Zbliża się wejście w życie RODO. Jednym z istotnych zagadnień w tym zakresie jest kwestia upoważnień do dostępu i przetwarzania danych. Administrator danych powinien przetwarzać dane osobowe zgodnie z prawem i z zachowaniem zasad dotyczących przetwarzania. Oczywistym jest jednak, że zazwyczaj dane będą przetwarzane przez poszczególne osoby fizyczne znajdujące się w strukturze lub poza strukturą administratora. W takiej sytuacji konieczne jest wystawienie odpowiednich upoważnień oraz zachowanie innych zasad związanych z dopuszczeniem ich do przetwarzania danych.
Upoważnienie do dostępu i przetwarzania danych będzie konieczne także w sytuacji, gdy dana osoba co prawda nie wykorzystuje danych w swojej pracy, jednak ma do nich dostęp, nawet nie mając możliwości wpływu na treść danych (np. informatycy obsługujący firmowe serwery). Analogicznie należy potraktować osoby mające dostęp i przetwarzające dane z upoważnienia podmiotu przetwarzającego.
Przetwarzanie wyłącznie na polecenie administratora
Obowiązek wystawiania upoważnień dotyczy zarówno administratora, jak i podmiotu przetwarzającego dane – dla osób działających w ich imieniu.
Każda osoba, działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych, powinna przetwarzać je wyłącznie na polecenie administratora. To niejasne sformułowanie nie oznacza jednak, że administrator musi wydawać polecenia co do dokonywania każdorazowej operacji na danych. Prowadziłoby to bowiem do sytuacji skrajnych, w których pracodawca codziennie rano musiałby wydawać pracownikom te same polecenia tylko po to, by w danym dniu pracownicy przetwarzali dane „na polecenie”. Innymi słowy, zarówno z zakresu upoważnienia jak i zakresu obowiązków pracownika, może wynikać to, że pewne czynności służbowe będą permanentnie uznawane jako wykonywane w ramach „polecenia”. Z tego względu istotna będzie treść zarówno zakresu obowiązków, jak i samego upoważnia do przetwarzania danych.
Sama umowa nie wystarczy
Upoważnienie do dostępu i do przetwarzania danych musi stanowić odrębne od umowy łączącej daną osobę fizyczną z administratorem lub z podmiotem przetwarzającym oświadczenie. Oznacza to, że nie można wywodzić go z samej treści łączącego strony stosunku pracy czy stosunku świadczenia usług. Nic nie stoi jednak na przeszkodzie, aby upoważnienie było częścią takiej umowy, jako oświadczenie administratora. Musi być ono jednak wyrażone wprost, a nie w sposób domniemany.
Upoważnienie – nie dla każdego
Wystawianie upoważnień należy rozważyć w kontekście faktycznego zakresu czynności, jakie dana osoba wykonuje w związku z dostępem i przetwarzaniem danych. Administrator i podmiot przetwarzający nie powinni więc nadawać upoważnień w sposób dowolny, bez analizy konieczności dostępu do danych konkretnej osoby. Nie każda osoba potrzebuje bowiem dostępu do danych lub przetwarzania ich, by móc w sposób prawidłowy wykonywać swoje obowiązki.
Powyższe wynika z obowiązku zachowania poufności danych osobowych. Zasada poufności oznacza nie tylko uniemożliwienie dostępu do danych dla osób nieupoważnionych, ale również ograniczenie kręgu osób upoważnionych. Im więcej osób może dane przetwarzać, tym większe ryzyko osobowe naruszenia poufności ciążące na administratorze. Konieczne jest również zapewnienie kontroli nad procesem dostępu i przetwarzania danych przez osoby fizyczne w imieniu podmiotu przetwarzającego.
Jako przykład można wskazać dostęp pracowniczych do akt osobowych. O ile uzasadniony jest dostęp do takich danych przez pracowników Działów Personalnych, to co do zasady nie ma żadnych powodów, by dostępu takiego udzielać np. pracownikom zatrudnionym przy pracy związanej ze sprzątaniem biura.
Upoważnienie – nie na wszystko
Należy zauważyć także, że zakres danych do których mają dostęp osoby którym wystawione zostały odpowiednie upoważnienia, powinien być odpowiednio ograniczony. Zakres upoważnienia powinien być ściśle dopasowany do celu, ze względu na który dane upoważnienie zostało wystawione. Nie może być tak, że danemu pracownikowi wystawiono upoważnienie do dostępu do wszystkich danych, podczas gdy dostęp do większości z tych danych jest zupełnie zbędny w jego pracy.
Imiennie czy zbiorczo?
Co prawda RODO nie przesądza kwestii, czy upoważnienie do dostępu i przetwarzania danych powinno mieć charakter indywidualny, takie rozwiązanie wydaje się jednak preferowane. Wynika to z konieczności dołożenia szczególnej staranności w procesie przetwarzania danych. Wystawianie zbiorczych upoważnień może spowodować zagrożenia dla praw osób, które dane dotyczą.
Wejście w życie RODO
Przygotowując się na rozpoczęcie stosowania przepisów RODO, które będzie miało miejsce 25 maja 2018 r., nie należy zapominać o kwestii nadawania upoważnień do dostępu i przetwarzania danych. Obowiązek ten został już wcześniej uregulowany w obowiązujących w Polsce przepisach ustawowych, jednakże RODO rzuca na jego wypełnienie zupełnie nowe światło. Z uwagi na wprowadzaną zasadę rozliczalności, to administrator danych będzie zobowiązany wykazać, że przestrzega przepisy RODO, a więc również to, że osoby którym udostępnił dane, były upoważnione do ich przetwarzania.
Autorzy:
aplikant radcowski Piotr Strumiński
radca prawny dr Karol Kulig
Newsy HR