Upoważnienie czy powierzenie?

Ustawa o ochronie danych osobowych, chociaż nie należy do najdłuższych ustaw, jest dosyć problematyczna w stosowaniu. Jedną ze wspomnianych trudności jest kwestia prawidłowego umocowania osób mających dostęp do danych osobowych.

Ustawa o ochronie danych osobowych wprowadza w tym zakresie dwie instytucje – upoważnienie do przetwarzania danych osobowych i powierzenie przetwarzania danych osobowych.

Obowiązek posiadania upoważnienia wynika z art. 37 ustawy o ochronie danych osobowych. Ww. artykuł przewiduje, że do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby mające upoważnienie nadane przez administratora danych. Ustawa o ochronie danych osobowych nie określa formy upoważnienia, która może być pisemna (zalecana przez GIODO) oraz elektroniczna. Upoważniamy więc pracowników, praktykantów, stażystów oraz osoby, które współpracują z administratorem danych na podstawie umów cywilnoprawnych.

Kwestia powierzenia została uregulowana w art. 31 ustawy o ochronie danych osobowych. Administrator danych może powierzyć (zlecić) przetwarzanie danych innemu podmiotowi, który sam nie staje się ich administratorem. Umowa powierzenia powinna mieć formę pisemną i określać przynajmniej zakres i cel powierzenia.

Wszystko wydaje się więc proste – osoby zatrudnione u administratora danych upoważniamy, a z pozostałymi podmiotami, które wykonują dla nas usługi outsourcingowe zawieramy umowy powierzenia.

Co jednak zrobić z osobą fizyczną prowadzącą działalność gospodarczą, która właściwie pracuje dla nas jak zwykły pełnoetatowy pracownik? Zgodnie z przyjętym powyżej podziałem należałoby podpisać z nią umowę powierzenia przetwarzania. Podpisanie takiej umowy wiąże się z pewnymi konsekwencjami. Podmiot, któremu powierzyliśmy dane powinien wdrożyć zabezpieczenia z rozdziału 5 ustawy o ochronie danych osobowych, czyli np. posiadać politykę bezpieczeństwa danych oraz instrukcję zarządzania systemami informatycznymi. Opracowanie ww. dokumentów nie jest zaś proste i osoba fizyczna prowadząca działalność gospodarczą może nie być w stanie tego zrobić. Co wtedy? Rozwiązaniem jest wystawienie upoważnienia do przetwarzania danych. Jest to dopuszczalne ze względu na okoliczność, iż art. 37 ustawy o ochronie danych osobowych mówi o upoważnieniu osoby, a którą to osoba fizyczna prowadząca działalność przecież jest (a contrario z tego powodu nie jest możliwe wystawienie upoważnień dla innych form działalności jak np. spółki prawa handlowego).

Kolejny przykład nie jest już taki oczywisty. Co zrobić z osobami fizycznymi prowadzącymi działalność gospodarczą, których charakter wykonywanej pracy nie jest podobny do obowiązków „zwykłych” pracowników (np. dostęp do naszej bazy ma 10 tyś. sklepikarzy). Czy z każdą z takich osób powinniśmy podpisać umowę powierzenia? W mojej ocenie w komentowanej sytuacji również możemy ich upoważnić z tych samych powodów co we wcześniejszym przykładzie.

Jednym z elementów rozstrzygających o tym czy wystawić upoważnienia czy podpisać umowę powierzenia jest kwestia tego, czy dana osoba zatrudnia pracowników. Jeżeli osoba fizyczna prowadząca działalność zatrudnia pracowników to powinniśmy z nią podpisać umowę powierzenia nawet, jeżeli charakter jej pracy nosi znamiona pracy na etat.
Kolejnym elementem jest charakter współpracy. W przypadku gdy współpraca ma charakter wyłącznie tymczasowym, bezpieczniejsze z punktu widzenia administratora danych będzie podpisanie umowy powierzenia.

W opisywanych w tym artykule kwestiach pozostaje zawsze luz decyzyjny po stronie administratora danych. To czy wybrać upoważnienia czy powierzenie powinno być wypadkową bezpieczeństwa danych, charakteru współpracy oraz skutków organizacyjno-technicznych wybranego rozwiązania. Warto zwrócić uwagę, iż brak upoważnień lub umów powierzenia może prowadzić do odpowiedzialności karnej z art. 51 ustawy o ochronie danych osobowych.