Czy administrator powinien nadawać upoważnienia do przetwarzania danych osobowych określonym grupom zawodowym, których uprawnienia do przetwarzania danych wynikają z odrębnych przepisów np. sędziom?

Zadania poszczególnych grup zawodowych uregulowane są w przepisach prawa, z których wynikają obowiązki oraz uprawnienia osób wykonujących swoje obowiązki. W przypadku nadawania upoważnień do przetwarzania danych osobowych osobom, których uprawnienia do przetwarzania danych osobowych wynikają z odrębnych przepisów, należy mieć na względzie cel, w jakim takie upoważnienia się nadaje.

Uzasadnienie

Wydawanie upoważnień może być jednym ze środków organizacyjnych, którego celem jest zapewnienie odpowiedniej ochrony danych i kontroli nad procesem ich przetwarzania zgodnie z art. 29 i art. 32 ust. 4 RODO i dlatego należy go odróżnić od uprawnienia do dostępu do danych osobowych przyznanego określonym funkcjom czy zawodom przez przepisy prawa w związku z wykonywanymi przez nich obowiązkami lub zadaniami.

Jeśli administrator decyduje się na zastosowanie środka organizacyjnego, jakim jest nadawanie upoważnień, wówczas również wobec np. audytorów wewnętrznych, sędziów czy ławników może być podjęty taki środek, niezależnie od tego, że uprawnienie tych osób do dostępu do wszelkich danych osobowych niezbędnych dla potrzeb prowadzonych postępowań lub czynności gwarantują im właściwe ustawy. Administrator nie musi stosować w tym zakresie jednakowej metody wobec wszystkich grup pracowników, musi jednak być w stanie wykazać, że każda osoba, która przetwarza dane osobowe, działa na jego polecenie.