Czy administrator powinien nadawać upoważnienia np. sędziom?

Czy administrator powinien nadawać upoważnienia do przetwarzania danych osobowych określonym grupom zawodowym, których uprawnienia do przetwarzania danych wynikają z odrębnych przepisów np. sędziom? Zadania poszczególnych grup zawodowych uregulowane są w przepisach prawa, z których wynikają obowiązki oraz uprawnienia osób wykonujących swoje obowiązki. W sądzie, czyli instytucji, w której sprawuję funkcję inspektora ochrony danych taką grupą zawodową, która spełnia powyższe kryteria będą sędziowie. Stąd moje wątpliwości, czy administrator powinien nadawać sędziom upoważnienia pomimo tego, że ich uprawnienia do przetwarzania wynikają z ustawy? Czy takie upoważnienia powinny być wydawane również innym osobom, którym zleca się wydawanie opinii czy wykonanie innych czynności (np. ławnikom)?

W przypadku nadawania upoważnień do przetwarzania danych osobowych osobom , których uprawnienia do przetwarzania danych osobowych wynikają z odrębnych przepisów, należy mieć na względzie cel, w jakim takie upoważnienia się nadaje. Wydawanie upoważnień może być bowiem jednym ze środków organizacyjnych, którego celem jest zapewnienie odpowiedniej ochrony danych i kontroli nad procesem ich przetwarzania zgodnie z art. 29 i art. 32 ust. 4 RODO i dlatego należy go odróżnić od uprawnienia do dostępu do danych osobowych przyznanego określonym funkcjom czy zawodom przez przepisy prawa w związku z wykonywanymi przez nich obowiązkami lub zadaniami.

Jeśli administrator decyduje się na zastosowanie środka organizacyjnego, jakim jest nadawanie upoważnień, wówczas również wobec np. audytorów wewnętrznych, sędziów czy ławników może być podjęty taki środek, niezależnie od tego, że uprawnienie tych osób do dostępu do wszelkich danych osobowych niezbędnych dla potrzeb prowadzonych postępowań lub czynności gwarantują im właściwe ustawy.

Wskazany w art. 29 oraz art. 32 ust. 4 RODO wyjątek od związania poleceniem administratora (wynikający z przepisów prawa Unii lub prawa państwa członkowskiego) dotyczy przypadków zobowiązania do przetwarzania płynącego z przepisów unijnych lub krajowych, nie zaś upoważnienia z nich wynikającego,  np. udzielenia określonej informacji na żądanie sądu w ramach prowadzonego postępowania sądowego czy organom nadzoru w ramach postępowań kontrolnych.  

Należy dodać, że administrator nie musi stosować w tym zakresie jednakowej metody wobec wszystkich grup pracowników, musi jednak być w stanie wykazać, że każda osoba, która przetwarza dane osobowe, działa na jego polecenie.

2019-11-29