Art. 29 RODO wskazuje, że podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Zgodnie natomiast z art. 32 RODO administrator i podmiot przetwarzający uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający charakterowi prowadzonego przetwarzania i związanego z nim ryzyka. Ust. 4 tego artykułu stanowi, że administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.
Z przytoczonych norm wynika, że dane osobowe mogą być przetwarzane
wyłącznie na polecenie administratora przez osoby działające z upoważnienia administratora lub podmiotu przetwarzającego. Wprawdzie termin „upoważnienie” w języku polskim ma ugruntowane znaczenie – zgodnie ze Słownikiem Języka Polskiego PWN (https://sjp.pwn.pl/slowniki/upowa%C5%BCnienie.html) i oznacza: „pełnomocnictwo upoważniające do wykonania czynności urzędowych”. Niemniej – w celu przybliżenia intencji prawodawcy unijnego – należy raczej odwołać się do anglojęzycznej wersji przepisów RODO. Tam użyte jest sformułowanie: „any person acting under the authority of the controller or of the procesor”. Zwrot „acting under the authority” można przetłumaczyć jako „działająca z upoważnienia”, jednak właściwsze wydaje się przyjęcie znaczenia: „działająca pod władztwem lub z mocy” administratora.
Dlatego przyjąć należy, że chodzi tu o zapewnienie, aby administrator miał kontrolę (władztwo) nad tym kto, w jakim zakresie ma dostęp do danych osobowych oraz na jakich zasadach i w jaki sposób je przetwarza. Przyjmowane przez administratora i podmiot przetwarzający środki (działania) powinny służyć m.in. zapobieganiu nieuprawnionemu wprowadzaniu danych osobowych oraz nieuprawnionemu oglądaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych oraz zapewnieniu, że osoby uprawnione do korzystania z systemu zautomatyzowanego przetwarzania będą mieć dostęp wyłącznie do danych osobowych objętych posiadanym przez siebie uprawnieniem. Dzięki tym środkom osoby, które zostały dopuszczone do przetwarzania danych zostają poinformowane, jaki jest zakres ich uprawnień co do przetwarzania danych osobowych.
Dlatego środki takie powinny dotyczyć nie tylko osób na stałe zatrudnionych u administratora danych, ale także osób, którym administrator zlecił określone prace i które z tego powodu mają mieć dostęp do danych osobowych, np. praktykanci, stażyści. Wyjątkiem jest sytuacja, w której określone zadania na rzecz i zlecenie administratora danych wykonuje osoba, która jest podmiotem przetwarzającym lub pracownikiem takiego podmiotu.
Wydawanie upoważnień może być jednym z takich środków organizacyjnych, którego celem jest zapewnienie odpowiedniej ochrony danych i kontroli nad procesem ich przetwarzania. Taki cel miały również upoważnienia do przetwarzania danych osobowych wydawane przed 25 maja 2018 r. na gruncie podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Wielu administratorów – po wejściu do stosowania RODO – nadal korzysta z takiego rozwiązania i nadaje upoważnienia do przetwarzania danych osobowych. Na podstawie wydanych przez administratora danych upoważnień, stosuje się następnie mechanizmy kontroli dostępu do danych w systemie informatycznym służącym do przetwarzania danych osobowych (nadaje określone uprawnienia).
Obecnie w polskim porządku prawnym obowiązek nadawania upoważnień do przetwarzania danych osobowych wynika też z wielu przepisów sektorowych wprowadzonych ustawą z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. poz. 730). Powyższy obowiązek został wprowadzony np. w:
- art. 22(1b) par. 3 ustawy z 26 czerwca 1974 r. – Kodeks pracy (j.t. Dz.U. z 2020 r. poz. 1320, ost. zm. Dz.U. z 2021 r. poz. 1162),
- art. 5a ust. 4 ustawy z dnia 17 maja 1989 r. – Prawo geodezyjne i kartograficzne (t.j. Dz. U. z 2019 r. poz. 725 z późn. zm.),
- art. 2 ust. 7 ustawy z dnia 20 lipca 1991 r. o Inspekcji Ochrony Środowiska (t.j. Dz. U. z 2019 r. poz. 1355 z późn. zm.),
- art. 2b ust. 6 ustawy z dnia 27 sierpnia 1997 r. o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych (t.j. Dz. U. z 2019 r. poz. 1172 z późn. zm.),
- art. 8a ust. 3 ustawy z dnia 27 marca 2003 r. o planowaniu i zagospodarowaniu przestrzennym (t.j. Dz. U. z 2018 r. poz. 1945 z późn. zm.).
W powyższych przypadkach do przetwarzania danych osobowych dopuszczone mogą być wyłącznie osoby posiadające pisemne upoważnienie wydane przez administratora (więcej na ten temat formy upoważnienia w odpowiedzi na pytanie Czy elektroniczną postać upoważnienia do przetwarzania danych osobowych można interpretować jako formę pisemną?)
Źródło: https://uodo.gov.pl/pl/225/1275