Czasem administrator może mieć wątpliwość, czy chcąc zalegalizować ujawnienia danych innej osobie powinien skorzystać z instytucji powierzenia czy upoważnienia do przetwarzania danych. Aby to rozstrzygnąć należy odpowiedzieć sobie na pytanie po co jest instytucja powierzenia.
Cel powierzenia
Jej celem jest zwiększenie bezpieczeństwa osób, których dane dotyczą, ponieważ administrator tracąc kontrolę nad danymi, musi zadbać o to aby po pierwsze tę kontrolę przejął wiarygodny procesor, a ponadto zawierając z nim umowę powierzenia skłania go do zapoznania się z jej treścią, przez co przynajmniej podejmuje starania, aby procesor zapoznał się ze swoimi prawami i obowiązkami wynikającymi z zastosowania instytucji powierzenia, która jest niezależna od woli stron, w tym sensie, że po spełnieniu odpowiednich przesłanek, ma zastosowanie na podstawie art. 28 rodo, niezależnie od tego czy administrator i procesor podpisali jakąkolwiek umowę.
Utrata kontroli przyczyną powierzenia
Art. 28 rodo zawiera szereg obligatoryjnych postanowień, które są przewidziane na okoliczność utraty kontroli nad danymi przez administratora. Instytucja ta nie przystaje do sytuacji gdy administrator nadal ma kontrolę nad danymi, a jedynie ujawnia te dane doraźnie innej osobie, w ramach swojej infrastruktury technicznej i organizacyjnej (np. dopuszcza informatyka, który w lokalu i na komputerze administratora dokonuje pewnych czynności serwisowych, mając na tę potrzebę dostęp do danych osobowych). Art. 28 rodo zakłada, że administrator utraci władztwo nad danymi z tego względu, że powierzy całość lub część procesu (poszczególne operacje) innemu podmiotowi (powierzenie dotyczy procesu (motyw 81), tylko potocznie mówimy o powierzeniu danych, które są z tego powodu ujawniane).
Pracownik innej firmy działa na upoważnieniu
Stąd aby doszło do powierzenia, proces wraz z danymi muszą wyjść spod kontroli administratora, do podmiotu który będzie realizował jego cel, zwykle na podstawie umowy o świadczenie usług. Nie ulega wątpliwości, że nie dochodzi do powierzenia jeśli u administratora czynność doraźną wykonuje jednoosobowy przedsiębiorca, natomiast pewien dylemat może zrodzić sytuacja, gdy stroną umowy o świadczenie usług jest osoba prawna, która wysyła do administratora swojego pracownika. Moim zdaniem w takim przypadku, ponieważ o zastosowaniu instytucji powierzenia decyduje stan faktyczny, którego tylko fragmentem jest zawarta między stronami umowa główna, należy uznać że w takim wypadku nie ma podstaw do przyjęcia powierzenia, ponieważ nie jest spełniona podstawowa potrzeba uzasadniająca zastosowanie tej instytucji – administrator nie traci kontroli nad danymi. Powinien jedynie upoważnić osobę, którą dopuszcza do danych, a ponieważ jest to dopuszczenie doraźne, a obecny stan prawny nie nakazuje dokumentowania upoważnienia (inkorporowania czynności prawnej upoważniającej w dokumencie) do przetwarzania danych, to upoważnienie może mieć postać dorozumianą. Chociaż w celu podniesienia bezpieczeństwa i dla sprostania wymogom rozliczalności, warto odnotować, kto miał dostęp do danych i z jakiego powodu. Upoważnienie też jest instrumentem służącym zwiększeniu bezpieczeństwa osób, których dane dotyczą, ale jest to instrument „słabszy” w porównaniu do powierzenia. Zwłaszcza podmiot, który przetwarza dane osobowe jako procesor powinien zadbać o wydanie dokumentu upoważnienia pracownikowi wraz ze zobowiązaniem do zachowania tajemnicy, bowiem o konieczności zobowiązania pracownika do zachowania tajemnicy przesądza art. 28 ust. 3 lit. b rodo.
Zarząd nie potrzebuje upoważnienia
Administrator może mieć również inną wątpliwość. Kto ma upoważnić do przetwarzania danych jego zarząd, jeśli jest osobą prawną. W takiej sytuacji należy przyjąć, że obowiązek upoważnienia nie powstaje, nie ma bowiem powodu aby administrator upoważniał sam siebie. Zarząd jako organ, stanowi integralny składnik osobowości osoby prawnej, a wiec jest częścią osoby prawnej i nie zmienia tego fakt, że członka zarządu z administratorem może łączyć obok stosunku korporacyjnego również stosunek pracy czy zobowiązaniowy. Wynika to wprost z kodeksu cywilnego: „Art. 38. Osoba prawna działa przez swoje organy w sposób przewidziany w ustawie i w opartym na niej statucie.”