Wstęp
Table of contents
Przetwarzanie danych osobowych jest nieodłączną częścią funkcjonowania zdecydowanej większości administratorów. Odbywa się przede wszystkim przy udziale pracowników i współpracowników, ale również innych podwykonawców. Kiedy należy upoważnić, a kiedy zawrzeć umowę powierzenia? Do kogo należy ten obowiązek? W jakiej uczynić to formie? Między innymi na te pytania znajdziesz odpowiedź w tym artykule.
Zanim przejdziemy do dokładniejszego omawiania upoważnienia i powierzenia przetwarzania, zwróć uwagę na jedno istotne rozróżnienie. Upoważnienie obejmuje działania w ramach struktury administratora, a powierzenie przetwarzania dotyczy sytuacji, gdy przetwarzanie danych osobowych odbywa się poza nią, przez inny podmiot – choć wciąż to administrator decyduje o celach i sposobach przetwarzania. Jasne? W takim razie idziemy dalej!
Czym jest upoważnienie do przetwarzania danych osobowych?
Upoważnienie do przetwarzania danych osobowych może być rozumiane na co najmniej dwa sposoby:
- jako działanie, które podejmuje administrator danych w celu uregulowania przetwarzania danych osobowych w ramach swojej organizacji lub
- jako dokument, który stanowi potwierdzenie okoliczności upoważnienia pracownika lub współpracownika do przetwarzania danych osobowych.
W jakim celu nadaje się upoważnienia?
Zgodnie z definicją określoną przez RODO, administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania. Dla zobrazowania, jeżeli jesteś przedsiębiorcą prowadzącym jednoosobową działalność gospodarczą, to Ty będziesz administratorem danych, które przetwarzasz w jej ramach. Jeżeli natomiast jesteś wspólnikiem spółki, np. spółki z o.o., to administratorem danych będzie ta spółka.
Różnica między tymi dwoma przypadkami zawiera się w strukturze podmiotów. W przypadku spółki prawdopodobnym jest, że dane przetwarzasz nie tylko Ty, ale również Twoi pracownicy lub współpracownicy. Upoważnienie ich do tego celu stanowi umocowanie ich do zgodnego z przepisami prawa działania przy wykorzystaniu danych osobowych. Nadanie upoważnień rozciąga przetwarzanie danych osobowych na osoby działające w strukturze administratora, którym poleca on przetwarzanie danych.
Jakkolwiek wskazana przyczyna jest punktem wyjściowym, to muszę przywołać jeszcze dwie inne, na które – jak wskazuje doświadczenie audytowe – administratorzy zwracają większą uwagę.
Pierwszą z nich jest zapewnienie rozliczalności. Chodzi o możliwość wykazania przez administratora, że przestrzega zasad przetwarzania danych osobowych. Upoważnienie w rozumieniu dokumentu potwierdzającego umocowanie pracownika lub współpracownika do przetwarzania danych osobowych stanowi jeden ze środków dowodowych, umożliwiający administratorowi udowodnienie zgodności z przepisami.
Drugą przyczyną jest natomiast możliwość potwierdzenia zakresu uprawnień pracownika lub współpracownika. Powód ten jest szczególnie bliski tym administratorom, którzy cenią sobie praktyczne rozwiązania. Działanie takie z pewnością przyczyni się do zapewnienia ciągłości działania administratora i możliwości szybkiego ustalenia, co ktoś robić może, a czego robić nie powinien.
Kto komu nadaje upoważnienia do przetwarzania danych osobowych?
Odpowiedź na to pytanie znajdujemy w samym RODO. Zgodnie z brzmieniem przepisu art. 29, podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.
Nadawanie upoważnień jest więc zadaniem administratora danych, zgodnie z którego poleceniem dochodzi do ich przetwarzania. Upoważnione natomiast powinny być te osoby, które mają dostęp do danych osobowych w związku z wykonywaniem powierzonych im obowiązków. Wskazać należy, że będą to nie tylko osoby zatrudnione na podstawie umowy o pracę, ale również działające na innej podstawie, np. w warunkach umowy zlecenia. Do tego tematu wrócimy jeszcze na koniec artykułu.
