania konkretnych kategorii danych i w którym administrator poleca osobie upoważnionej przetwarzanie tych kategorii danych (choć oczywiście nic nie stoi na przeszkodzie, by wydawać dwa osobne dokumenty, tym bardziej, że upoważnienie i polecenie cechują się pewnymi rozbieżnościami). W dalszej części omówione zostaną zagadnienia związane z dokumentowaniem wskazania osób uprawnionych do pseudonimizacji.

Polecenie przetwarzania danych osobowych

            Podstawą prawną realizacji obowiązku nadania polecenia przetwarzania danych osobowych jest przede wszystkim art. 29 RODO. Zgodnie z tym przepisem, „Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.”. Co więcej, obowiązek ten wyraża również treść przepisu art. 32 ust. 4 RODO, który stanowi: „Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.”.

            Jak więc można dostrzec, przepisy RODO nie mówią wprost o samej treści takiego dokumentu. Jednak podobnie jak przy upoważnieniu do przetwarzania danych osobowych, także przy poleceniu ich przetwarzania trzeba mieć na uwadze odnotowanie pewnych czynności w rejestrze czynności przetwarzania danych (RCPD). Będą to:

  • opis kategorii osób, których dane dotyczą,
  • opis kategorii danych osobowych
    oraz
  • kategorie czynności przetwarzania.

Dobrze byłoby przy tym, aby wymienione grupy znalazły się równocześnie w samych poleceniach przetwarzania danych osobowych (analogicznie jak przy upoważnieniu do przetwarzania danych osobowych). Analogicznie również trzeba podkreślić, iż polecenia przetwarzania danych osobowych wydawane muszą być konkretnym osobom fizycznym (imiennie), a nie rodzajowo (np. „pracownikowi działu X”).

            Jeśli chodzi o formę dokumentu, to podobnie jak upoważnienie, tak samo i polecenie może być sporządzone w tradycyjnej wersji papierowej bądź w postaci dokumentu elektronicznego. Należy oczywiście pamiętać, by dokument papierowy był podpisany przez właściwą osobę, działającej w imieniu administratora danych osobowych, natomiast w przypadku dokumentu elektronicznego podpisywanie kwalifikowanym podpisem elektronicznym nie jest obowiązkowe, choć zaleca się, aby autor takiego polecenia był możliwy do ustalenia. Oprócz tego, jak zauważa J. Rzymowski, polecenie przetwarzania danych osobowych może mieć postać nadania stosownych uprawnień w systemie bazodanowym, systemie elektronicznego zarządzania dokumentacją (EZD) lub innym. Przy stosowaniu takiego rozwiązania ważne jest jednak to, iż administrator danych osobowych musi mieć możliwość wykazania, iż polecenie przetwarzania danych miało miejsce (co może powodować trudności, gdyż nawet w zinformatyzowanym podmiocie nie wszystkie czynności odbywają się w ramach systemu informatycznego bądź teleinformatycznego). Przykładem czynności pozasystemowej może tu być obsługa korespondencji papierowej – jeśli polecenie miałoby tylko formę nadawania uprawnień w systemie, nie obejmowałoby czynności odbioru i otwarcia korespondencji czy też włożenia pisma do koperty i zaniesienia go na pocztę. To z kolei implikowałoby, iż takie czynności pozasystemowe odbywają się bez polecenia, a zatem administrator danych osobowych naruszałby art. 29 i 32 ust. 4 RODO.

            Identycznie jak w przypadku upoważnień, polecenie przetwarzania danych osobowych może mieć zarówno zindywidualizowany charakter (dokument dla konkretnej osoby), jak również bardziej hurtowy –  w formie listy. Administrator danych osobowych, który korzysta z drugiego rozwiązania, powinien w takim dokumencie określić zakres polecenia, a następnie wymienić listę (imienną) osób, którym przetwarzanie danych poleca.

