Upoważnienie do przetwarzania danych osobowych klientów pracodawcy pracownikom zatrudnionym przy przetwarzaniu danych osobowych

Upoważnienie administratora danych jest konieczne do wykonywania jakiejkolwiek operacji na danych osobowych. Upoważnienie takie mają głównie pracownicy przetwarzający dane osobowe stale, w związku z zatrudnieniem na stanowisku, na którym rutynowo w efekcie wykonywania obowiązków ze stosunku pracy dane te są przetwarzane. Powinny się nim wykazać jednak nie tylko osoby, które na stałe zajmują się przetwarzaniem danych, pracownicy administratora, ale także osoby czasowo wykonujące czynności w tym zakresie, jak również osoby dokonujące przeglądów serwisowych sprzętu czy oprogramowania, osoby mające usunąć usterki czy awarie, z tego względu, że mają one dostęp do danych osobowych, a zatem można uznać, że przetwarzają dane (np. jeżeli mogą się zapoznać z treścią danych). Upoważnienie takie nie jest natomiast konieczne, gdy upoważnienie oraz obowiązek przetwarzania danych osobowych wynikają z przepisów ustawowych. W praktyce nadanie upoważnienia powinno być związane z podpisaniem przez osobę odbierającą upoważnienie oświadczenia o zapoznaniu się z przepisami dotyczącymi ochrony danych osobowych oraz o przyjęciu do wiadomości obowiązku zachowania tajemnicy.

Przepis art. 37 ustawy o o.d.o. ustanawia zakaz dopuszczania osób innych niż mające upoważnienie nadane przez administratora danych, do przetwarzania danych osobowych. Oznacza to, że do przetwarzania danych nie jest wystarczające upoważnienie wynikające ze stosunku prawnego łączącego daną osobę z administratorem danych, np. w związku z zawarciem umowy o pracę czy umowy zlecenia albo innej umowy o świadczenie usług, do której stosuje się odpowiednio przepisy o zleceniu.

Ustawa o o.d.o. nie określa wymagań kwalifikacyjnych, jakie muszą spełniać osoby upoważnione do przetwarzania danych osobowych. Nie oznacza to jednak, że administrator danych może nadawać upoważnienia do przetwarzania danych dowolnym osobom. Zgodnie z art. 26 ust. 1 ustawy, administrator danych jest bowiem obowiązany dołożyć szczególnej staranności w doborze osób upoważnionych do przetwarzania danych osobowych.

Ustawodawca nie określił formy i treści takiego upoważnienia, ale ze względów dowodowych należy przyjąć formę pisemną. Upoważnienie to powinno mieć charakter imienny – w jego treści należy wyraźnie wskazać osobę dysponującą tym upoważnieniem oraz zakres przetwarzania danych osobowych realizowanych na jego podstawie.

Brak precyzyjnego wyznaczenia zakresu upoważnienia należy kwalifikować jako niezgodny z prawem. Administrator danych jest bowiem obowiązany sprecyzować zakres upoważnienia, jaki jest konieczny do prawidłowego wykonywania obowiązków przez upoważnionego. Obowiązek taki nie został ustanowiony wyraźnie w ustawie o o.d.o., lecz mieści się w ramach ogólnego obowiązku zabezpieczenia danych osobowych (art. 36 ust. 1 ustawy), a także stanowi przejaw szczególnej staranności administratora danych w celu ochrony osób, których dane dotyczą (art. 26 ust. 1 ustawy). Zakresy upoważnień do przetwarzania danych osobowych powinny być ustalone tak, aby zapewnić realizację obowiązku wynikającego z art. 38 ustawy o o.d.o. Natomiast pracownicy (osoby upoważnione do przetwarzania danych osobowych) powinni mieć faktyczny dostęp do danych osobowych tylko w zakresie udzielonych upoważnień.

Wyrok SN z dnia 4 kwietnia 2017 r., II PK 37/16

Standard: 62345 (pełna treść orzeczenia)