Takie wymogi stawiała już ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych. Jednak niewielu pracodawców zdawało sobie sprawę, że niewystarczające było upoważnienie wynikające jedynie z zakresu obowiązków pracowniczych i z samego faktu zawarcia umowy o pracę. Konieczne było nadanie odrębnego upoważnienia. Na poparcie tego stanowiska warto przytoczyć wyrok Sądu Najwyższego z dnia 4 kwietnia 2017 roku, sygn. II PK 37/16: „Przepis art. 37 ustawy o o.d.o. ustanawia zakaz dopuszczania osób innych niż mające upoważnienie nadane przez administratora danych, do przetwarzania danych osobowych. Oznacza to, że do przetwarzania danych nie jest wystarczające upoważnienie wynikające ze stosunku prawnego łączącego daną osobę z administratorem danych, np. w związku z zawarciem umowy o pracę czy umowy zlecenia albo innej umowy o świadczenie usług, do której stosuje się odpowiednio przepisy o zleceniu.”.

Ze względu na upowszechnienie problematyki danych osobowych w związku z wejściem w życie RODO, wielu pracodawców zwraca większą uwagę na wprowadzenie polityki ochrony danych osobowych w swojej firmie. Jednym z jej elementów jest właśnie nadanie upoważnień pracownikom, którzy uczestniczą w procesie przetwarzania danych osobowych, oraz prowadzenie rejestru tych upoważnień.

Upoważnienie powinno zawierać:

• dane osoby upoważnianej (imię, nazwisko, stanowisko służbowe),
• zakres upoważnienia, z uwzględnieniem zbiorów danych lub kategorii danych, do których upoważniony będzie miał dostęp,
• cel upoważnienia,
• okres ważności upoważnienia,
• podpis upoważniającego.

Art. 29 RODO stanowi, iż „podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego”.

Tym samym należy przyjąć, że oprócz upoważnienia konieczne jest również „polecenie administratora” co do przetwarzania danych osobowych. To na jego podstawie określa się zakres przetwarzania, w ramach którego może zostać nadane upoważnienie pracownikowi posiadającemu dostęp do danych. Przetwarzanie danych osobowych bez polecenia administratora lub w szerszym zakresie jest traktowane jako działanie niezgodne z prawem, nawet jeśli odbywa się na podstawie upoważnienia. Nie ma ono wtedy swojego źródła.

RODO nie przewiduje formy prawidłowego upoważnienia. Z uwagi na fakt, że podmiot przetwarzający musi być w stanie wykazać przestrzeganie przepisów prawa dotyczących ochrony danych osobowych (zasada rozliczalności), najprostszym rozwiązaniem wydaje się sporządzenie upoważnienia na piśmie. Należy również pamiętać, że w celu poszanowania zasady poufności należy pouczyć pracownika (zleceniobiorcę itp.) o obowiązku zachowania w tajemnicy i prawidłowego zabezpieczenia (zgodnie z polityką ochrony danych u administratora) wszelkich danych osobowych, do których ma dostęp w ramach stosunku pracy na podstawie nadanego upoważnienia.