- Czy upoważnienie do przetwarzania danych osobowych nadawane przez administratora danych zatrudnionym u niego osobom może mieć formę e-maila bez wykorzystania podpisu kwalifikowanego? – pyta czytelnik.
Zgodnie z art. 37 ustawy o ochronie danych osobowych (DzU z 2014 r., poz. 1182 ze zm.) do przetwarzania danych w firmie lub innej instytucji mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Tym ostatnim jest każda osoba, podmiot lub instytucja, która decyduje o celach i środkach przetwarzania danych, o czym przesądza art. 7 pkt 4 ustawy.
Jak należy rozumieć art. 37? Zgodnie z komentarzem autorstwa Barty i Markiewicza art. 37 ustanawia zakaz dopuszczania do przetwarzania danych osób innych niż mające do tego upoważnienie nadane przez administratora danych. Oznacza to, że do przetwarzania danych nie jest wystarczające upoważnienie wynikające ze stosunku prawnego łączącego daną osobę z administratorem danych, np. w związku z zawarciem umowy-zlecenia czy też umowy o świadczenie usług, do której stosuje się odpowiednio przepisy o zleceniu.
Andrzej Drozd w swoim komentarzu do ustawy wskazuje, że również osobom zatrudnionym u przetwarzającego (ew. wolontariuszom, praktykantom) omawiane upoważnienie nadaje administrator danych. Nie można wprawdzie wykluczyć umocowania przetwarzającego przez administratora danych do nadawania upoważnień w imieniu administratora. Upoważnienie takie jednak nie może być domniemane, np. z tytułu zawarcia umowy o przetwarzanie danych osobowych w myśl art. 31. Jak jednak dodaje autor, umocowanie przetwarzającego do nadawania omawianych upoważnień nie jest godne polecenia, ponieważ to administratora danych obciąża obowiązek szczególnej staranności w doborze osób upoważnionych do przetwarzania danych osobowych i wiążąca się z jego naruszeniem odpowiedzialność.
Wolność administratora
Z powyższych rozważań wynika, że decyzję co do tego, kto zostanie dopuszczony do przetwarzania danych osobowych administrowanych przez określony podmiot – administratora danych, oraz jaki będzie zakres wspomnianego upoważnienia, ustawodawca pozostawił administratorowi danych. Administrator powinien jednak dla realizacji tego uprawnienia stosować zasady przewidziane w ustawie o ochronie danych osobowych, w szczególności określone w jej rozdziale 5.
Analizując treść tych przepisów, należy zauważyć, że nie określają one wprost formy i treści upoważnienia ani nie wprowadzają jego wzoru. W literaturze przedmiotu zgodnie wskazuje się jednak, że upoważnienie powinno mieć formę pisemną. Do wniosku takiego prowadzi m.in. analiza treści art. 39 ust. 1 ustawy. Zgodnie z nim w ewidencji osób upoważnionych do przetwarzania danych wskazać należy m.in. imię i nazwisko osoby upoważnionej, datę nadania, ustania oraz zakres upoważnienia do przetwarzania danych. Tym samym w przypadku upoważnienia udzielonego w formie innej niż pisemna mogłyby wystąpić praktyczne trudności związane z określeniem jego treści.
Podpis elektroniczny
Warunki stosowania podpisu elektronicznego, skutki prawne jego stosowania, zasady świadczenia usług certyfikacyjnych oraz zasady nadzoru nad podmiotami świadczącymi te usługi reguluje ustawa z 18 września 2001 r. o podpisie elektronicznym. Zgodnie z jej art. 5 bezpieczny podpis elektroniczny weryfikowany za pomocą kwalifikowanego certyfikatu wywołuje skutki prawne określone ustawą, jeżeli został złożony w okresie ważności tego certyfikatu.
Dane w postaci elektronicznej opatrzone bezpiecznym podpisem weryfikowanym za pomocą ważnego certyfikatu są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi, chyba że przepisy odrębne stanowią inaczej. Należy w tym miejscu podkreślić, że przepis ten nie zrównuje skutków prawnych oświadczenia woli złożonego w postaci elektronicznej i opatrzonego bezpiecznym podpisem elektronicznym ze skutkami prawnymi oświadczenia woli złożonego w tradycyjnej formie pisemnej, ale wyłącznie skutki prawne podpisu złożonego z zachowaniem formy w nim przewidzianej.