            Podobnie sprawa wygląda, jeśli chodzi o nadawanie uprawnień do wydawania poleceń przetwarzania danych osobowych. Zwykle bowiem poleceń nie będzie wydawać sam administrator (a więc osoba kierująca daną organizacją), a wyznaczony przez niego pracownik. Jeśli więc pod poleceniem będzie widnieć podpis takiego pracownika, to administrator musi dysponować także dokumentem, z którego wynika, iż osoba wydająca polecenie ma prawo taki dokument skutecznie podpisać, gdyż działa w imieniu administratora. Obowiązek posiadania dokumentu uprawniającego daną osobę do wydawania poleceń do przetwarzania danych osobowych nie wynika co prawda z przepisów RODO, jednak na wypadek kontroli UODO bezpieczniej będzie go sporządzić (może ono mieć formę np. polecenia służbowego czy upoważnienia ). Powinien on posiadać wszelkie cechy formalne dokumentu wewnętrznego, jak pieczęć nagłówkową, nagłówek, a także podpis osoby kierującej administratorem danych osobowych.

            Jeśli chodzi o najczęściej popełniane błędy przy wdrażaniu poleceń, można tu wymienić:

  • brak poleceń w firmie (bezwzględnie, odmiennie niż w przypadku upoważnień),
  • zakres polecenia przetwarzania danych osobowych jest szerszy lub węższy od zakresu upoważnienia do przetwarzania danych osobowych wydanego tej samej osobie,
  • gdy zakres poleceń nie pokrywa się z zakresem przetwarzania danych osobowych przez konkretne osoby, którym wydano polecenie,
  • wydawanie poleceń nieimiennych lub poleceń dla osób wskazanych rodzajowo,
  • wydawanie poleceń przez osoby, które nie posiadają uprawnień do przetwarzania danych osobowych (uprawnienia te nadaje kierujący jednostką),
  • wydawanie poleceń wyłącznie w systemie informatycznym, jeżeli w podmiocie wykonywane są również czynności poza systemem.

Ustanie polecenia przetwarzania danych osobowych

            Tak jak nadane upoważnienie może zostać uchylone, tak ustać może również wydane polecenie. Aby można było to uczynić, należy ustalić adresata polecenia i zakres dokumentu, a następnie wskazać dokument polecenia, do którego uchylenie się odnosi i datę uchylenia (nazwa samego dokumentu nie jest tu najistotniejsza). Z praktycznego punktu widzenia dobrym rozwiązaniem byłoby wskazanie numeru polecenia, do którego dokument ustania się odnosi (wiąże się to oczywiście z koniecznością nadawania poleceniom numeracji, a w większej organizacji być może nawet stworzenia odrębnego rejestru poleceń).

            Analogicznie jak przy nadawaniu uprawnień do wydawania poleceń, tak samo można upoważnić daną osobę (pracownika bądź osobę związaną z administratorem umową cywilnoprawną) do uchylania poleceń przetwarzania danych. Uprawnienie do wydawania poleceń oraz ich uchylania nie muszą być zawarte w dwóch odrębnych dokumentach, wręcz przeciwnie – pożądanym będzie wygenerowanie danej osobie jednego upoważnienia obejmującego obie czynności.

            Kończąc tę problematykę należy uporządkować jeszcze kwestię rozróżnienia pojęć powierzenia przetwarzania, upoważnienia i polecenia (oraz rzecz jasna ich odwołania). Otóż powierzenie przetwarzania następuje w wyniku działania administratora wobec podmiotu przetwarzającego. Upoważnienie z kolei występuje pomiędzy administratorem a konkretnymi osobami fizycznymi związanymi z administratorem bądź pomiędzy podmiotem przetwarzającym a konkretnymi osobami fizycznymi związanymi z tym podmiotem. Najwięcej wątpliwości budzi kwestia wydawania poleceń – o ile bezspornym jest, iż wydaje je administrator konkretnym osobom fizycznym, o tyle możliwymi są jeszcze trzy inne rozwiązania (choć nie wynikają one z literalnego brzmienia RODO). Pierwszym jest polecenie administratora skierowane do osób fizycznych związanych z podmiotem przetwarzającym (którym administrator powierzył przetwarzanie danych). Jest to rozwiązanie niewygodne, dlatego lepszym jest skierowanie przez administratora polecenia do podmiotu przetwarzającego, które nie wskazywałoby z imienia i nazwiska konkretnych osób fizycznych upoważnionych przez podmiot przetwarzający. Wreszcie trzecie rozwiązanie, w którym to podmiot przetwarzający wydaje polecenia konkretnym osobom fizycznym z nim związanym, jest rozwiązaniem organizacyjnie najprostszym. Jednakże jego interpretacja wydaje się być najbardziej odległa od językowej wykładni przepisów art. 29 i art. 32 ust. 4 RODO, mówiących o przetwarzaniu wyłącznie na polecenie administratora (zdaniem J. Rzymowskiego jego ona jednak zgodna z wykładnią celowościową tych przepisów).

