Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Upoważnienie do przetwarzania danych osobowych – okiem Sądu Najwyższego

14/07/2017

Ustawa O Ochronie Danych Osobowych, Upoważnienie Do Przetwarzania Danych, Art. 32 Ust. 4 Ogólnego Rozporzadzenia O Ochronie Danych, Przetwarzanie Danych Osobowych Na Polecenie Administratora, Ochrona Danych Osobowych W Firmie,

W kwietniu tego roku Sąd Najwyższy w związku z rozpatrywaniem sprawy z zakresu prawa pracy dość szczegółowo zajął się kwestią upoważnień do przetwarzania danych osobowych, ich formą i zakresem. Dotychczas zagadnienie to nie było tak szczegółowo analizowane i oceniane.


W orzeczeniu Sąd Najwyższy wskazał na kilka istotnych kwestii, które nie wynikają wprost z przepisów prawa, ale w jego ocenie tak powinny być rozumiane i interpretowane. Warto zapoznać się z najważniejszymi tezami, które z pewnością będą również aktualne na gruncie art. 32 ust. 4 ogólnego rozporządzenia o ochronie danych, gdzie mowa o poleceniu administratora (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE):

 

- do przetwarzania danych nie jest wystarczające upoważnienie wynikające ze stosunku prawnego łączącego daną osobę z administratorem danych, np. w związku z zawarciem umowy o pracę czy umowy zlecenia albo innej umowy o świadczenie usług, do której stosuje się odpowiednio przepisy o zleceniu;

 

- ustawa o ochronie danych osobowych nie określa wymagań kwalifikacyjnych, jakie muszą spełniać osoby upoważnione do przetwarzania danych osobowych. Nie oznacza to jednak, że administrator danych może nadawać upoważnienia do przetwarzania danych dowolnym osobom. Zgodnie z art. 26 ust. 1 ustawy, administrator danych jest bowiem obowiązany dołożyć szczególnej staranności w doborze osób upoważnionych do przetwarzania danych osobowych;

 

- ustawodawca nie określił formy i treści upoważnienia do przetwarzania danych, ale ze względów dowodowych należy przyjąć formę pisemną. Upoważnienie to powinno mieć charakter imienny - w jego treści należy wyraźnie wskazać osobę dysponującą tym upoważnieniem oraz zakres przetwarzania danych osobowych realizowanych na jego podstawie. Brak precyzyjnego wyznaczenia zakresu upoważnienia należy kwalifikować jako niezgodny z prawem. Administrator danych jest bowiem obowiązany sprecyzować zakres upoważnienia, jaki jest konieczny do prawidłowego wykonywania obowiązków przez upoważnionego.

 

Zobacz wyrok Sądu Najwyższego - Izba Pracy, Ubezpieczeń Społecznych i Spraw Publicznych z dnia 4 kwietnia 2017 r., sygn. akt II PK 37/16

 

 

Ustawa O Ochronie Danych Osobowych, Upoważnienie Do Przetwarzania Danych, Art. 32 Ust. 4 Ogólnego Rozporzadzenia O Ochronie Danych, Przetwarzanie Danych Osobowych Na Polecenie Administratora, Ochrona Danych Osobowych W Firmie,
Analiza ryzyka w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie danych
Analiza ryzyka w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie danych
Opinia GIODO w sprawie bezpieczeństwa danych przekazywanych przy użyciu poczty e-mail
Opinia GIODO w sprawie bezpieczeństwa danych przekazywanych przy użyciu poczty e-mail
Czy dane osobowe przesyłane w sieciach informatycznych powinny być szyfrowane? Jeżeli tak, to w jaki sposób?
Czy dane osobowe przesyłane w sieciach informatycznych powinny być szyfrowane? Jeżeli tak, to w jaki sposób?