Zgodnie z obowiązującym art. 37 ustawy z dnia z dnia 29 sierpnia 1997 r. o ochronie danych osobowych [Dz.U. 1997 nr 133 poz. 883 ze zm. - dalej jako UODO], do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
W sprawie tej regulacji wypowiadał się Sąd Najwyższy, wskazują, że przepis art. 37 UODO należy rozumieć jako ustanawiający zakaz dopuszczania osób innych niż mające upoważnienie nadane przez administratora danych do przetwarzania danych osobowych. Do przetwarzania danych nie jest wystarczające upoważnienie wynikające ze stosunku prawnego łączącego daną osobę z administratorem danych, np. w związku z zawarciem umowy o pracę czy umowy zlecenia albo innej umowy o świadczenie usług, do której stosuje się odpowiednio przepisy o zleceniu.
UODO nie określa wymagań kwalifikacyjnych, jakie muszą spełniać osoby upoważnione do przetwarzania danych osobowych [Wyrok SN z dnia 4 kwietnia 2017 r. II PK 37/16].
Obserwowaną praktyką jest nieprzywiązywanie większej uwagi do omawianego obowiązku przez administratorów danych, co wpisywało się w ogólną tendencję do dość dowolnego przestrzegania przepisów obowiązującej ustawy. Upoważnienia albo w ogóle nie były udzielane, albo ich nadawanie ograniczane było wyłącznie do działów kadr. Czytaj dalej >>
RODO: upoważnienia dla pracowników do przetwarzania danych po 25 maja
Ci spośród administratorów danych osobowych, którzy już obecnie mają wprowadzoną i aktualizowaną ewidencję osób upoważnionych, docenią ten fakt podczas czynności przygotowawczych do RODO - podkreśla dr Dominika Dörre-Kolasa, partner w kancelarii Raczkowski Paruch.