Na gruncie przepisów RODO*, Administrator zobowiązany jest podejmować działania, które zagwarantują, by każda osoba fizyczna, działająca z jego upoważnienia, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na jego polecenie, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego. W związku z powyższym, w wielu podmiotach, administratorzy zdecydowali się na nadawanie takowych, pisemnych upoważnień do przetwarzania danych osobowych.

Z naszej praktyki wynika, że niejednokrotnie administratorzy próbują scedować zadanie nadawania upoważnień, na powołanego Inspektora Ochrony Danych, tak by to on określał zakres dostępu pracownika do danych osobowych oraz finalnie upoważniał personel do ich przetwarzania. Taka praktyka jest jednak niewłaściwa i może skończyć się wszczęciem postępowania administracyjnego przez organ nadzorczy ds. ochrony danych osobowych. To właśnie, stało się w przypadku jednego ze szpitali, w którym Administrator w przyjętych procedurach, upoważnił i zobowiązał Inspektora Ochrony Danych do wystawiania pracownikom upoważnień (decyzja ZWAD.405.31.331.2019). Urząd Ochrony Danych Osobowych w decyzji, nakładającej na szpital upomnienie, za działanie opisane powyżej, stwierdził że biorąc pod uwagę specyfikę obowiązków Inspektora, które polegają m.in. na kontrolowaniu działalności administratora, nadawanie upoważnień do przetwarzania danych, powoduje niejako konflikt interesów. W końcu Inspektor byłby zobligowany do przeprowadzania procedury nadawania upoważnień, a następnie monitorowania jej przebiegu, pod kątem zgodności działania z przepisami o ochronie danych osobowych, co w konsekwencji doprowadziłoby do sytuacji w której kontrolowałby sam siebie.

* Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)