Upoważnienie do przetwarzania danych czy umowa powierzenia?
2019-11-12
W naszym przedsiębiorstwie zatrudniamy personel na podstawie umów o pracę, jak i w oparciu o umowy cywilnoprawne. Współpracujemy także z osobami prowadzącymi własną działalność gospodarczą. Wszystkie te osoby, niezależnie od podstawy zatrudnienia czy współpracy, mają dostęp do danych, których administratorem jest przedsiębiorstwo. Jak w świetle RODO unormować kwestię przetwarzania danych przez personel przedsiębiorstwa? Czy administrator powinien udzielać upoważnienia czy zawierać umowy powierzenia przetwarzania danych osobowych – pyta pan Jan.
Zgodnie z art. 29 RODO „podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo UE lub prawo państwa członkowskiego”. W sytuacji opisanej przez czytelnika właściwe będzie zatem udzielenie upoważnienia poszczególnym członkom personelu.
Należy przy tym podkreślić, że kwestia upoważnienia do przetwarzania odrywa się od podstawy prawnej regulującej stosunek podstawowy między administratorem a osobą upoważnioną. Osoby działającej z upoważnienia administratora nie musi łączyć z nim konkretny, odgórnie wskazany stosunek prawny. Upoważnioną może być zarówno osoba zatrudniona na umowę o pracę, jak i funkcjonująca w strukturze administratora lub podmiotu przetwarzającego na podstawie cywilnoprawnych form zatrudnienia. Może to być także praktykant lub stażysta albo osoba fizyczna prowadząca działalność gospodarczą, współpracująca z upoważniającym.
Aby dokonać wyboru właściwej podstawy dopuszczenia do przetwarzania w postaci upoważnienia należy zwrócić uwagę na zależność osoby upoważnionej od administratora, rozumianą jako brak samodzielności w zakresie decydowania o przetwarzaniu, a także działanie w ramach obszaru przetwarzania administratora. Jeżeli dana osoba, niezależnie od istniejącej relacji prawnej z administratorem, ma dostęp do danych administrowanych przez administratora i jednocześnie podlega jego kontroli, zwierzchnictwu i nadzorowi organizacyjnemu, wówczas zastosowanie znajdzie instytucja upoważnienia. Dotyczy to zwłaszcza sytuacji, gdy administrator udostępnia zasoby i narzędzia, które służą do przetwarzania danych.
Podstawa prawna: art. 29 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) DzU UE L z 2016 r., nr 119/1
Odpowiedź ukazała się w dzienniku „Rzeczpospolita”