W jakiej formie powinno być przygotowane upoważnienie do przetwarzania danych

autor zdjęcia: M P

źródło: Rzeczpospolita

Dr Edyta Bielak-Jomaa

Przepisy ustawy o ochronie danych osobowych nie określają wprost formy i treści upoważnienia dla przetwarzającego ani nie wprowadzają jego wzoru. W doktrynie przeważa jednak opinia, że powinno ono mieć formę pisemną.

- Czy upoważnienie do przetwarzania danych osobowych nadawane przez administratora danych zatrudnionym u niego osobom może mieć formę e-maila bez wykorzystania podpisu kwalifikowanego? – pyta czytelnik.

Zgodnie z art. 37 ustawy o ochronie danych osobowych (DzU z 2014 r., poz. 1182 ze zm.) do przetwarzania danych w firmie lub innej instytucji mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Tym ostatnim jest każda osoba, podmiot lub instytucja, która decyduje o celach i środkach przetwarzania danych, o czym przesądza art. 7 pkt 4 ustawy.

Jak należy rozumieć art. 37? Zgodnie z komentarzem autorstwa Barty i Markiewicza art. 37 ustanawia zakaz dopuszczania do przetwarzania danych osób innych niż mające do tego upoważnienie nadane przez administratora danych. Oznacza to, że do przetwarzania danych nie jest wystarczające upoważnienie wynikające ze stosunku prawnego łączącego daną osobę z administratorem danych, np. w związku z zawarciem umowy-zlecenia czy też umowy o świadczenie usług, do której stosuje się odpowiednio przepisy o zleceniu.

Andrzej Drozd w swoim komentarzu do ustawy wskazuje, że również osobom zatrudnionym u przetwarzającego (ew. wolontariuszom, praktykantom) omawiane upoważnienie nadaje administrator danych. Nie można wprawdzie wykluczyć umocowania przetwarzającego przez administratora danych do nadawania...