Poniżej prezentujemy najważniejsze fragmenty odpowiedzi udzielonej na przedstawione pytanie.
Ustawa z dnia z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2016 r. poz. 922 – dalej UODO) nie precyzuje wprost, co powinno znaleźć się w prawidłowo wystawionym upoważnieniu do przetwarzania danych osobowych. Podobnie, tę tematykę traktuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO), które z dniem 25 maja 2018 r. wejdzie w życie i zastąpi ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Pewnych wskazówek udzielają jednak art. 38 oraz 39 ust. 1 UODO. Z treści art. 38 dowiadujemy się, że: „Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane”. Obowiązek wystawiania zatem upoważnień do przetwarzania danych osobowych ujęty w art. 37 UODO koreluje z treścią w/w art. 38.
Niewątpliwie, skoro administrator danych osobowych nie powinien dopuścić do przetwarzania danych żadnej osoby, której nie zostało nadane stosowne upoważnienie (art. 37), a jednocześnie powinien wprowadzić takie mechanizmy, które w organizacji zapewniają rozliczalność co do osób przetwarzających dane, w tym identyfikujące do jakich danych poszczególne osoby uzyskują dostęp oraz jakie czynności te osoby na danych wykonują (art. 38), zaś zgodnie z art. 39 ust. 1 pkt 2 UODO ewidencja osób upoważnionych powinna zawierać datę nadania i ustania upoważnienia oraz jego zakres, to dokument upoważnienia powinien w sposób nie budzący wątpliwości wskazywać przede wszystkim do czego osoba upoważniona, a więc wskazana w jego treści, może uzyskać dostęp.
Niestety, w praktyce administratorzy danych, bardzo często określając zakres upoważnienia, w treści dokumentu ograniczają się jedynie do sformułowania: „upoważniam Panią/Pana do przetwarzania danych osobowych”. Ponadto, bardzo często taki zapis jest powielany w upoważnieniach nadawanych wszystkim osobom, które przetwarzają dane osobowe. Praktykę tę należy uznać za nieprawidłową. Osoba upoważniona bowiem, otrzymując od administratora danych upoważnienie, powinna z jego treści móc w miarę precyzyjnie ustalić do czego może uzyskać dostęp i jakie czynności może realizować, podobnie osoba odpowiadająca za nadzór lub prowadząca ewidencję osób upoważnionych. W przywołanym przykładzie, na podstawie tak lakonicznego sformułowania, żadna z osób nie jest w stanie w łatwy sposób ustalić, czy osoba wskazana w upoważnieniu może uzyskać dostęp do konkretnych danych osobowych, lub wykonać określone czynności na tych danych. Tutaj warto zwrócić uwagę na treść art. 49 UODO, który penalizuje przetwarzanie danych bez stosownego uprawnienia (upoważnienia). W przywołanej, zatem sytuacji bardzo łatwo, nawet w sposób nieumyślny, wykroczyć poza zakres przyznanego upoważnienia, gdyż jest ono nieprecyzyjne.
Z pewnością, pożądanym jest wskazywanie w treści upoważnienia nazwy zbioru danych bądź jego części (zestawienia, bazy, ewidencji), jak również określenie zakresu czynności, możliwych do realizowania przez osobę, której upoważnienie dotyczy. Niewątpliwie, kolejnym obligatoryjnym elementem upoważnienia jest wskazanie w treści upoważnienia, komu jest ono nadawane oraz w jakiej dacie i przez jaki czas osoba ta pozostaje upoważniona. Upoważnienie powinno również określać administratora danych i ewentualnie wskazywać kto w jego imieniu nadaje upoważnienie.
Warto przytoczyć tutaj także stanowisko Sądu Najwyższego przedstawione w uzasadnieniu wyroku z dnia 4 kwietnia 2017 r. Sygn. akt II PK 37/16, w którym co prawda sąd rozpatrywał zagadnienie z zakresu prawa pracy, lecz odniósł się bardzo precyzyjnie do zasad nadawania pracownikom upoważnień do przetwarzania danych osobowych oraz ich treści.
