Nadawanie upoważnień do przetwarzania danych osobowych dla inspektora ochrony danych – wymóg formalny czy konieczność?
Problematyka nadawania upoważnień do przetwarzania danych osobowych dla inspektorów ochrony danych – to wymóg formalny czy konieczność?
W poniższym artykule poruszamy problematykę nadawania upoważnień do przetwarzania danych dla inspektorów ochrony danych, a także wyjaśniamy, jaki jest cel nadawania tych upoważnień.
Cel nadawania upoważnień do przetwarzania danych osobowych
Art. 29 RODO wskazuje, że podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarza je wyłącznie na polecenie administratora. Wyjątkiem jest fakt, że wymaga tego prawo Unii lub prawo państwa członkowskiego. Art. 32 RODO wskazuje jednak, że administrator i podmiot przetwarzający, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający charakterowi prowadzonego przetwarzania i związanego z nim ryzyka. Ust. 4 tego artykułu informuje, że zarówno administrator, jak i podmiot przetwarzający podejmuje działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.
Czy Inspektor ochrony danych powinien być upoważniony do przetwarzania danych osobowych?
Opinie na temat nadawania upoważnień do przetwarzania danych osobowych dla IOD są podzielone. Przeciwko nadawaniu upoważnień inspektorowi wysuwa się argument, że takie upoważnienie jest zbędne ze względu na prawo inspektora do właściwego i niezwłocznego włączania go we wszystkie sprawy w zakresie ochrony danych osobowych. Z drugiej strony nadawanie upoważnień do przetwarzania danych osobowych może być środkiem organizacyjnym, który służy zapewnieniu przez administratora odpowiedniej kontroli nad procesem przetwarzania danych osobowych. W momencie, gdy administrator danych osobowych decyduje się na skorzystanie ze środka, jakim jest nadawanie upoważnień do przetwarzania danych, to ten środek uzasadniony jest również wobec inspektora ochrony danych, niezależnie od tego, że uprawnienie tej osoby do dostępu do danych osobowych wynika z przepisów RODO.
Źródło:
https://uodo.gov.pl/pl/225/1939