Jaka podstawa prawna w upoważnieniu do przetwarzania danych

Osobami dopuszczonymi do dostępu do danych osobowych z woli administratora (podmiotu przetwarzającego) są osoby działające z jego upoważnienia i na jego polecenie (art. 29 RODO). RODO nie wskazuje jednak ani formy udzielenia takiego upoważnienia ani nie daje wytycznych dotyczących treści wystawionego upoważnienia. W praktyce, z uwagi na zasadę  rozliczalności, upoważnienie powinno mieć formę pisemną, w tym elektroniczną. Powinno z niego wynikać, komu zostało udzielone, jaki jest jego zakres (uprawnienia upoważnionego w zakresie przetwarzania danych), ewentualnie wskazywać okres na jaki zostało udzielone. Wskazanie podstawy prawnej nie jest w ogóle wymagane. Jeśli już administrator chciałby wpisać w upoważnieniu podstawę prawną, to powinien być to art. 29 RODO.

Na podstawie art. 268a KPA organ administracji publicznej może upoważniać, w formie pisemnej, pracowników obsługujących ten organ do załatwiania spraw w jego imieniu w ustalonym zakresie, a w szczególności do wydawania decyzji administracyjnych, postanowień, zaświadczeń, a także do poświadczania za zgodność odpisów dokumentów przedstawionych przez stronę na potrzeby prowadzonych postępowań z oryginałem. Przepis ten dotyczy załatwiania spraw administracyjnych normowanych KPA. Także art. 98 Kodeksu cywilnego nie stanowi podstawy prawnej do udzielenia upoważnienia do przetwarzania danych. Przepis ten dotyczy umocowania do dokonywania czynności prawnych w obrocie cywilnoprawnym między osobami fizycznymi i osobami prawnymi.