„(…)Pracownik mający dostęp do danych osobowych klientów pracodawcy nie zyskuje statusu administratora danych, lecz pozostaje osobą dopuszczoną do przetwarzania danych osobowych na podstawie imiennego upoważnienia nadanego przez administratora – pracodawcę. Wymóg wydania upoważnienia do przetwarzania danych osobowych klientów pracodawcy pracownikom zatrudnionym przy przetwarzaniu danych osobowych wynika z art. 37 ustawy o o.d.o. Przepis ten ma na celu zapewnienie prawidłowości, a w szczególności poufności przetwarzania danych osobowych. Zakresem stosowania tego przepisu objęty jest każdy przypadek przetwarzania danych osobowych w zbiorze danych, bez względu na to, czy zbiór jest prowadzony w systemie informatycznym czy poza tym systemem. Upoważnienie administratora danych jest konieczne do wykonywania jakiejkolwiek operacji na danych osobowych. Upoważnienie takie mają głównie pracownicy przetwarzający dane osobowe stale, w związku z zatrudnieniem na stanowisku, na którym rutynowo w efekcie wykonywania obowiązków ze stosunku pracy dane te są przetwarzane. Powinny się nim wykazać jednak nie tylko osoby, które na stałe zajmują się przetwarzaniem danych, pracownicy administratora, ale także osoby czasowo wykonujące czynności w tym zakresie, jak również osoby dokonujące przeglądów serwisowych sprzętu czy oprogramowania, osoby mające usunąć usterki czy awarie, z tego względu, że mają one dostęp do danych osobowych, a zatem można uznać, że przetwarzają dane (np. jeżeli mogą się zapoznać z treścią danych). Upoważnienie takie nie jest natomiast konieczne, gdy upoważnienie oraz obowiązek przetwarzania danych osobowych wynikają z przepisów ustawowych. W praktyce nadanie upoważnienia powinno być związane z podpisaniem przez osobę odbierającą upoważnienie oświadczenia o zapoznaniu się z przepisami dotyczącymi ochrony danych osobowych oraz o przyjęciu do wiadomości obowiązku zachowania tajemnicy. Przepis art. 37 ustawy o o.d.o. ustanawia zakaz dopuszczania osób innych niż mające upoważnienie nadane przez administratora danych, do przetwarzania danych osobowych. Oznacza to, że do przetwarzania danych nie jest wystarczające upoważnienie wynikające ze stosunku prawnego łączącego daną osobę z administratorem danych, np. w związku z zawarciem umowy o pracę czy umowy zlecenia albo innej umowy o świadczenie usług, do której stosuje się odpowiednio przepisy o zleceniu. Ustawa o o.d.o. nie określa wymagań kwalifikacyjnych, jakie muszą spełniać osoby upoważnione do przetwarzania danych osobowych. Nie oznacza to jednak, że administrator danych może nadawać upoważnienia do przetwarzania danych dowolnym osobom. Zgodnie z art. 26 ust. 1 ustawy, administrator danych jest bowiem obowiązany dołożyć szczególnej staranności w doborze osób upoważnionych do przetwarzania danych osobowych.
Ustawodawca nie określił formy i treści takiego upoważnienia, ale ze względów dowodowych należy przyjąć formę pisemną. Upoważnienie to powinno mieć charakter imienny – w jego treści należy wyraźnie wskazać osobę dysponującą tym upoważnieniem oraz zakres przetwarzania danych osobowych realizowanych na jego podstawie. Brak precyzyjnego wyznaczenia zakresu upoważnienia należy kwalifikować jako niezgodny z prawem. Administrator danych jest bowiem obowiązany sprecyzować zakres upoważnienia, jaki jest konieczny do prawidłowego wykonywania obowiązków przez upoważnionego. Obowiązek taki nie został ustanowiony wyraźnie w ustawie o o.d.o., lecz mieści się w ramach ogólnego obowiązku zabezpieczenia danych osobowych (art. 36 ust. 1 ustawy), a także stanowi przejaw szczególnej staranności administratora danych w celu ochrony osób, których dane dotyczą (art. 26 ust. 1 ustawy). Zakresy upoważnień do przetwarzania danych osobowych powinny być ustalone tak, aby zapewnić realizację obowiązku wynikającego z art. 38 ustawy o o.d.o. Natomiast pracownicy (osoby upoważnione do przetwarzania danych osobowych) powinni mieć faktyczny dostęp do danych osobowych tylko w zakresie udzielonych upoważnień.(…)”
Reasumując, upoważnienie do przetwarzania danych osobowych powinno jasno i precyzyjnie wskazywać, co najmniej następujące informacje:
- kto je wystawił (i ewentualnie w czyim imieniu)
- komu jest wystawione (kogo dotyczy),
- od kiedy i przez jaki czas obowiązuje,
- określać zakres upoważnienia do przetwarzania danych,
- ewentualnie wskazywać podstawę do jego wystawienia.