Administrator danych może swobodnie decydować o formie upoważnienia

Tak, gdyż ustawa o ochronie danych osobowych, nie przesądzając formy upoważnienia do przetwarzania danych osobowych, wymaga jedynie, aby było ono wydane każdej osobie mającej dostęp do danych osobowych.

Ustawa o ochronie danych osobowych ustanawia zakaz dopuszczania do przetwarzania danych osobowych, osób innych, niż mających upoważnienie nadane przez administratora danych. Nie przesądza jednak formy takiego upoważnienia. Jednakże względy dowodowe przemawiają za tym, by upoważnienie miało formę pisemną, albowiem zgodnie z art. 39 ust. 1 ustawy, w ewidencji osób upoważnionych do przetwarzania danych osobowych, którą prowadzi administrator, wskazać należy m.in. datę nadania, ustania oraz zakres upoważnienia do przetwarzania danych. Administrator danych jest obowiązany sprecyzować zakres upoważnienia, jaki jest konieczny do prawidłowego wykonywania obowiązków przez upoważnionego. Zakresy upoważnień do przetwarzania danych osobowych powinny być ustalane tak, aby zapewnić realizację obowiązku wynikającego z art. 38 ustawy. Pracownicy (osoby upoważnione do przetwarzania danych) powinni mieć natomiast faktyczny dostęp do danych osobowych tylko w zakresie udzielonych upoważnień. W upoważnieniu należy określić nazwę (nazwisko) i adres administratora danych, osobę upoważnioną do przetwarzania danych osobowych, datę nadania i, jeżeli jest ono przyznawane na czas określony, ustania oraz zakres upoważnienia do przetwarzania danych osobowych. Ustawa nie określa wymagań kwalifikacyjnych, jakie muszą spełniać osoby upoważnione do przetwarzania danych osobowych. Nie oznacza to jednak, że administrator danych może nadawać upoważnienia do przetwarzania dowolnym osobom. Administrator danych obowiązany jest bowiem dołożyć szczególnej staranności w celu ochrony interesów osób, których dane przetwarza. W szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem, merytorycznie poprawne oraz zbierane dla oznaczonych, zgodnych z prawem celów i wykorzystywane tylko dla nich. Powinien także dbać o to, aby gromadzić tylko te dane, które są niezbędne (adekwatne) dla określonego celu oraz aby danych umożliwiających identyfikację osób nie przechowywać dłużej niż to konieczne, czyli tylko do osiągnięcia celu, dla którego zostały zebrane. Ponadto administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Stwierdzić należy, iż kwestia dostępu poszczególnych osób do danych osobowych powinna być każdorazowo samodzielnie rozstrzygana przez administratora danych. Jest on bowiem najlepiej zorientowany w szczegółach prowadzonej przez siebie działalności i dzięki temu może określić, komu oraz w jakim zakresie będzie nadane stosowne upoważnienie. Tym samym nie wydaje się, aby upoważnienie nadane w formie e-maila pozostawało w sprzeczności z przepisami ustawy o ochronie danych osobowych, jeśli spełnia wszelkie inne ww. wymogi z tej ustawy.

Opracował Maciej Kasperowicz