Wskazanie osób uprawnionych do odwrócenia pseudonimizacji

            Zgodnie z art. 4 ust. 5 RODO, pseudonimizacja oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Z kolei pojęcie odwrócenia pseudonimizacji zawarte jest w mot. 75 i 85 Preambuły RODO, które nawiązują do szkody u osoby fizycznej spowodowanej nieuprawnionym odwróceniem pseudonimizacji. Aby zatem odwrócenie pseudonimizacji było uprawnione, konieczne jest wskazanie przez administratora danych osobowych osób, które mogą tego dokonać w jego imieniu. Oczywiście nie będzie naruszeniem przepisów RODO brak wskazania takich osób w sytuacji, gdy w danej organizacji pseudonimizacja po prostu nie występuje. Co za tym idzie, konieczność sporządzenia dokumentu w tym zakresie ma charakter względnie obowiązkowy.

            Treść samego dokumentu wynika z mot. 28 Preambuły RODO. Należy w nim imiennie wskazać osobę uprawnioną do odwrócenia pseudonimizacji, określić zakres danych (o jakie dane chodzi, kogo dotyczą, ich kategorie itp.), charakter czasowy (jednorazowy w danym dniu, czas nieokreślony lub określony w datach dziennych), a także zamieścić datę i podpis osoby reprezentującej administratora danych. W przypadku, gdy osobą podpisującą dokument wskazania nie jest osoba kierująca podmiotem, konieczny będzie dodatkowo dokument uprawniający taką osobę do wskazywania osób uprawnionych do odwrócenia pseudonimizacji w imieniu administratora danych. Warto przy tym podkreślić, iż odwrócenie pseudonimizacji jest czynnością przetwarzania danych osobowych, zatem osoba, której administrator nadaje uprawnienia do odwrócenia pseudonimizacji, powinna posiadać jednocześnie upoważnienie do przetwarzania danych osobowych w zakresie, w którym mieści się odwracanie pseudonimizacji.

            Jeśli chodzi o formę dokumentu, to podobnie jak poprzednio możliwa jest standardowa forma papierowa, postać dokumentu elektronicznego, bądź nadawanie stosownych uprawnień w systemie bazodanowym, EZD lub innym. Kwestie te kształtują się analogicznie jak przy poleceniach, dlatego nie będą już w tym miejscu szczegółowo omawiane. Natomiast do najczęściej popełnianych błędów w zakresie wskazywania osób uprawnionych do odwrócenia pseudonimizacji jest brak dokumentu w tym zakresie (tylko jeśli pseudonimizacja w firmie rzeczywiście ma miejsce) oraz brak upoważnienia do przetwarzania danych osobowych nadanego osobie uprawnionej do odwrócenia pseudonimizacji (bądź też brak polecenia przetwarzania danych osobowych wydanego takiej osobie).

Podsumowanie

            Polecenie przetwarzania danych osobowych jest dokumentem równie ważnym, co upoważnienie. W wielu aspektach obowiązki te są ze sobą ściśle skorelowane (choć jest także pomiędzy nimi wiele różnic), co sprawia, że mogą być realizowane za pomocą jednego dokumentu. Przy jego wdrażaniu warto pamiętać o optymalnej dla konkretnej firmy formie, wymaganej przez przepisy treści oraz zadbaniu, by każda czynność wykonywana przez osoby zatrudnione miała pokrycie w konkretnym dokumencie. W jednostkach dokonujących pseudonimizacji obowiązkowym dokumentem jest wskazanie osób uprawnionych do odwrócenia pseudonimizacji, które należy równocześnie upoważnić do przetwarzania danych osobowych w tym zakresie.

Źródła: 

J. Rzymowski, RODO – GDPR. Obowiązkowa dokumentacja przetwarzania danych osobowych z punktu widzenia administratora, Oficyna Wydawnicza „Impuls”, Kraków 2019.

W. Szczygielska (red.), Dokumentacja ochrony danych osobowych według RODO, Wyd. Wiedza i Praktyka, Warszawa 2018.