Art. 29 RODO doprecyzował wymaganie związane z przetwarzaniem danych osobowych. O ile upoważnienia funkcjonowały w poprzednim stanie prawnym, o tyle polecenie jest nowym wymaganiem wyrażonym wprost w przepisie. Nie jest to jednak całkiem nowe wymaganie. Wynika ono z zasad fundamentalnych RODO, choć wcześniej nie było opisane wprost. Cytując art. 29:

Reklama

Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

W kontekście identyfikacji wymagań, czy to do wdrożenia ochrony, czy audytu RODO warto zauważyć, że wymagań jest tutaj więcej niż jedno. Znajdują się w tym przepisie też pewne uprawnienia, których nie można przenieść. Wynotujmy:

  • Przepis dotyczy każdego, kto przetwarza dane osobowe, niezależnie czy upoważnienie (jeszcze nie polecenie) wydał administrator czy procesor (podmiot przetwarzający).
  • Osoba musi mieć dostęp do danych.
  • Polecenie przetwarzania może wydać tylko administrator.

Omówmy dwa ostatnie wymagania, pierwsze jest oczywiste.

Dostęp do danych

Wyjaśnienia dają najlepszy efekt, gdy są realizowane na przykładach. Na początek przykład przez analogię do innego obszaru bezpieczeństwa informacji – ochrony informacji niejawnych. To, że osoba przejdzie pozytywnie sprawdzenie i otrzyma dostęp do informacji o klauzuli „ściśle tajne”, nie oznacza, że ma dostęp do wszystkich informacji ściśle tajnych. Trudno byłoby uznać, że pracownik firmy prywatnej, który uzyskał poświadczenie bezpieczeństwa (indywidualny certyfikat uprawniający do dostępu do informacji niejawnych o klauzuli „ściśle tajne”), może mieć dostęp np. do instrukcji operacyjnych ABW (dokument regulujący zasady wykonywania zadań przez funkcjonariuszy). Z punktu widzenia poziomu dostępu można uznać, że tak, ale jest jeszcze drugi element, czyli właśnie uprawniony dostęp do informacji.

Analogicznie jest we wszystkich obszarach ochrony informacji, w tym także RODO. Przykładowo  pracownik kadr ma upoważnienie do przetwarzania danych osobowych (zgodę na te czynności), ale wolno mu przetwarzać tylko te, do których ma dostęp (nadanie dostępu). Zawężając przykład osoba pracująca w dziale HR odpowiedzialna za rekrutację, nie powinna mieć dostępu do danych związanych z wypadkami (dotyczy dużych działów, w których można podzielić funkcje). Podział może być również oparty o strukturę. Zespół z CUW – centrum usług wspólnych obsługujący np. Polskę nie powinien mieć dostępu do danych pracowników Rumunii, Niemiec czy Francji.

Polecenie przetwarzania

Pojawia się jako tytuł artykułu i jest bardzo istotne, na tyle, że doczekało się regulacji prawodawcy wprost (wyraźnie określone wymaganie w przepisie prawa). Polecenie przetwarzania należy rozumieć jako wskazanie przetwarzania dokładnie w ten sposób. Podkreśla to fundamentalną zasadę RODO i ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych.

Przetwarzanie musi być celowe, nie może być dziełem przypadku czy chwilowej fanaberii administratora, procesora czy osoby.

Mimo wielkiego bogactwa języka polskiego dość trudno jest wyjaśnić istotę różnicy upoważnienia i polecenia używając pojedynczych słów. Poniżej próba nieco szerszego zdefiniowania:

  • Można – a więc przetwarzanie jest dozwolone (upoważnienie, a wcześniej przesłanka przetwarzania z art. 6, 9, 10),
  • Trzeba – a więc przetwarzanie jest niezbędne dla procesu (biznesowego, prawnego).

Aby uzyskać zgodność z RODO, oba te wymagania muszą być spełnione. Art. 29, jak większość przepisów kierowanych do administratorów i procesorów rozwija zasady fundamentalne RODO, zawarte w art. 5:

  • Można – 5.1.a, czyli zgodność z prawem.
  • Trzeba – 5.1.a, czyli przejrzystość (wiemy, po co i do jakich procesów), 5.1.b- tylko do konkretnych celów (jak wcześniej), 5.1.c- minimalizacja danych (tylko te dane, które w procesie czy jego etapie są niezbędne), 5.1.e- w zakresie przechowywania danych, tylko te, które są niezbędne.

Podsumowanie

Polecenie jako czynność bywa często przeoczone, czy to we wdrożeniach, czy to w audytach RODO. Skupienie się na upoważnieniu powoduje, że mamy spełnioną tylko część wymagań z art. 29 – po prostu zezwoliliśmy na przetwarzanie danych osobowych konkretnej grupie naszych pracowników. Pozostaje część wymagań, które jednocześnie realizują zasady fundamentalne RODO, co jest szczególnie istotne w przypadku nakładanych kar. Uważna lektura pozwala na zauważenie, że decyzje Prezesa UODO zaczynają się dość często ze wskazania konkretnego artykułu z RODO, kończąc jednak na konkluzji wskazującej, która z zasad z art. 5 (fundamentalnych) została naruszona.

Administrator czy kontroler?

Samo upoważnienie powoduje, że nie mamy nadzoru nad tym, kto, kiedy, jakie dane przetwarza. Nie mamy więc kontroli, a to już może być poważny problem, który bywa nie do końca zauważany. Być może z powodu dość swobodnego stosowania definicji.

W języku angielskim, w GDPR administrator danych to controller. Trudno być controllerem, nie mając kontroli nad przetwarzaniem. Administrator mimo wszystko oznacza coś zupełnie innego. Uważajmy więc na pułapki językowe, bo one również wprowadzają nieco zamieszania.