Konieczne powierzenie

W opisanej sytuacji wymagane jest zawarcie umowy powierzenia danych, ewentualnie rozważenie czy nie mamy do czynienia ze współadministrowaniem danymi osobowymi.

RODO wskazuje, że podmiotami dopuszczonymi do przetwarzania danych są oprócz administratora danych także podmiot przetwarzający, osoby upoważnione przez administratora lub podmiot przetwarzający oraz tzw. strona trzecia. RODO wprowadza także pojęcie współadministratora wskazując, że w sytuacji gdy co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. Jeśli chodzi o upoważnienie do przetwarzania danych to jest ono nadawane przez administratora danych lub podmiot przetwarzający konkretnej osobie fizycznej i wynika z niego uprawnienie do przetwarzania danych osobowych. Upoważnieniem powinni legitymować się ci pracownicy administratora danych (podmiotu przetwarzającego), którzy przetwarzają dane osobowe w ramach wykonywania obowiązków służbowych. Upoważnieniem powinny legitymować się także te osoby fizyczne (nie będące pracownikami), które można zakwalifikować jako personel administratora (podmiotu przetwarzającego) np. zleceniobiorcy, stażyści, praktykanci. Chodzi przy tym o osoby, które przetwarzają dane osobowe z zachowaniem procedur obowiązujących u administratora danych i pod jego kontrolą. Administrator nie ma kompetencji do wydawania upoważnień do przetwarzania danych dla pracowników innego administratora.

Kto wystawi upoważnienia dla pracowników

W sytuacji opisanej w pytaniu dostęp do danych zgromadzonych w ramach aplikacji mają uzyskać inni administratorzy danych i ich pracownicy. Wymaga to zawarcia umowy powierzenia danych, ewentualnie rozważenia czy nie mamy do czynienia ze współadministrowaniem danymi. Umowa powierzenia powinna być zawarta w każdym przypadku udostępnienia przez administratora podmiotowi trzeciemu danych osobowych, gdy podmiot ten przetwarzać będzie dane w imieniu i na rzecz administratora (nie będzie realizował własnych celów przetwarzania danych). Wówczas to podmiot przetwarzający zobligowany jest wystawić upoważnienia do przetwarzania danych swoim pracownikom. Administrator danych na podstawie zawartej umowy powierzenia może przeprowadzić kontrolę realizacji tego obowiązku i wyciągnąć konsekwencje określone w umowie (np. rozwiązać umowę, naliczyć kary umowne).

Więcej porad ekspertów dotyczących ochrony danych osobowych w administracji publicznej znajdziesz na stronie https://www.poradyodo.pl/administracja-publiczna-17

Podstawa prawna:

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) - art. 28, art. 29.

Agnieszka Kręcisz-Sarna
radca prawny, ekspert portalu PoradyODO.pl