Z uwagi na szeroką definicję administratora, mogą pojawić się wątpliwości co do tego, kto powinien zająć się upoważnieniami w praktyce. Co do zasady będzie to osoba działająca jako reprezentant podmiotu, np. członek zarządu spółki.
Często spotykane są też próby przenoszenia przez administratorów przypisanych im obowiązków na wyznaczonego Inspektora Ochrony Danych… i w tym miejscu zadajmy sobie pytanie.
Czy upoważnienie może nadać Inspektor Ochrony Danych (IOD)?
Odpowiedź na to pytanie jest krótka – nie może. Decyzję co do tego, kto i w jakim zakresie przetwarza dane osobowe, a co za tym idzie również czynność nadawania upoważnień, spoczywa na administratorze. Nie może on scedować tego obowiązku na Inspektora Ochrony Danych. Działanie takie wykracza poza zakres obowiązków Inspektora Ochrony Danych określonych w przepisie art. 39 RODO. Co więcej, naruszałoby to zasady sprawowania funkcji IOD. Jednym z zadań Inspektora Ochrony Danych jest monitorowanie przestrzegania RODO, innych przepisów prawa oraz polityk administratora. Podejmowanie decyzji w zakresie nadawania lub odbierania upoważnień powodowałoby konflikt interesów. Inspektor Ochrony Danych oceniałby zgodność swoich własnych działań z przepisami rozporządzenia.
Potwierdzenie tego zdania znajdujemy również w działalności Urzędu Ochrony Danych Osobowych. Do tematu nadawania upoważnień przez IOD odniósł się w pewnej decyzji Prezes UODO, stwierdzając naruszenie w tym obszarze w jednym ze szpitali. Z treści decyzji dowiadujemy się, że „(…) Należy jednak przyjąć, że z uwagi na specyfikę zadań IOD ogniskujących się na doradzaniu oraz kontrolowaniu działalności administratora pod kątem zgodności operacji przetwarzania danych osobowych z przepisami o ochronie danych osobowych, administrator nie powinien przyznawać IOD uprawnień do nadawania w jego imieniu upoważnień do przetwarzania danych osobowych, pozostawiając IOD w procedurze wydawania upoważnień do przetwarzania danych osobowych sprawowanie funkcji doradczej i nadzorczej. Przyjęcie odmiennego założenia, w którym IOD byłby odpowiedzialny za przeprowadzenie tej procedury, a jednocześnie miałby monitorować jej zgodność z przepisami o ochronie danych osobowych, do czego zobowiązuje go unormowanie zawarte w art. 39 ust. 1 lit. b) rozporządzenia 2016/679, doprowadziłoby w efekcie do sytuacji, gdzie IOD sprawowałby nadzór nad własną działalnością, a więc do konfliktu interesów, czego wprost zakazuje art. 38 ust. 6 rozporządzenia 2016/679”.[1]
Co powinno znaleźć się w upoważnieniu?
RODO nie precyzuje elementów, które powinny znaleźć się w upoważnieniu. Decyzję o tym podejmuje więc administrator. Z pewnością nie można zapomnieć o takich elementach jak:
- data nadania upoważnienia;
- zasadnicza treść upoważnienia i polecenie przetwarzania danych osobowych;
- określenie tożsamości osoby upoważnionej;
- oznaczenie administratora lub osoby go reprezentującej wraz z podpisem (albo inną formą ustalenia tożsamości umocowanej osoby).
Nie oznacza to oczywiście, że na tym trzeba poprzestać. Upoważnienie powinno być praktyczne i odpowiadać potrzebom administratora.
Zakres i forma upoważnienia
Jakie mogą być te potrzeby? W dużej mierze zależy to od specyfiki działalności administratora. Inne rozwiązania znajdą swoje miejsce w sektorze IT, a inne w instytucjach publicznych. Postaram się jednak przedstawić kilka uniwersalnych propozycji.
