Czy osoba prowadząca jednoosobową działalność gospodarczą będąca jednocześnie podmiotem przetwarzającym (procesorem) poza zawarciem umowy powierzenia przetwarzania danych osobowych powinna otrzymać również upoważnienie do przetwarzania wydane przez administratora?

Zarówno upoważnienie do przetwarzania danych osobowych jak i umów powierzenia przetwarzania danych osobowych reguluje kwestię wykonywania czynności w imieniu Administratora danych osobowych. Stosowanie zatem dwóch środków jednocześnie byłoby niepoprawne.

Uzasadnienie

Interpretując przepisy Rozporządzenia Parlamentu Europejskiego i  Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w  związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1), należy wskazać, że dostęp do przetwarzanych danych osobowych powinien być kontrolowany przez Administratora. Tym samym Administrator powinien zapewnić, odpowiedni środek pozwalający przetwarzać osobom dane osobowe w jego imieniu.

W przypadku współpracy z osobami na umowach cywilnoprawnych (w tym na samozatrudnieniu), o tym czy należy wydać upoważnienie czy też podpisać umowę powierzenia decyduje charakter świadczonych prac bądź usług. Jeśli, w dużym uproszczeniu, osoba pracuje tak jak pracownik zatrudniony na umowie o pracę tj. np. wyłącznie w miejscu wskazanym przez Administratora, na jego sprzęcie, zasobach, to można uregulować stosunek upoważnieniem, nie zaś umową powierzenia. Przy wykorzystaniu takiego rozwiązania, należy dobrze określić czy aby na pewno z charakteru wykonywanych obowiązków przez taką osobę wynika możliwość uregulowania jej pracy za pośrednictwem upoważnienia.