Omawiając temat RODO, nie sposób nie zapytać o upoważnienia do przetwarzania danych osobowych. Do 25 maja 2018 roku (wejście w życie RODO) kwestię tę regulował art. 37 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, który w bardzo wyraźny sposób wskazywał obowiązek nadawania upoważnień przez Administratora Danych Osobowych. Co się zmieniło 25 maja 2018?
Zgodnie z art. 29 RODO Administrator decyduje o tym, kogo dopuścić do przetwarzania danych osobowych, jednak treść tego przepisu nie określa w jednoznaczny sposób obowiązku nadawania upoważnień do przetwarzania danych osobowych. W art. 29 RODO wskazano, że każda osoba działająca z upoważnienia Administratora i mająca dostęp do danych przetwarza je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.
Jak wygląda to w praktyce?
Co to oznacza dla sądów?
To zależy – zależy od tego o jakich grupach pracowników oraz o jakim rodzaju danych osobowych mówimy. Zależności te są przedstawione w poniższej tabeli:
Kolejną kwestią do rozważenia jest kwestia tego, kto podpisuje konkretne upoważnienie do przetwarzania danych osobowych. Jaka jest odpowiedź? Niestety – to zależy. Jest to związane z tym, iż od dnia 6 lutego 2019 roku została znowelizowana ustawa Prawo o ustroju sądów powszechnych i w sądach obecnie mamy trzech Administratorów Danych Osobowych (ADO): Sąd, Prezesa Sądu i Dyrektora Sądu. Wiemy już komu należy wydać upoważnienie do przetwarzania danych. W związku z tym przykładowo zobaczmy kto powinien je podpisać:
Podsumowując zawarte w tym artykule rozważania dotyczące nadawania upoważnień do przetwarzania danych osobowych należy wskazać na cztery najważniejsze kroki w tym procesie:
- Należy ustalić, czy dana osoba będzie miała jakikolwiek dostęp do danych osobowych „papierowych” lub w systemie informatycznym.
- Należy ustalić czy czasem dostęp do danych osobowych, tak jak np. w przypadku sędziów, nie wynika z „mocy prawa” – jeżeli nie, wówczas należy nadać upoważnienie do przetwarzania danych.
- Należy ustalić, w oparciu o ustawę Prawo o ustroju sądów powszechnych, kto jest Administratorem danych osobowych – należy wziąć pod uwagę nie stanowisko pracownika, a rodzaj danych, które pracownik będzie przetwarzał.
- Należy przygotować odpowiednie upoważnienie i przekazać do podpisu właściwemu Administratorowi Danych. W praktyce, w przypadku np. pracowników kadr, którzy przetwarzają dane osobowe pracowników, dla których zwierzchnikiem służbowych jest Prezes Sądu oraz pracowników, dla których zwierzchnikiem służbowych jest Dyrektor Sądu, dobrym rozwiązaniem jest wydanie 1 upoważnienia podpisanego przez obu Administratorów.
Autor: Monika Kowalik, Inspektor Ochrony Danych w sądach, Kierownik Projektu w CompNet Sp. z o.o.