Fajgielski Paweł, Dopuszczenie (nadawanie upoważnień) do przetwarzania danych osobowych

Procedury
Status:  Aktualna
Wersja od: 25 maja 2018 r.
Autor:

Dopuszczenie (nadawanie upoważnień) do przetwarzania danych osobowych

Dopuszczenie (nadawanie upoważnień) do przetwarzania danych osobowych

Dopuszczenie (nadawanie upoważnień) do przetwarzania danych osobowych

Administrator decyduje o tym, kogo dopuścić do przetwarzania danych. Przepisy r.o.d.o. nie określają w sposób wyraźny i jednoznaczny obowiązku nadawania upoważnień do przetwarzania danych osobowych. Jednakże art. 29 r.o.d.o. nakłada na każdą osobę działającą z upoważnienia administratora bądź podmiotu przetwarzającego, mającą dostęp do danych, obowiązek przetwarzania danych wyłącznie na polecenie (zgodnie z instrukcjami) administratora, chyba że przetwarzanie jest wymagane przez prawo. Ze wskazanego powyżej przepisu można wyciągnąć wniosek o konieczności nadawania osobom, które przetwarzają dane, upoważnień do przetwarzania danych, gdyż brak tego rodzaju upoważnień może prowadzić do trudności w ustaleniu, czy konkretna osoba działa z upoważnienia administratora. Podobny obowiązek przewidywał art. 37 u.o.d.o., przy czym przepis ten w sposób bardziej wyraźny wskazywał obowiązek nadawania upoważnień. Opierając się na treści przepisu art. 29 r.o.d.o., zasadne jest więc przyjęcie, że dotychczasowa praktyka nadawania upoważnień do przetwarzania danych powinna być utrzymana.

Dopuszczenie (nadawanie upoważnień) do przetwarzania danych osobowych administrator, podmiot przetwarzający administrator, podmiot przetwarzający zaistnienie potrzeby dopuszczenia osoby do przetwarzania danych ocena, czy przepis szczególny reguluje kwestie przetwarzania danych bez upoważnienia brak obowiązku nadania upoważnienia nadanie upoważnienia do przetwarzania danych dopuszczenie do przetwarzania danych tak nie

Krok: zaistnienie potrzeby dopuszczenia osoby do przetwarzania danych

Osoby fizyczne, które mają przetwarzać dane osobowe na polecenie (zgodnie z instrukcjami) administratora, powinny uzyskać dostęp do danych. Dotyczy to nie tylko osób zatrudnionych w strukturach organizacyjnych administratora (pracowników oraz osób zatrudnionych na podstawie umów cywilnoprawnych), ale także praktykantów, stażystów bądź innych osób, które administrator dopuszcza do przetwarzania danych.

Określone w art. 29 r.o.d.o. wymogi odnoszą się także do podmiotu przetwarzającego dane na zlecenie, który powinien upoważnić osoby, które dopuszcza do przetwarzania.

Od dopuszczenia do przetwarzania danych należy odróżnić powierzenie przetwarzania danych, a więc sytuację, gdy administrator zleca podmiotowi zewnętrznemu przetwarzanie danych, zgodnie z art. 28 r.o.d.o.

Krok: ocena, czy przepis szczególny reguluje kwestie przetwarzania danych bez upoważnienia

Przepisy prawa (zarówno unijnego, jak i krajowego) mogą dopuszczać (wymagać) przetwarzanie bez konieczności uzyskania upoważnienia administratora. Dotyczy to np. osób sprawujących funkcje nadzorcze i kontrolne, które mogą uzyskiwać dostęp do danych bez upoważnienia.