Czy trzeba upoważniać pracownika do przetwarzania danych osobowych?

W poprzednich wpisach poruszyliśmy m.in. temat umowy powierzenia przetwarzania danych osobowych. Przy okazji tych wpisów wspominaliśmy o tym, że nie wolno zawierać umów powierzenia z osobami, które upoważniamy do przetwarzania danych.

Źródłem obowiązku upoważnienia jest przepis art. 29 RODO, zgodnie z którym „podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego”. Ten przepis został trochę niepoprawnie przetłumaczony na język polski, co rodzi dużo problemów z jego interpretacją i zastosowaniem. Wersja polska mówi bowiem o przetwarzaniu „na polecenie administratora”, podczas gdy po angielsku ten fragment brzmi „on instructions from the controller”. Trudno przyjąć, że angielski termin „instructions” miałby oznaczać polecenie lub polecenia. Podobnie termin „z upoważnienia administratora” jest raczej nieudaną kalką wyrażenia „under authority of the controller”. Trudno zatem przyjąć, o jakie upoważnienia i o jakie polecenia administratora ma chodzić.

Nie na tym koniec problemów. Już przed 25 maja 2018 r. pojawiły się wątpliwości czy upoważnienia mają mieć postać pisemną. RODO nie przewiduje takiego wymogu. Mało tego – nie przewiduje w art. 29 wprost wymogu udokumentowania upoważnienia, choć zasada rozliczalności nakazuje takie dokumentowanie.

Obecnie – zgodnie z przepisem art. 22(1b) Kodeksu pracy, do przetwarzania danych szczególnych kategorii, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Podobnie zgodnie z art. 8 ust. 1b ustawy o Zakładowym Funduszu Świadczeń Socjalnych do przetwarzania danych osobowych dotyczących zdrowia także wymaga się nadawania pisemnego upoważnienia. Nie załatwia to jednak całości problemu.

Analizując poradnik Urzędu Ochrony Danych Osobowych „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców”, między wierszami także można doszukać się sugestii w przedmiocie obowiązku nadawania upoważnień.

Jak zatem do tego podejść?

Z pewnością nie liberalnie. Oczywiście problem z tłumaczeniem przepisu art. 29 RODO to jedno; podobnie z praktyką stosowania tego przepisu w wielu krajach europejskich, w których nie wymaga się odrębnych pisemnych upoważnień – należy do niej podchodzić z dystansem. Trzeba skupić się na tym, co mówi art. 29 RODO w polskiej wersji językowej, na wytwarzającej się praktyce i na stanowisku organu, a za pewnością to stanowisko zmierza do tego, że upoważnienie dla pracownika przetwarzającego dane osobowe musi być i powinno mieć formę odpowiednio udokumentowaną, a najlepiej pisemną. Oczywiście taka praktyka nie idzie w dobrą stronę, na pewno przy uwzględnieniu powszechnej cyfryzacji i odchodzenia we wszystkich branżach od formy papierowej. Absolutnym minimum zatem powinno być upoważnienie udokumentowane w inny sposób np. mailem (przy uwzględnieniu wyżej opisanych wymogów ustawowych, które wyraźnie przewidują upoważnienie pisemne). Jeżeli jednak dany pracodawca ma możliwość nadania odrębnych upoważnień pisemnych, to lepiej – dla świętego spokoju – skorzystać z takiej formy udzielenia upoważnienia.

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s