Upoważnienie do przetwarzania danych czy umowa powierzenia?

W praktyce, w zakresie stosowania RODO, często spotykamy się z problemem, kiedy należy wydać upoważnienie do przetwarzania danych, a kiedy zawrzeć umowę powierzenia przetwarzania danych. Problemy takie dotyczą administratorów danych, którzy są podmiotami upoważnionymi do operacji na danych osobowych. Zadajmy sobie pytanie, czym różnią się obie formy? Na początku należy wskazać katalog podmiotów, wobec których będzie miała zastosowanie umowa bądź upoważnienie. Podstawowym rozróżnieniem obu instrumentów prawnych jest podległość wobec administratora danych (np. podległość wynikająca ze stosunku pracy, umowy cywilnoprawnej), jego realny wpływ na podmiot mający dostęp do danych, a także często kwestia charakteru podmiotu z jakim współpraca ma zostać podjęta.

Upoważnienie do przetwarzania danych

Uznaje się, że upoważnienia nadawane są osobom fizycznym będącym w pewnej zależności od pracodawcy i działających na jego wyłączne polecenie (pracownicy, stażyści, praktykanci oraz osoby świadczące usługi na podstawie umów cywilnoprawnych), przetwarzający dane w tej samej strukturze organizacyjnej. Zaznaczyć należy, że pracownicy administratora danych nie zyskują automatycznie prawa do dysponowania danymi przez niego przetwarzanymi. Konieczne będzie wydanie upoważnień takim osobom. Upoważnienie powinno zawierać określenie katalogu danych, które konkretny pracownik może przetwarzać (zakres przedmiotowy) oraz przedział czasowy (np. do momentu ustania stosunku pracy). Ponadto, jeżeli z dokumentów wiążących osobę fizyczną z administratorem, nie wynika obowiązek zachowania danych w poufności, klauzulę taką można dołączyć w samym upoważnieniu. Zgodnie z zasadą przejrzystości danych widniejącą w art. 5 ust. 1 RODO, zaleca się również prowadzenie ewidencji osób upoważnionych do przetwarzania danych u danego administratora, która umożliwi łatwiejszą kontrolę.

Umowa powierzenia danych osobowych

Administratorzy danych często korzystają z usług podmiotów zewnętrznych do realizacji poszczególnych operacji związanych z przetwarzaniem danych jak, chociażby usługi archiwizacyjne, czy usługi księgowe. Takie powierzenie danych odbywa się na podstawie umów powierzenia danych. Chyba że w ramach struktury organizacyjnej danej jednostki wyodrębniony jest np. dział kadr, a kadrowa zatrudniona jest na podstawie umowy o pracę. Warto podkreślić, że według art. 28 RODO przetwarzanie dokonywane w imieniu administratora może odbywać się jedynie przez podmiot zapewniający wystarczające gwarancje ochrony danych. Przetwarzanie odbywa się więc jedynie, na podstawie uprzedniej zgody administratora. Umowa taka powinna zawierać przede wszystkim: rodzaj i kategorie danych, charakter i cel przetwarzania, a także obowiązki podmiotu przetwarzającego do należytego zabezpieczenia powierzonych danych. Zaznaczyć należy, że powierzenie danych nie jest tożsame z udostępnieniem danych innemu podmiotowi, np. innemu administratorowi danych.

Aleksandra Poździk

Kancelaria Wyrzykowscy sp. z o.o.