Takie wymogi stawiała już co prawda ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, jednak niewielu pracodawców zdawało sobie sprawę, że niewystarczające było upoważnienie wynikające jedynie z zakresu obowiązków pracowniczych i z samego faktu zawarcia umowy o pracę. Konieczne było nadanie odrębnego upoważnienia. Na poparcie tego stanowiska warto przytoczyć wyrok Sądu Najwyższego z dnia 4 kwietnia 2017 roku, sygn. II PK 37/16: „Przepis art. 37 ustawy o o.d.o. ustanawia zakaz dopuszczania osób innych niż mające upoważnienie nadane przez administratora danych, do przetwarzania danych osobowych. Oznacza to, że do przetwarzania danych nie jest wystarczające upoważnienie wynikające ze stosunku prawnego łączącego daną osobę z administratorem danych, np. w związku z zawarciem umowy o pracę czy umowy zlecenia albo innej umowy o świadczenie usług, do której stosuje się odpowiednio przepisy o zleceniu.”.
Ze względu na upowszechnienie problematyki danych osobowych w związku z wejściem w życie RODO, wielu pracodawców zwraca większą uwagę na wprowadzenie polityki ochrony danych osobowych w swojej firmie. Jednym z jej elementów jest właśnie nadanie upoważnień pracownikom, którzy uczestniczą w procesie przetwarzania danych osobowych, oraz prowadzenie rejestru tych upoważnień.
Upoważnianie do przetwarzania danych zapewnia kontrolę nad tym, kto i w jakim zakresie jest uprawniony do dostępu do danych, a to czyni zadość zasadzie rozliczalności danych osobowych. Upoważnienie powinno zawierać:
- dane osoby upoważnianej (imię, nazwisko, stanowisko służbowe),
- zakres upoważnienia, z uwzględnieniem zbiorów danych lub kategorii danych, do których upoważniony będzie miał dostęp,
- cel upoważnienia,
- okres ważności upoważnienia,
- podpis upoważniającego.
Art. 29 RODO stanowi, iż „podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego”.
Tym samym należy przyjąć, że oprócz upoważnienia konieczne jest również „polecenie administratora” co do przetwarzania danych osobowych. To na jego podstawie określa się zakres przetwarzania, w ramach którego może zostać nadane upoważnienie pracownikowi posiadającemu dostęp do danych. Przetwarzanie danych osobowych bez polecenia administratora lub w szerszym zakresie jest traktowane jako działanie niezgodne z prawem, nawet jeśli odbywa się na podstawie upoważnienia. Nie ma ono wtedy swojego źródła.
RODO nie przewiduje prawidłowej formy upoważnienia. Do wejścia w życie ustawy z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO, czyli do 4 maja 2019 roku, praktyka szła w kierunku najprostszego rozwiązania, czyli sporządzania upoważnienia na piśmie. Działo się tak ze względu na to, że podmiot przetwarzający musiał być w stanie wykazać przestrzeganie przepisów prawa dotyczących ochrony danych osobowych (zasada rozliczalności). Ustawa wdrażająca RODO, od 4 maja 2019 roku, wprowadziła do kodeksu pracy nowy przepis (art. 221b § 3), który nakłada obowiązek przygotowania upoważnień w formie pisemnej.
Należy również pamiętać, że osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy. W celu poszanowania zasady poufności należy pouczyć pracownika (zleceniobiorcę itp.) o obowiązku zachowania w tajemnicy i prawidłowego zabezpieczenia (zgodnie z polityką ochrony danych u administratora) wszelkich danych osobowych, do których ma dostęp w ramach stosunku pracy na podstawie nadanego upoważnienia.