Ikonka home dla okruszków Strona główna DLA IOD Dotyczące obowiązków administratora lub podmiotu przetwarzającego

Czy elektroniczna postać upoważnienia spełnia wymogi „pisemnego upoważnienia”?

Czy elektroniczną  postać upoważnienia do przetwarzania danych osobowych (np. kreowanego i podpisywanego w dedykowanym temu procesowi systemie teleinformatycznym) można interpretować jako formę pisemną, a tym samym spełniającą dyspozycje przepisów prawa, odnoszących się do konieczności wydawania „pisemnych upoważnień do przetwarzania danych osobowych”, wynikających z ustawy z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO?

Nadawanie upoważnień w postaci elektronicznej należy uznać za wykonanie obowiązku nadania upoważnień w formie pisemnej. W świetle zasady rozliczalności jakakolwiek postać, w tym elektroniczna, która pozwala na udokumentowanie spełnienia obowiązków celem wykazania przestrzegania przepisów, a w tym przypadku wykonania obowiązku wynikającego z art. 29 RODO należy uznać za prawidłową.

Za przyjęciem takiego stanowiska przemawia również podejście co do formy pisemnej wskazanej w art. 30 ust. 3 RODO. Zgodnie z tym przepisem, rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania, mają formę pisemną, w tym formę elektroniczną. Jak wskazujemy w poradniku dotyczącym tego obowiązku (Wskazówki i wyjaśnienia dotyczące obowiązku rejestrowania czynności i kategorii czynności przetwarzania określonego w art. 30 ust. 1 i 2 RODO  - str. 13) rejestry powinny być prowadzone w formie pisemnej (art. 30 ust. 3), a zatem mogą być prowadzone zarówno w postaci papierowej, jak i elektronicznej.


Rejestrowanie czynności przetwarzania

Poradnik Prezesa UODO

Ogólne rozporządzenie o ochronie danych (RODO) przewiduje, że administratorzy danych oraz podmioty przetwarzające mają obowiązek prowadzenia odpowiednio rejestru czynności lub rejestru kategorii czynności. Art. 30 RODO wskazuje ich obligatoryjne składniki, niemniej przepis ten może budzić wątpliwości co do znaczenia poszczególnych użytych w jego treści pojęć oraz sposobu wykonania tego obowiązku.

W celu ułatwienia realizacji tego zadania Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO), przygotował szablony rejestru czynności przetwarzania i rejestru kategorii czynności wraz z przykładami ich uzupełnienia oraz wyjaśnienia dotyczące sposobu realizacji tego obowiązku.

Przedstawionych szablonów rejestrów nie należy traktować jako jedynych prawidłowych wzorów. Ze względu na różnorodność administratorów, sektorów, w których działają i procesów przetwarzania danych, które prowadzą oraz innych czynników, w praktyce może występować wiele różnych modeli (struktur) rejestru czynności. Ważne, żeby w każdym przypadku administrator lub podmiot przetwarzający był w stanie przedstawić wymagane w art. 30 ust. 1 i 2 RODO elementy w odniesieniu do wszystkich prowadzonych procesów przetwarzania danych osobowych, w sposób czytelny i przejrzysty.

Stanowisko Grupy Art. 29

14 maja 2018 r. Grupa Robocza Art. 29 (obecnie Europejska Rada Ochrony Danych – EROD) przyjęła stanowisko, w którym wskazuje, kiedy przedsiębiorcy zatrudniający mniej niż 250 osób, nie będą zwolnieni z obowiązku prowadzenia rejestru czynności przetwarzania.

W związku z licznymi pytaniami kierowanymi do krajowych organów nadzorczych przez przedsiębiorców, Grupa Robocza Art. 29, skupiająca unijnych rzeczników ochrony danych osobowych, w tym Prezesa UODO (dawniej GIODO), przyjęła stanowisko, w którym wskazuje, w jakich przypadkach administratorzy lub podmioty przetwarzające zatrudniające mniej niż 250 pracowników, muszą prowadzić rejestr czynności przetwarzania.

Obowiązek ten trzeba realizować, gdy przetwarzanie:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego,
  • obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Przy czym dla jego powstania wystarczy, że zachodzi którakolwiek z tych sytuacji samodzielnie.

Rejestr czynności przetwarzania trzeba jednak prowadzić jedynie dla tych, wskazanych rodzajów przetwarzania.

Jako przykład Grupa Robocza Art. 29 podaje przypadek małej organizacji, która najprawdopodobniej systematycznie przetwarza dane dotyczące swoich pracowników. Jak wskazuje, „w rezultacie takie przetwarzanie nie może być uznane za „sporadyczne” i musi w związku z tym być zawarte w rejestrze czynności przetwarzania. Jednak inne czynności przetwarzania, które w rzeczywistości mają charakter „sporadyczny”, nie muszą być zawarte w rejestrze czynności przetwarzania, pod warunkiem że jest mało prawdopodobne, by powodowały ryzyko naruszenia praw lub wolności osób fizycznych, i nie obejmują szczególnych kategorii danych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych”.

Podmiot udostępniający: Departament Prawa i Nowych Technologii
Wytworzył informację:
user Monika Młotkiewicz
date 2026-04-23
Wprowadził informację:
user Edyta Madziar
date 2026-03-30 10:50:12
Ostatnio modyfikował:
user
date 2026-04-23 11:50:11

Materiały do pobrania

Pobierz plik Rejestr kategorii czynności przetwarzania
Podmiot udostępniający: Departament Prawa i Nowych Technologii
Wytworzył informację:
user Monika Młotkiewicz
date 2026-04-23 11:49:42
Wprowadził informację:
user
date 2026-04-23 11:49:42
Pobierz plik Wskazówki i wyjaśnienia dotyczące obowiązku z art. 30 ust. 1 i 2 RODO [PDF; 1.03 MB]
Podmiot udostępniający: Departament Prawa i Nowych Technologii
Wytworzył informację:
user Monika Młotkiewicz
date 2026-04-23 11:47:12
Wprowadził informację:
user
date 2026-04-23 11:47:12
Pobierz plik Rejestr czynności przetwarzania (przykłady dla szkoły)
Podmiot udostępniający: Departament Prawa i Nowych Technologii
Wytworzył informację:
user Monika Młotkiewicz
date 2026-04-23 11:48:54
Wprowadził informację:
user
date 2026-04-23 11:48:54