Zanim to jednak nastąpi zatrzymajmy się na chwilę i ustalmy dwie sprawy.
Sprawa pierwsza – zakres upoważnienia powinien odpowiadać rzeczywistym obowiązkom pracownika i operacjom przetwarzania danych osobowych niezbędnych do ich realizacji.
Sprawa druga – RODO nie przewiduje formy, w jakiej powinno być nadane upoważnienie, należy więc przyjąć, że może zostać wyrażone pisemnie, elektronicznie, a nawet ustnie… ale uwaga - nie zapominajmy o rozliczalności! Forma upoważnienia powinna zostać ustalona w taki sposób, który umożliwia administratorowi udowodnienie okoliczności jego nadania. Szczególna forma upoważnień bywa również wymagana przepisami prawa.
Wróćmy do moich propozycji:
- podstawa prawna upoważnienia – jedną z nich będzie oczywiście samo RODO, a konkretnie art. 29 tego rozporządzenia. Należy jednak pamiętać także o innych przepisach, które mogą precyzować np. formę upoważnienia – przykładem może być przepis art. 8 ust. 1b ustawy z dnia 4 marca 1994 r. o Zakładowym Funduszu Świadczeń Socjalnych, w którym ustawodawca przewidział wymóg zachowania pisemnej formy upoważnienia;
- czas trwania upoważnienia, jego wygaśnięcia lub możliwość odwołania – jeżeli upoważnienie jest wydawane na czas określony, termin jego wygaśnięcia powinien zostać jasno określony. Wpisanie do upoważnienia terminu jego wygaśnięcia w związku z ustaniem stosunku zatrudnienia lub współpracy wyeliminuje konieczność odwołania upoważnienia – choć będzie ono oczywiście możliwe przy zmianie zakresu upoważnienia lub w przypadkach dyscyplinarnych;
- zobowiązanie do zachowania poufności – oświadczenie w przedmiocie zachowania poufności stanowi często odrębny dokument, może jednak znaleźć się w treści samego upoważnienia. Zobowiązanie takie może obejmować zarówno okres w trakcie, jak i czas po ustaniu zatrudnienia lub współpracy;
- oświadczenie o zapoznaniu się z politykami administratora z zakresu ochrony danych osobowych – oświadczenie tego typu stanowi jeden z elementów zapewnienia rozliczalności przez administratora;
- uprawnienia upoważnionego – upoważnienie może zawierać również inne elementy związane z dostępem do danych osobowych, takie jak np. uprawnienia dostępowe do systemów informatycznych, konkretnych rodzajów dokumentów lub urządzeń wykorzystywanych do przetwarzania danych osobowych.
Czy prowadzenie ewidencji wydanych upoważnień jest obowiązkowe?
Na to pytanie odpowiem typowo prawniczo – to zależy. Obowiązek ten istniał w poprzednim stanie prawnym uregulowanym w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Nie został on jednak zachowany i obecnie RODO, które wspólnie z ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych zastąpiło poprzednie regulacje, prowadzenia ewidencji upoważnień nie wymaga.
Jej prowadzenie może być jednak wymagane odrębnymi przepisami, jak również stanowić warunek, np. w przypadku dofinansowań unijnych. W każdym wypadku natomiast ewidencja stanowi cenną pomoc w ustaleniu funkcjonujących uprawnień, która sprawdzi się zwłaszcza w większych organizacjach. Mając na uwadze możliwości technologiczne i zastosowanie elektronicznej formy ewidencji, może to być praktyczne i wygodne narzędzie.
Czym jest powierzenie przetwarzania danych osobowych?
Z zupełnie innym rodzajem polecenia przez administratora przetwarzania danych osobowych mamy do czynienia w przypadku powierzenia przetwarzania danych osobowych. Jak już wcześniej wspomniałem, następuje ono wtedy, gdy przetwarzanie danych realizują osoby spoza organizacji administratora.
O powierzeniu przetwarzania możemy mówić w sytuacji, gdy administrator korzysta z usług innego podmiotu do realizacji własnych zadań, których wykonanie wymaga przekazania danych osobowych. Standardowym przykładem dla zobrazowania tej sytuacji jest skorzystanie z usług biura rachunkowego.