Oświadczenia woli
Ponadto warto także wskazać na art. 78 § 1 Kodeksu cywilnego. Zgodnie z nim do zachowania pisemnej formy czynności prawnej wystarcza złożenie własnoręcznego podpisu na dokumencie obejmującym treść oświadczenia woli. Do zawarcia umowy wystarcza wymiana dokumentów obejmujących treść oświadczeń woli, z których każdy jest podpisany przez jedną ze stron, lub dokumentów, z których każdy obejmuje treść oświadczenia woli jednej ze stron i jest przez nią podpisany. § 2 tego przepisu wskazuje, że oświadczenie woli złożone w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym za pomocą ważnego kwalifikowanego certyfikatu jest równoważne z oświadczeniem woli złożonym w formie pisemnej.
Liczy się praktyka
Biorąc pod uwagę brak w ustawie o ochronie danych jednoznacznych wskazówek co do formy upoważnienia, należy przyjąć, że zasadnicze znaczenie dla rozpatrywanego zagadnienia mają zastosowane u danego administratora danych przyjęte rozwiązania organizacyjne związane z przyjętymi sposobami komunikacji pomiędzy nim a osobami dane przetwarzającymi (stosunek pracodawca – pracownik).
W sytuacji, gdy zastosowany sposób komunikacji opiera się na szerokim wykorzystywaniu narzędzi informatycznych (w tym komunikacji za pośrednictwem poczty elektronicznej), brak jest podstaw, by uznać udzielenie upoważnienia do przetwarzania danych osobowych za pośrednictwem wskazanego kanału za niezgodny z przepisami ustawy o ochronie danych osobowych.
W związku z tym można przyjąć, że forma udzielenia upoważnienia do przetwarzania danych osobowych przez administratora (e-mail) pozostaje w ścisłej zależności z przyjętymi w konkretnym podmiocie rozwiązaniami organizacyjnymi (np. regulamin pracy). Reasumując, to na administratorze danych spoczywa obowiązek zorganizowania procesu przetwarzania danych osobowych (w tym nadawania upoważnień) w sposób odpowiadający przepisom obowiązującym w zakresie przetwarzania danych osobowych, który dostosowany będzie do rozwiązań organizacyjnych zastosowanych w podmiocie przetwarzającym dane.
Dr Edyta Bielak-Jomaa - generalny inspektor ochrony danych osobowych
Podkreślenia wymaga, że do kompetencji generalnego inspektora ochrony danych osobowych przyznanych ustawą o ochronie danych osobowych nie należy rozstrzyganie skuteczności prawnej oświadczeń woli. Dotyczy to zarówno tych wyrażanych w formie pisemnej, jak i tych składanych drogą elektroniczną.
Jeśli zaś chodzi o udzielanie upoważnień do przetwarzania danych osobowych, to przepisy powołanej ustawy wprost to regulują. Wyraźnie wskazują bowiem, że do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające takie upoważnienie nadane przez administratora danych, który ma obowiązek prowadzić ewidencję osób, którym je nadał.
Ustawa nie precyzuje, w jakiej formie takie upoważnienie powinno być udzielone i jaka musi być jego treść. Przyjmuje się jednak, że powinno ono stanowić odrębny dokument. Upoważnienie nie może być bowiem wywodzone tylko z treści umowy o pracę czy z zakresu obowiązków pracowniczych bądź z regulaminu. Co więcej, ze względów dowodowych wskazane jest, aby miało formę pisemną. Powinno mieć także charakter imienny oraz określać dozwolony zakres przetwarzania danych, czyli do jakich danych osobowych dana osoba ma dostęp, z uwzględnieniem zakresu jej obowiązków. Zakresy upoważnień do przetwarzania danych osobowych powinny być ustalane tak, aby zapewnić realizację obowiązku wynikającego z art. 38 ustawy, czyli zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są udostępniane. Pracownicy (osoby upoważnione do przetwarzania danych) powinni mieć dostęp do danych osobowych tylko w zakresie udzielonych upoważnień.