Prezes UODO odnosi się do zmian przepisów w ramach tzw. deregulacji

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski odniósł się do propozycji zmian przepisów ustawy Kodeks pracy, ustawy o badaniach klinicznych produktów leczniczych oraz ustawy o ochronie sygnalistów. Zmiany dotyczą rezygnacji z pisemnej formy upoważnień do przetwarzania danych osobowych, wydawanych przez administratorów danych.

Prezes UODO odpowiedział Ministrowi nadzoru nad wdrażaniem polityki rządu, przewodniczącemu Komitetu Stałego Rady Ministrów Maciejowi Berkowi w sprawie dotyczącej planowanych zmian w przepisach ustawy Kodeks pracy, ustawy o badaniach klinicznych produktów leczniczych oraz ustawy o ochronie sygnalistów. Propozycja takich zmian została przedstawiona przez Kancelarię Prezesa Rady Ministrów Prezesowi UODO do zaopiniowania.

Prezes Urzędu zaznaczył, że obowiązkiem każdego administratora jest zapewnienie, aby osoba fizyczna, która działa z upoważnienia administratora (oraz podmiotu przetwarzającego), mająca dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora. To administrator określa krąg osób, które mają dostęp do danych i dalszych form ich przetwarzania, a zatem to on zapewnia stopień bezpieczeństwa ochrony danych osobowych.

Brak wymogu sformalizowanej konstrukcji pisemnej upoważnienia

Prezes UODO zwraca równocześnie uwagę, że art. 29 rozporządzenia 2016/679 (RODO) nie wymaga sformalizowanej konstrukcji pisemnej upoważnienia, wydawanego przez administratorów jako warunku dopuszczenia osoby do przetwarzania danych osobowych. Forma wyznaczenia przez administratora dostępu do danych czy systemów, w których są one przetwarzane, nie została precyzyjnie określona w przepisach RODO. Prawodawca wymaga faktycznego podnoszenia standardu ochrony danych, co oznacza, że administrator wykazuje prawidłowe wykonywanie obowiązków wynikających z przepisów RODO, w tym obowiązek upoważnienia do przetwarzania danych osobowych w odpowiednim zakresie – należy to do jego obowiązku stosowania zasady rozliczalności (art. 5 ust. 2 RODO).

Pisemne upoważnienia są nadmiarowe

Jak doprecyzowuje Prezes UODO, rozwiązaniami nadmiarowymi są regulacje krajowe zawierające w wielu aktach prawnych obowiązek udzielania pisemnych upoważnień do przetwarzania. Pisemne upoważnienie nie jest bowiem środkiem wymaganym przez rozporządzenie o ochronie danych osobowych. Upoważnienia do przetwarzania danych stanowią formę zabezpieczenia m.in. praw podstawowych i interesów osoby, której dane dotyczą, ale to administrator, który rezygnuje z pisemnej formy upoważnienia w myśl zasady rozliczalności, powinien być w stanie wykazać, że upoważnienia zostały nadane i istnieje rzeczywista kontrola sprawowana przez osoby uprawnione nad danymi osobowymi.

Ocena skutków dla ochrony danych

W opinii Prezesa Urzędu Ochrony Danych Osobowych prawodawca zaś, mający za cel deregulację, powinien rozważyć przeprowadzenie testu prywatności w procesie tworzenia prawa, w tym oceny skutków dla ochrony danych (art. 25 ust. 1 RODO oraz art. 35). Konsekwencją takiej analizy powinno być odzwierciedlenie projektowanych zmian w obowiązującym porządku prawnym. I jeżeli mocą zakładanych regulacji miałyby być wskazane dodatkowe zabezpieczenia dla ochrony danych, to należy je wskazać konkretnie w przepisie prawa powszechnie obowiązującego.

Prezes UODO jednocześnie podziękował za przedstawienie rozważanych zmian prawnych do zaopiniowania Urzędowi.

DPNT.401.329.2025