Obowiązek dopuszczenia do przetwarzania danych osobowych wyłącznie osób posiadających upoważnienie nadane przez administratora był określony w poprzednich przepisach prawnych w obszarze ochrony danych tj. art. 37 u. o. d. o. z 1997 r. Praktyka ta po wejściu RODO była i jest nadal kontynuowana przez wielu ADO. Proces zarządzania uprawnieniami dla wielu z nich to nie lada wyzwanie, zwłaszcza przy dużej ilości pracowników i współpracowników, stażystów oraz praktykantów.
Ustawodawca w art. 29 RODO wskazuje, że
„podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarza je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego”.
Z przywołanego powyżej zapisu nie wynika wprost formalny obowiązek wydawania upoważnień do przetwarzania danych. Wynika jednak wymóg aby osoby przetwarzające dane osobowe działały z upoważnienia administratora lub procesora. Interpretując dalej ten zapis dochodzimy do wniosku, że jest to właśnie źródło obowiązku wydawania upoważnień. Bo skoro mówimy o działaniu z upoważnienia to zakres tego działania musi zostać określony, analogicznie jak w przypadku powierzenia gdzie zakres jest określany w umowie powierzenia. Dodatkowo formalne wydawanie upoważnień stanowi zapewnienie zgodności z zasadą rozliczalności, do której stosowania zobowiązany jest na mocy RODO ADO oraz zapisów art. 32 dot. bezpieczeństwa przetwarzania.
Art. 32 ust 4. RODO nakłada bowiem obowiązek na administratorów i podmioty przetwarzające zapewnienia realizacji wymagań określonych w art. 29 RODO.
Dodatkowym aspektem jest również obecny wymóg prawny wydawania upoważnień do przetwarzania danych osobowych wynikający z przepisów sektorowych wprowadzonych ustawą z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO. Z przepisów sektorowych wynika, że do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie wydane przez ADO, tak jest np. w przypadku Kodeksu pracy, czy też Prawa geodezyjnego i kartograficznego.
UODO w odpowiedzi z 29.11.2019 r. na pytanie:
Czy elektroniczna postać upoważnienia spełnia wymogi „pisemnego upoważnienia?”
wskazał, że nadanie upoważnień w formie elektronicznej stanowi wypełnienie takiego obowiązku. Organ nadzorczy uznał, że jakąkolwiek formę, w tym elektroniczną, która pozwala na udokumentowanie spełnienia obowiązków nałożonych na administratora należy uznać za prawidłową.
System SYSABI jest odpowiedzią na wyzwanie jakim jest skuteczne i efektywne zarządzanie upoważnieniami. Zaprojektowane rozwiązanie nadawania upoważnień opiera się na wcześniej zdefiniowanych stanowiskach i czynnościach przetwarzania. Nadanie nowego upoważnienia minimalizuje wiele czynności związanych z odpowiednią identyfikacją zakresu czynności – wystarczy przypisać nowej osobie stanowisko i zakres upoważnienia gotowy. Potem wystarczy wydrukować gotowe upoważnienie lub wysłać mailem za potwierdzeniem odbioru do osoby upoważnionej.
System SYSABI to rozwiązanie dopasowane do obecnej rzeczywistości związanej z pandemią Covid 19 – oprócz optymalizacji procesu zarządzania upoważnieniami, system umożliwia przekazywanie upoważnień bez konieczności podejmowania fizycznego kontaktu. Wszystko dzieje się automatycznie.
Zaciekawiony, może właśnie masz problem z zarządzaniem upoważnieniami – zapraszamy do testowania nowego rozwiązania jakim jest system SYSABI.