Kto powinien wydawać upoważnienia do przetwarzania danych? Czy powinien to robić Inspektor Ochrony Danych? Na kogo administrator może scedować ten obowiązek? To są pytania, które najczęściej otrzymuję od osób pełniących funkcję Inspektora Ochrony Danych. Wydawanie upoważnień do przetwarzania danych to jeden z głównych problemów dużych organizacji.

Administrator danych to osoba lub podmiot, który decyduje o celach i sposobach przetwarzania danych. Obowiązkiem administratora danych jest sprawowanie kontroli nad dostępem do danych i to on decyduje o tym, kto i w jakim zakresie upoważnienie otrzyma. Administratorem danych jest osoba lub podmiot, który decyduje o celach i sposobach przetwarzania danych. W praktyce więc, administratorem danych może być zarówno osoba fizyczna, która wykorzystuje dane osobowe na cele zarobkowe lub zawodowe, szkoła, szpital, spółka z o.o., jak i jednostka publiczna.

Upoważnienia powinna wydawać formalnie osoba, która działa w imieniu administratora danych.

Zgodnie z art. 29 RODO każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych przetwarza je wyłącznie na polecenie administratora.

Upoważnienia powinna więc wydawać formalnie osoba, która działa w imieniu administratora danych. W zależności od formy prawnej będzie to, np. kierownik jednostki organizacyjnej, prezes zarządu, osoba prowadząca działalność gospodarczą.

Wydawanie upoważnień do przetwarzania danych w praktyce.

W przypadku osób prowadzących działalność gospodarczą, gdy pojawiają się w jej ramach osoby współpracujące lub pracownicy, sprawa wydaje się jasna. Osoba ta powinna sama wydać im odpowiednie upoważnienia. Nie mamy tu raczej innej możliwości.

Natomiast w organizacjach o bardziej skomplikowanej strukturze temat wydawania upoważnień jest trochę jak kukułcze jajo, przerzucane z jednej osoby na drugą. A sprawa jest przecież równie oczywista, jak w przypadku mikroprzedsiębiorcy. Jednak w większej strukturze jest większa rotacja, co za tym idzie więcej upoważnień do nadania, odwołania lub zmiany. Dlatego wydawanie upoważnień ceduje się w większości na kierowników działów kadrowo-personalnych, którzy z racji swojej funkcji mają najlepszą wiedzę o tego typu zmianach w organizacji. W mojej ocenie jest to dopuszczalna sytuacja. Ciężko także oczekiwać, aby prezes lub kierownik jednostki organizacyjnej dużej organizacji samodzielnie wydawał upoważnienia, następnie prowadził ich ewidencję.

To administrator danych osobowych odpowiada za brak lub nieścisłości w nadawaniu lub odwołaniu upoważnień.

Trzeba jednak uważać na kilka kwestii, gdyż nie można całkowicie przesunąć tego zadania na działy kadrowe, nie wyposażając je w procedury i narzędzia do zarządzania upoważnieniami. Nadal to administrator danych osobowych będzie odpowiadał za ich brak lub nieścisłości w ich nadawaniu lub odwołaniu. Osoba upoważniona do ich wydawania w imieniu administratora danych nie może także samodzielnie decydować o tym kto i w jakim zakresie powinien upoważnienie otrzymać.

Czy Inspektor Ochrony Danych może wydawać upoważnienia?

Rolą Inspektora Ochrony Danych jest informowanie administratora danych o spoczywających na nim obowiązkach oraz doradzanie mu w tej sprawie.

O ile zadanie wydawania upoważnień przez kadrową wydaje się dopuszczalne, to w mojej ocenie całkowicie błędne jest cedowanie tego zadania na Inspektora Ochrony Danych, który został w organizacji powołany. Uczestnicy moich szkoleń stacjonarnych to głównie osoby pełniące funkcję Inspektora w organizacjach z różnych sektorów, a jednak kwestia przypisywania tego zadania Inspektorom jest dla nich wszystkich wspólna. Co prawda, spotykam się z tym coraz rzadziej, jednak są nadal takie organizacje, w których administrator danych z braku zasobów kadrowych, czy też nieznajomości przepisów wymaga, aby to Inspektor Ochrony Danych wydawał upoważnienia i prowadził ich ewidencję.

W mojej ocenie, cedowanie wydawania upoważnień na Inspektora Ochrony Danych jest całkowiecie błędne.

To zadanie przeczyłoby jednak funkcji kontrolnej, którą Inspektorowi nadaje przecież art. 39 RODO. Rolą Inspektora jest informowanie administratora danych o spoczywających na nim obowiązkach oraz doradzanie mu w tej sprawie. W tym konkretnym aspekcie Inspektor Ochrony Danych powinien zalecać administratorowi nadanie upoważnień, a następnie monitorować i kontrolować, czy są wydawane prawidłowo. Jest to oczywiście duże uproszczenie roli Inspektora, ale w tym kontekście chciałam, aby zostało to jasno nakreślone.

Inspektor nie może najpierw nadawać upoważnień, a potem sprawdzić czy zostały wydane. Przeczyłoby to funkcji monitorowania, audytowania, którą przepisy prawa nadają Inspektorom.

Podsumowując: W mojej ocenie jedyną dopuszczalną możliwością nadawania upoważnień, oprócz kierownika jednostki czy prezesa zarządu, jest po prostu wskazanie innej osoba fizycznej w organizacji. Wydawanie upoważnień do przetwarzania danych nie może być jednak odpowiedzialnością Inspektora Ochrony Danych.

error: Nie kopiujemy!