W celu pełniejszego opisania istoty powierzenia dodam jeszcze trzy zdania na temat udostępnienia. To sytuacja, gdy administrator przekazuje pewne dane innemu administratorowi, który potrzebuje je do realizacji celów. W przypadku powierzenia, podmiot otrzymujący dane nie realizuje celów własnych, lecz właśnie cele administratora, od którego dane pozyskuje. Zestawienie tych dwóch instytucji świetnie prezentuje sedno powierzenia, którym jest właśnie działanie na rzecz innego administratora i realizacji jego celów.
Jak udokumentować powierzenie przetwarzania danych osobowych?
Powierzenie przetwarzania zostało uregulowane przepisami art. 28 RODO, dotyczącymi podmiotu przetwarzającego, a więc tego, któremu administrator powierza przetwarzanie danych osobowych. Podmiot ten bywa również nazywany procesorem.
Zgodnie z RODO przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego. Przedmiotem niniejszego artykułu nie jest umowa powierzenia i jej elementy. Poprzestańmy więc na tym, że są one określone w przytoczonym przepisie, a umowa to w praktyce najczęściej spotykana forma powierzenia przetwarzania. Wspomnieć należy również o przyjętych przez Komisję Europejską standardowych klauzulach umownych, czyli tzw. SCC, które także mogą stanowić podstawę powierzenia. Warto zwrócić na nie uwagę szczególnie w przypadku transferowania danych poza Europejski Obszar Gospodarczy.
Dla dopełnienia tematu dokumentowania powierzenia wspomnę jeszcze o konieczności weryfikacji podmiotu przetwarzającego. Chodzi o sprawdzenie, czy wybrany podmiot gwarantuje prawidłowość przetwarzania danych osobowych. Wymóg ten wynika bezpośrednio z przepisu art. 28 ust. 1 RODO, a jego znaczenie podkreśla w swoich decyzjach Prezes UODO.
Umowa powierzenia – kiedy należy ją zawrzeć, a kiedy nadać upoważnienie?
Wracając do głównego tematu, zajmijmy się rozróżnieniem sytuacji, w których powinna zostać zawarta umowa powierzenia, a kiedy wystarczające jest nadanie przez administratora upoważnienia.
O jednym z kryteriów wspomniałem już wcześniej. Było nim rozdzielenie działań:
- podejmowanych w ramach organizacji administratora – te są realizowane na podstawie upoważnienia;
- wydzielonych poza organizację administratora – te podlegają co do zasady powierzeniu.
Jako drugie kryterium możemy wskazać uproszczoną zasadę, zgodnie z którą osoby fizyczne dostają upoważnienie, a osoby prawne umowę powierzenia. Przykładem usług, w ramach których zawierane są umowy powierzenia, mogą być usługi biur rachunkowych, hostingu poczty elektronicznej lub strony internetowej.
Przypadek pracownika, zleceniobiorcy i współpracy B2B – kiedy upoważnienie, a kiedy umowa?
Kolejnym omawianym czynnikiem jest forma zatrudnienia. Nie jest to jednak w pełni jednoznaczna wskazówka postępowania. O ile w przypadku pracownika, czyli osoby zatrudnionej na podstawie umowy o pracę nie ma w zasadzie wątpliwości – pracownicy działają na podstawie upoważnienia – to wątpliwości mogą pojawić się w przypadku innych form współpracy, np. umowy zlecenia.
Również zleceniobiorców zaliczyłbym do grona osób, które działają na podstawie upoważnienia do przetwarzania danych osobowych. Należy jednak w tym miejscu rozgraniczyć osoby fizyczne działające w ramach umowy zlecenia i przedsiębiorców działających w relacji business to business, czyli tzw. B2B. Trzeba również zastanowić się, w jaki sposób zlecenie jest realizowane i tu dochodzi kolejny czynnik pomagający w ocenie, którym są zasoby wykorzystywane do przetwarzania danych. Od razu zaznaczam, nie jest to moim zdaniem kluczowa sprawa, ale jednak bywa pomocna w określeniu, czy nie zachodzi już konieczności zawarcia umowy powierzenia. Już tłumaczę o co chodzi.
