W praktyce, w zakresie stosowania RODO, często spotykamy się z problemem, kiedy należy wydać upoważnienie do przetwarzania danych, a kiedy zawrzeć umowę powierzenia przetwarzania danych. Problemy takie dotyczą administratorów danych, którzy są podmiotami upoważnionymi do operacji na danych osobowych. Zadajmy sobie pytanie, czym różnią się obie formy? Na początku należy wskazać katalog podmiotów, wobec których będzie miała zastosowanie umowa bądź upoważnienie. Podstawowym rozróżnieniem obu instrumentów prawnych jest podległość wobec administratora danych (np. podległość wynikająca ze stosunku pracy, umowy cywilnoprawnej), jego realny wpływ na podmiot mający dostęp do danych, a także często kwestia charakteru podmiotu z jakim współpraca ma zostać podjęta.

Upoważnienie do przetwarzania danych

Uznaje się, że upoważnienia nadawane są osobom fizycznym będącym w pewnej zależności od pracodawcy i działających na jego wyłączne polecenie (pracownicy, stażyści, praktykanci oraz osoby świadczące usługi na podstawie umów cywilnoprawnych), przetwarzający dane w tej samej strukturze organizacyjnej. Zaznaczyć należy, że pracownicy administratora danych nie zyskują automatycznie prawa do dysponowania danymi przez niego przetwarzanymi. Konieczne będzie wydanie upoważnień takim osobom. Upoważnienie powinno zawierać określenie katalogu danych, które konkretny pracownik może przetwarzać (zakres przedmiotowy) oraz przedział czasowy (np. do momentu ustania stosunku pracy). Ponadto, jeżeli z dokumentów wiążących osobę fizyczną z administratorem, nie wynika obowiązek zachowania danych w poufności, klauzulę taką można dołączyć w samym upoważnieniu. Zgodnie z zasadą przejrzystości danych widniejącą w art. 5 ust. 1 RODO, zaleca się również prowadzenie ewidencji osób upoważnionych do przetwarzania danych u danego administratora, która umożliwi łatwiejszą kontrolę.

Umowa powierzenia danych osobowych

Administratorzy danych często korzystają z usług podmiotów zewnętrznych do realizacji poszczególnych operacji związanych z przetwarzaniem danych jak, chociażby usługi archiwizacyjne, czy usługi księgowe. Takie powierzenie danych odbywa się na podstawie umów powierzenia danych. Chyba że w ramach struktury organizacyjnej danej jednostki wyodrębniony jest np. dział kadr, a kadrowa zatrudniona jest na podstawie umowy o pracę. Warto podkreślić, że według art. 28 RODO przetwarzanie dokonywane w imieniu administratora może odbywać się jedynie przez podmiot zapewniający wystarczające gwarancje ochrony danych. Przetwarzanie odbywa się więc jedynie, na podstawie uprzedniej zgody administratora. Umowa taka powinna zawierać przede wszystkim: rodzaj i kategorie danych, charakter i cel przetwarzania, a także obowiązki podmiotu przetwarzającego do należytego zabezpieczenia powierzonych danych. Zaznaczyć należy, że powierzenie danych nie jest tożsame z udostępnieniem danych innemu podmiotowi, np. innemu administratorowi danych.

Aleksandra Poździk

Kancelaria Wyrzykowscy sp. z o.o.

Zobacz także

• Opodatkowanie VAT nabywanych przez JST usług szkoleń - a możliwość odliczenia podatku VAT.
• Budynek do rozbiórki a ustalenie stawki VAT dla sprzedawanej nieruchomości.
• Dzierżawa gruntu na rzecz konsumenta - jak powstaje obowiązek podatkowy?
• Ogłoszono nowe informacje w sprawie KSeF!
• Jak sprawdzić status polskiego kontrahenta w VAT?
• Czy wycofanie samochodu osobowego z działalności gospodarczej zawsze jest objęte VAT?
• Moment powstania obowiązku podatkowego u sprzedawcy – jakie znaczenie ma on dla nabywcy towaru/usługi.
• Nota korygująca wystawiona do faktury w KSEF
• Jak będziemy identyfikować faktury konsumenckie, które będą wyłączone z obowiązkowego KSEF?
• Moment powstania obowiązku podatkowego dla dostawy energii elektrycznej i najmu w świetle interpretacji Dyrektora KIS.