Rys. B. Brosz

Zgodnie z art. 37 ustawy o ochronie danych osobowych (DzU z 2002 roku nr 101, poz. 926 z późn. zm.) do przetwarzania danych mogą być dopuszczone wyłącznie osoby dysponujące upoważnieniem nadanym przez administratora danych. Przepis ten został sformułowany lakonicznie, przez co kwestia ta wywołuje w praktyce wiele wątpliwości. Koncentrują się one wokół trzech zagadnień: formy upoważnienia, jego treści oraz zakresu podmiotowego obowiązku nadawania upoważnień.

Forma upoważnienia

Artykuł 37 ustawy o ochronie danych osobowych (zwanej dalej "uodo") nie określa formy upoważnienia. W literaturze przyjmuje się jednak, że upoważnienie powinno mieć formę pisemną (zob. np. stanowisko GIODO zaprezentowane w: "Osoby dopuszczone do przetwarzania danych osobowych muszą mieć upoważnienie", "Gazeta Prawna" z 2 kwietnia 2008 roku) i dlatego dyskusyjne byłoby odnotowywanie upoważnienia np. wyłącznie w systemie informatycznym. Obowiązek dochowania formy pisemnej upoważnienia może być wywodzony z obowiązku szczególnej staranności administratora danych oraz obowiązku odpowiedniej ochrony (art. 26 ust. 1 oraz art. 36 ust. 1 uodo). Za formą pisemną upoważnienia przemawia także ta okoliczność, że pozostała określona w uodo dokumentacja z zakresu ochrony danych osobowych także powinna być sporządzana na piśmie. Ponadto, za taką formą dokumentu przemawiają względy dowodowe. Takie stanowisko zajmuje też Generalny Inspektor Ochrony Danych Osobowych, uznając za właściwą pisemną formę upoważnienia (patrz: "Kadrowa musi mieć upoważnienie", "Rzeczpospolita" z 1 czerwca 2007 roku).

Kwestią techniczną jest natomiast to, czy upoważnienie do przetwarzania danych osobowych zostanie sporządzone jako odrębny dokument. Nie ma przeszkód, aby stanowiło je np. postanowienie w umowie o pracę albo innej umowie, na podstawie której zatrudniana jest osoba upoważniana do przetwarzania danych osobowych. Upoważnienie musi być jednak indywidualne i dlatego niedopuszczalne byłoby np. generalne upoważnienie dla wszystkich zatrudnionych przez wywieszenie obwieszczenia na zakładowej tablicy.

Treść upoważnienia

Ustawa o ochronie danych osobowych nie określa też wymaganej treści upoważnienia. Regulacje związane z ochroną danych osobowych nie ustalają również wiążącego wzoru tego dokumentu.

[...]

Autor jest adiunktem na Wydziale Prawa, Administracji i Ekonomii Uniwersytetu Wrocławskiego. Publikował artykuły z zakresu ochrony danych osobowych, w tym komentarz do ustawy o ochronie danych osobowych.