Pracownicy działają w ramach organizacji administratora i korzystają z jego zasobów, że wspomnę choćby laptopy, czy systemy informatyczne. Zgodnie z Kodeksem Pracy wykonują obowiązki pod kierownictwem i nadzorem pracodawcy. Podobnie mogą w praktyce działać zleceniobiorcy, którym administrator udostępnia te same możliwości. Bez znaczenia będzie tu odmienna podstawa współpracy – będą oni działać na podstawie upoważnienia.
Cienka granica między upoważnieniem a powierzeniem przetwarzania
Odmiennie prezentuje się sytuacja przedsiębiorcy, który nie działa samodzielnie (choćby prowadził jednoosobową działalność gospodarczą). Trudno w takim przypadku o zapewnienie kontroli administratora nad realizowanymi przez niego zadaniami. Korzysta przecież z pomocy innej osoby, może też działać na własnych urządzeniach, na których zabezpieczenie administrator nie ma już wpływu. Między innymi dlatego określiłbym to miejsce jako granicę, po której przekroczeniu wchodzi w grę umowa powierzenia.
Możemy przyjąć, że w tej relacji dochodzi do outsourcingu usług, które wymagają powierzenia przetwarzania danych osobowych. Zgodnie z zasygnalizowanymi wcześniej regulacjami dotyczącymi umowy powierzenia, podmiot przetwarzający – jakim jest teraz nasz podmiot w relacji B2B – powinien wdrożyć odpowiednie środki techniczne i organizacyjne, które spełniają wymogi RODO i chronią prawa osób, których dane przetwarza. Z sytuacją taką będziemy mieć do czynienia oczywiście również w przypadku podmiotów o bardziej rozbudowanej strukturze i będących osobami prawnymi, np. spółek prawa handlowego. Mogą się jednak zdarzyć sytuacje, w których przedsiębiorca podlegający wpisowi do CEIDG będzie samodzielnie realizował swoją usługę w oparciu wyłącznie o środki udostępnione mu przez administratora. W takim wypadku warto rozważyć nadanie upoważnienia. Wymogi stawiane przez umowę powierzenia mogą być po prostu zbyt daleko idące w odniesieniu do przedsiębiorcy, a przez to pozbawione sensu.
Kilka słów podsumowania
Administratorzy danych osobowych mogą realizować swoje cele na różne sposoby. Jedni opierają się na swoich zasobach i upoważnionych przez siebie pracownikach lub współpracownikach, inni korzystają również z outsourcingu, w ramach którego powierzają przetwarzanie danych.
W działaniach administratorów mogą pojawić się wątpliwości, a nawet błędy – wszak nie myli się ten, kto nic nie robi. Ważne jednak, aby wyciągać lekcję i wciąż udoskonalać ochronę danych osobowych. Należy przy tym pamiętać, że to praktyczna dziedzina, która często nie daje jednoznacznych odpowiedzi – jak choćby w przypadku zagwozdki, czy B2B podlega upoważnieniu, czy może powierzeniu przetwarzania… Mam nadzieję, że ten artykuł przyczyni się do rozwiązania przynajmniej części z tych wątpliwości.
Na zakończenie przypomnę jeszcze tylko o potrzebie rzetelnego podejścia do tematu ochrony danych osobowych. Prawidłowe rozwiązania wpływają zarówno na bezpieczeństwo osób, których dane dotyczą, jak i samego administratora. Administratorom natomiast przypominam, że gdzieś tam oni również są podmiotami danych – niech to posłuży za motywację do chronienia danych innych ludzi tak, jakby chcieli by ich dane były chronione!
Jarosław Peplinski
radca prawny w Kancelarii Pawelczyk-Kozik z Poznania, specjalista w zakresie ochrony danych osobowych i autor bloga Zdrowe Dane
