Ogólne rozporządzenie o ochronie danych (RODO) nie wskazuje wprost, że administrator musi nadać upoważnienie do przetwarzania danych osobowych. Wymaga jednak, żeby podmiot przetwarzający lub każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora. Administrator powinien wykazać, że spełnia wymogi RODO. Ciężko będzie udowodnić, że dane są przetwarzane na polecenie administratora, jeśli będzie ono wydane ustnie.
W przeciwieństwie do obecnie obowiązujących krajowych przepisów dotyczących ochrony danych osobowych RODO nie precyzuje wprost większości rozwiązań, które mają służyć zabezpieczeniu danych. Ogranicza się do stwierdzenia, że administrator zobowiązany jest wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych odbywało się zgodnie z jego przepisami. Jednym z wyjątków od tej zasady jest wyraźnie wskazany wymóg, aby podmiot przetwarzający (procesor) oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora (art. 29 RODO). Natomiast administrator i podmiot przetwarzający muszą podejmować działania, aby przetwarzanie danych odbywało się wyłącznie na polecenie administratora (art. 32 ust. 4 RODO).
Wyjątkiem zezwalającym na przetwarzanie danych bez polecenia administratora może być jedynie sytuacja, w której przetwarzania danych wymagają przepisy prawa unijnego lub krajowego.
Polecenie administratora należy uznać za upoważnienie pozwalające przetwarzać dane. Przepisy RODO nie precyzują wyraźnie formy, w jakiej to upoważnienie (polecenie) administrator ma wydać osobie przetwarzającej dane. Czy zatem polecenie takie może być wyrażone przez administratora ustnie? Z całą pewnością należy stwierdzić, że nie.
Uzasadnienie tego stanowiska – częściowe, bo dotyczące tylko przetwarzania danych przez podmiot przetwarzający – dają przepisy RODO, które odnoszą się do instytucji powierzenia przetwarzania danych podmiotowi przetwarzającemu (art. 28 ust. 3 pkt a RODO). Stwierdzają one, że umowa powierzenia musi wskazywać, że procesor przetwarza dane wyłącznie na udokumentowane polecenie administratora. Ustnego polecenia nie sposób zaś uznać za udokumentowane.
Ponadto ustną formę wydawania upoważnień neguje z całą pewnością zasada rozliczalności (art. 5 ust. 2 RODO), na której opiera się według RODO odpowiedzialność administratora za przestrzeganie przepisów tego rozporządzenia. Wspomniana zasada sprowadza się do tego, że administrator musi być w stanie wykazać, że spełnia wymogi ogólnego rozporządzenia. Oczywiście ciężko będzie mu wykazać, że wydał pracownikom polecenie przetwarzania danych, jeżeli zrobi to ustnie.
Na pewno forma udzielenia polecenia do przetwarzania danych nie musi mieć postaci pisemnej rozumianej jako „pisemna na papierze”. Jednakże wynikający z zasady rozliczalności wymóg udokumentowania spełnienia obowiązku prowadzi do tego, że administrator powinien mieć potwierdzenie tego, że udzielił upoważnienia. Zatem należy uznać, że polecenia przetwarzania danych można dokonać również w formie elektronicznej, np. za pośrednictwem służbowej poczty e-mail. Oczywiście pod warunkiem przechowywania kopii takich wiadomości wraz z potwierdzeniem pracowników, że zapoznali się z ich treścią.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
