GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Czy inspektor ochrony danych musi posiadać upoważnienie?

Czy inspektor ochrony danych musi posiadać upoważnienie?

Czy inspektor ochrony danych musi posiadać upoważnienie?

Czy inspektor ochrony danych, musi posiadać upoważnienie do przetwarzania danych osobowych wydane przez administratora? Ogólne rozporządzenie o ochronie danych osobowych w art. 24 ust. 1 nakłada na administratora obowiązek, wdrożenia odpowiednich środków organizacyjnych i technicznych, aby przetwarzanie odbywało się zgodnie z przepisami RODO. Obowiązek ten wywodzi się z art. 5 ust. 1 lit. f RODO, który wskazuje, że dane powinny być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronne przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Jednym ze środków organizacyjnych, zapewniających bezpieczeństwo danych osobowych, jest kontrolowanie osób, które mogą przetwarzać dane osobowe w imieniu administratora poprzez wydawanie i ewidencjonowanie upoważnień. Zagadnienie upoważnienia do przetwarzania danych osobowych wydawanych przez administratora poruszane jest w RODO również w art. 28, 29 oraz 32 ust. 4 RODO.

Art. 29 RODO Przetwarzanie z upoważnienia administratora

Zgodnie z art. 29 RODO „Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego mająca dostęp do danych osobowych przetwarza je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego”. Administratorem w rozumieniu art. 4 pkt. 7 RODO jest osoba fizyczna lub prawna, która decyduje o celach i sposobach przetwarzania danych osobowych. Administrator decyduje również o tym, kto  będzie uprawniony do przetwarzania danych osobowych w jego imieniu. Do przetwarzania danych osobowych mogą bowiem być dopuszczeni pracownicy (lub osoby zatrudnione na podstawie umów cywilnoprawnych), którym nadawane są upoważnienia. „Na gruncie u.o.d.o.1997  wykształciła się praktyka podpisywania przy nadawaniu upoważnienia do przetwarzania przez osobę upoważnianą oświadczenia o zapoznaniu się z przepisami dotyczącymi ochrony danych osobowych oraz o przyjęciu do wiadomości obowiązku zachowania tajemnicy.[i] Działania te przyczyniały się do skuteczniejszej ochrony danych i były uznawane za działania zmierzające do zapewnienia, że osoby działające w imieniu administratora lub procesora nie będą przetwarzały danych niezgodnie z instrukcjami administratora. Niezależnie od tego, czy RODO wymaga upoważnień, czy nie to w Polsce jest długa tradycja upoważnień właśnie na gruncie ustawy o ochronie danych osobowych z 1997 r., a nowa zmiana przepisów sektorowych, podtrzymuje jej zasadność. Upoważnienia są bowiem wskazywane jako środek techniczny, mający na celu zabezpieczenie przetwarzania danych osobowych.

Kiedy Inspektor ochrony danych powinien mieć nadane upoważnienie, a kiedy należy z nim podpisać umowę powierzenia?

Inspektora Ochrony Danych działającego w imieniu administratora nie musi łączyć konkretny, odgórnie wskazany stosunek prawny. IOD może być więc zarówno osoba zatrudniona na podstawie umowy o pracę, jak i funkcjonująca w strukturze administratora na podstawie cywilnoprawnych form zatrudnienia[ii] tj. na podstawie umowy zlecenia lub w formie współpracy B2B.

  • IOD jako podmiot zewnętrzny. Jeżeli IOD jest podmiotem zewnętrznym i ma podpisaną umowę na pełnienie funkcji IOD, musi dodatkowo podpisać umowę powierzenia przetwarzania danych osobowych. Samo podpisanie umowy powierzenia nie jest jednak jednoznaczne z nadaniem upoważnienia, dlatego IOD powinien mieć dodatkowo wydane upoważnienie.
  • IOD zatrudniony na stanowisku IOD. Jeżeli IOD ma podpisaną umowę o pracę z ADO, a w wiążącej strony umowie, został określony zakres jego obowiązków. Treść samej umowy powinna wprost wskazywać jaki jest zakres obowiązków IOD i w jakim celu je wykonuje. Zgodnie z zasadą minimalizacji IOD powinien mieć dostęp do danych adekwatnych do wykonywanych zadań. IOD będzie jednak pracownikiem administratora, w związku z czym należy mu nadać upoważnienie do przetwarzania danych, samo zawarcie umowy nie jest bowiem wystarczające do uznania, że upoważnienie zostało wydane.
  • IOD jako czynność dodatkowa w organizacji. Jeżeli IOD pełni dodatkową funkcję w organizacji, nadaje mu się upoważnienie do przetwarzania danych osobowych. Zakres jego obowiązków i dostępu do danych, powinien zostać indywidualnie określony, zgodnie z zasadą minimalizacji danych.

Zachowanie poufności przez Inspektora Ochrony Danych Osobowych

Ogólne Rozporządzenie o ochronie danych osobowych wymaga, aby IOD był włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Jego status w organizacji określony jest w art. 38 RODO, z którego wynika by IOD był na  bieżąco informowany o sprawach dotyczących ochrony danych osobowych. Zgodnie z zasadą minimalizacji, dane osobowe przetwarzane przez IOD powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów w których są przetwarzane. Dodatkowo ustawodawca zobowiązał w art. 38 ust. 5 RODO do zachowania tajemnicy lub poufności co do wykonywania swoich zadań zgodnie z prawem Unii lub prawem państwa członkowskiego. Obowiązek ten służy, głównie temu, aby IOD nie ujawniał osobom trzecim jakichkolwiek informacji dotyczących wykonywanych przez IOD zadań, bez zgody administratora danych. Na chwilę obecną nie ma przepisów krajowych, które regulowałyby jak daleko powinno sięgać zobowiązanie do zachowania tajemnicy. Dlatego przyjmuje się, że powinno być ono analogiczne do zobowiązania do zachowania tajemnicy zawodowej lub umownej.

Treść upoważnienia

Treść i forma upoważnienia nie jest określona w przepisach prawa. Upoważnienie  może więc być wydawane w formie papierowego dokumentu lub elektronicznie. Ważne jest jednak, aby administrator mógł wykazać komu i w jakim zakresie nadał upoważnienie, zgodnie z zasadą rozliczalności.

 

Wyrok SN z 4 KWIETNIA 2017R., II PK 37/16

Upoważnienie administratora danych jest konieczne do wykonywania jakiejkolwiek operacji na danych osobowych. (…) Upoważnienie to powinno mieć charakter imienny – w jego treści należy wyraźnie wskazać osobę dysponującą tym upoważnieniem oraz zakres przetwarzania danych osobowych realizowanych na jego podstawie. Brak precyzyjnego wyznaczenia zakresu upoważnienia należy kwalifikować jako niezgodny z prawem. Administrator danych jest bowiem obowiązany sprecyzować zakres upoważnienia, jaki jest konieczny do prawidłowego wykonywania obowiązków przez upoważnionego.

 

[i] Fajgielski Paweł. Art. 32. W: Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz. Wolters Kluwer Polska, 2018.

Karolina Skrzipczyk

Polecamy także artykuł:  „Zadania Inspektorów Ochrony Danych”

ZAPRASZAMY NA SZKOLENIE : 5-dniowe Kompleksowe Szkolenie dla Inspektorów Ochrony Danych 

Autor: Redakcja
Udostępnj publikację:
Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach