Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Polecamy

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania
 

Bartosz Marcinkowski, Robert Brodzik, Klaudia Czarniecka, Michał Kluska, Katarzyna Kulesza, Olga Legat, Justyna Tyc

Cena: 128,00 zł

Zamów

Charakter prawny polecenia i upoważnienia

20-09-2019 Autor: Dominik Lubasz

Polecenie administratora jest warunkiem sine qua non przetwarzania danych osobowych przez podmioty wskazane w art. 29 i 32 ust. 4 rodo. Czy z przepisów tych wywodzić należy również obowiązek udzielania upoważnień osobom otrzymującym dostęp do danych u administratora lub podmiotu przetwarzającego?

 

Obowiązek działania wyłącznie na polecenie administratora wynika z art. 29 rodo. Z obowiązkiem tym skorelowane jest zobowiązanie administratora do zapewnienia, by określone w wymienionych przepisach osoby, które mają dostęp do danych, działały wyłącznie na jego polecenie (art. 32 ust. 4). Polecenie administratora wyznacza ramy, w których adresaci polecenia mają się poruszać w procesie przetwarzania danych, do których otrzymają dostęp, a równocześnie są związani zakresem wydanego polecenia. Wyjątki od tej reguły mogą wynikać z prawa UE lub prawa krajowego państw członkowskich.

Podstawy prawne polecenia i upoważnienia

Regulacja art. 29 rodo nie jest rozwiązaniem zupełnie nowym. Analogiczne wyjście przyjęto w art. 16 dyrektywy 95/46/WE, w którym prawodawca unijny wyłączył możliwość przetwarzania danych bez polecenia administratora. Wskazany przepis dyrektywy został transponowany do polskiego porządku prawnego w sposób nieoddający jego intencji. Polski ustawodawca w art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: uodo z 1997 r.) zdecydował się zastąpić instytucję polecenia obowiązkiem o charakterze formalnym, tj. koniecznością udzielenia przez administratora uprzedniego i indywidualnego upoważnienia osobom, które mają być dopuszczone do przetwarzania danych osobowych.

Praktyka stosowania art. 29 rodo wskazuje, że osoby działające w imieniu administratora lub w imieniu podmiotu przetwarzającego powinny otrzymać dostęp do danych dopiero po uzyskaniu stosownego upoważnienia ze strony administratora. Poglądy te konstruowane są, jak się wydaje, przede wszystkim na podstawie dosłownej wykładni art. 29 rodo, i to wyłącznie w polskiej wersji językowej rodo, a ponadto są silnie zakorzenione w polskiej tradycji prawnej związanej z brzmieniem art. 37 uodo z 1997 r.

Taki kierunek wykładni nie jest prawidłowy i nie odzwierciedla istoty regulacji. W procesie dokonywania interpretacji przepisów prawa europejskiego niezbędne jest bowiem porównanie różnych wersji językowych, tak by doprowadziło ono do wniosków uwzględniających ogólną systematykę i cel uregulowania (zob. wyrok TSUE w sprawie C-437/97 EKW i Wein & Co., pkt 42; wyrok w sprawie C-457/05 Schutz­verband der Spirituosen-Industrie, pkt 18). W konsekwencji nie można poprzestać na dosłownej wykładni pojęć użytych w polskiej wersji językowej, w tym wypadku zwłaszcza pojęcia „osoba działająca z upoważnienia”, a wykorzystać instrumenty wykładni funkcjonalnej. Kiedy sięgniemy do angielskiej lub niemieckiej wersji językowej rodo, nie odnajdziemy sformułowania odnoszącego się do upoważnienia, zwłaszcza w znaczeniu wykorzystywanym dotychczas w art. 37 uodo z 1997 r. Wykorzystywane sformułowania „under the authority” i „unter der Aufsicht” akcentują funkcjonalne podporządkowanie osób przetwarzających dane w imieniu administratora lub procesora, przejawiające się w podleganiu kontroli i nadzorowi ze strony administratora, a nie w konieczności upoważnienia tych osób w sposób formalny do przetwarzania danych osobowych.

Wynika to również pośrednio z pozycji prawnej administratora ukształtowanej w szczególności w art. 4 pkt 7 rodo. Z tej perspektywy właściwe byłoby przyjęcie w polskiej wersji językowej sformułowania „osoba podlegająca kontroli administratora” lub „osoba działająca pod zwierzchnictwem administratora” zamiast użytego w polskiej wersji językowej określenia „osoba upoważniona”, co ostatecznie odzwierciedli rolę takiej osoby w organizacji.

Adresaci normy zawartej w art. 29 rodo

Niewątpliwie adresatem normy zawartej w art. 29 rodo nie jest administrator, co wynika wprost z brzmienia przepisu. Zakres podmiotowy przepisu kształtowany jest natomiast, co do zasady, tj. w zakresie niedotyczącym bezpośrednio podmiotu przetwarzającego, dwoma elementami w postaci pozycji danej osoby w organizacji oraz dostępu do danych. Oba wskazane elementy determinują, obok podmiotu przetwarzającego, krąg pozostałych uprawnionych do przetwarzania w imieniu administratora. Dostęp do danych jest składnikiem stanu faktycznego i odnosi się do ustalenia, czy dana osoba ma dostęp do danych czy nie. Nie ma przy tym znaczenia tytuł prawny, jaki łączy daną osobę z administratorem. Drugi z elementów związany jest z oceną pełnionej przez daną osobę roli w strukturach organizacyjnych administratora lub podmiotu przetwarzającego. Relewantne prawnie są jedynie te osoby, które mając dostęp do danych osobowych, podlegają równocześnie kierownictwu, kontroli i nadzorowi organizacyjnemu ze strony administratora. I w tym zakresie irrelewantny pozostaje stosunek prawny łączący daną osobę z administratorem. Rozstrzygająca jest natomiast zależność od administratora lub podmiotu przetwarzającego, postrzegana jako brak samodzielności w zakresie decydowania o przetwarzaniu, a także działanie w ramach obszaru przetwarzania administratora albo podmiotu przetwarzającego.

Wykładnia art. 29 powinna być zatem ukierunkowana na odzwierciedlenie podstawowego celu regulacji, a mianowicie oznaczenia podmiotów, które zgodnie z wolą administratora i w ramach powierzonych im obowiązków są dopuszczane do przetwarzania danych i którym administrator uprawniony jest wydawać polecenia, a w konsekwencji, które zobowiązane są dokonywać czynności przetwarzania jedynie w granicach tychże poleceń. Istotą przepisu nie jest więc nałożenie obowiązku realizacji dodatkowej formalno-technicznej czynności związanej z dopuszczeniem do przetwarzania danych osobowych w postaci udzielenia upoważnienia, ani też warunkowanie możliwości wydawania poleceń od uprzedniego udzielenia upoważnienia. Taki kierunek wykładni o charakterze funkcjonalnym zgodny jest równocześnie z argumentami wywodzonymi z porównania innych wersji językowych rozporządzenia.

Jak rozumieć „polecenie” na gruncie art. 29 rodo?

W przepisach rodo nie zostało zdefiniowane pojęcie polecenia przetwarzania wydawanego przez administratora. Nie zostały też określone wymogi, odnośnie do jego formy ani treści. Zestawiając przepisy regulujące pozycję prawną podmiotu uprawnionego do wydawania poleceń oraz nałożone na niego obowiązki, jako polecenie rozumieć należy instrukcję lub dyspozycję w zakresie określonego działania lub zaniechania, zarówno w procesie przetwarzania danych, jak i zastosowania organizacyjnych i technicznych środków zabezpieczenia. Możliwość wydawania wiążących poleceń przez administratora wynika z pełnionej przez niego roli podmiotu określającego cel i sposób przetwarzania (art. 4 ust. 7) oraz realizującego obowiązki zgodności przetwarzania z przepisami rodo (art. 24), w tym obowiązki dotyczące bezpieczeństwa przetwarzania (art. 32). Uprawnienie do wydawania poleceń jest istotne zwłaszcza w kontekście ostatniego ze wspomnianych obowiązków, ponieważ służy wykonywaniu efektywnej kontroli nad operacjami przetwarzania w celu zapewnienia odpowiedniego poziomu bezpieczeństwa oraz realizacji regulacji rozkładu odpowiedzialności wynikającego z instytucji zwierzchnictwa.

Celem art. 29 jest zarówno ułatwienie administratorowi wykonywania obowiązków przez delegowanie zadań, który to cel jest realizowany przez nałożenie na adresatów normy obowiązku przetwarzania wyłącznie na sformułowane polecenie administratora, jak i określenie ram prawnych działania tychże osób przez związanie ich zakresem polecenia. Prawo administratora do wydawania wiążących poleceń wynikające z jego funkcji (art. 4 pkt 7) jest zatem skorelowane z obowiązkiem stosowania się do nich przez osoby, do których polecenia te są adresowane (art. 29), a ostatecznie zabezpieczone zobowiązaniem administratora do wdrożenia rozwiązań zapewniających osobom mającym dostęp do danych osobowych przetwarzanie ich jedynie na polecenie administratora (art. 32 ust. 4). Wykroczenie poza granice polecenia powoduje, że podmiot przetwarzający lub pozostali adresaci obowiązku z art. 29 przetwarzają dane niezgodnie z celem i sposobem przetwarzania wyznaczonym uprzednio przez administratora. W konsekwencji ich działanie może być oceniane przez pryzmat nowej, czynnej roli w procesie przetwarzania, co expressis verbis uregulowane zostało w przypadku podmiotu przetwarzającego w art. 28 ust. 10.

 

[...]

 

Autor jest radcą prawnym, partnerem zarządzającym oraz liderem specjalizacji LW Data Protection i  LW Business Lubasz i  Wspólnicy – Kancelaria Radców Prawnych, ekspertem SKP ds. handlu elektronicznego i  ekspertem legislacyjnym Izby Gospodarki Elektronicznej.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.