Właśnie taki przykład daje korespondencja pomiędzy Ministrem Maciejem Berką, przewodniczącym Komitetu Stałego Rady Ministrów, a Prezesem Urzędu Ochrony Danych Osobowych Mirosławem Wróblewskim.
Sprawa dotyczy pozornie wąskiej kwestii – obowiązku udzielania pisemnych upoważnień do przetwarzania danych osobowych w Kodeksie pracy, ustawie o badaniach klinicznych produktów leczniczych oraz w ustawie o ochronie sygnalistów. W praktyce jednak chodzi o ważną zasadę: jak daleko powinien sięgać formalizm w ochronie danych i gdzie kończy się sensowna regulacja, a zaczyna przerost biurokracji.
UODO: pisemne upoważnienia to nadmiar
Prezes UODO przypomniał, że przepisy RODO (konkretnie art. 29) wcale nie wymagają pisemnych upoważnień dla osób dopuszczanych do danych. Regulacja unijna nakłada na administratora obowiązek wyznaczenia kręgu osób, które mogą przetwarzać dane, i zapewnienia nad tym realnej kontroli. To administrator ponosi odpowiedzialność i to on ma wykazać – w ramach zasady rozliczalności – że obowiązki wynikające z RODO są prawidłowo wykonywane.
Sprawdź polecane oferty
RRSO 20,77%
W tym świetle wymóg pisemnych upoważnień, rozsiany w różnych polskich ustawach, staje się czymś dodatkowym, a często zbędnym. Takie formalizmy nie podnoszą poziomu ochrony danych, a generują jedynie dokumentację. W praktyce oznacza to czas, papier i procedury, które często nikomu realnie nie służą.
Kierunek: deregulacja, ale z głową
Co istotne, Prezes UODO nie poprzestał na samym „tak” lub „nie” wobec planowanych zmian. Wskazał, że proces legislacyjny powinien być oparty o rzetelną analizę skutków dla prywatności – tzw. test prywatności. Jeżeli zmiana miałaby osłabiać ochronę danych, to należy zapisać wprost dodatkowe gwarancje w ustawie. Jeśli natomiast ogranicza zbędne wymogi, nie może to prowadzić do faktycznego poluzowania standardów bezpieczeństwa. To podejście świadczy o odpowiedzialności i dojrzałości – nie wystarczy machnąć ręką na formalizm, trzeba równolegle zadbać o realne zabezpieczenia.
Legislacyjna kultura wyższej próby
Najciekawsze w całej sprawie nie jest jednak samo meritum, ale sposób prowadzenia dialogu. Kancelaria Premiera nie zdecydowała się na szybki tryb i nagłe zmiany, ale skierowała projekt do opinii organu, który stoi na straży danych osobowych. Prezes UODO nie tylko ocenił propozycje, ale też podziękował za możliwość zabrania głosu. W świecie, w którym prawo bywa tworzone pod presją chwili i bez konsultacji z praktyką, takie działanie brzmi... nietypowo. I chyba głównie dlatego o tej sprawie piszemy.
Trudno nie zauważyć, że właśnie na tym polega wysoka kultura legislacyjna. Państwo nie jest od tego, żeby zalewać obywateli kolejnymi formularzami i podpisami. Ma natomiast obowiązek pytać ekspertów i instytucje nadzorcze o zdanie – zanim zmieni przepisy, które później przez lata będą stosowane przez pracodawców, lekarzy czy sygnalistów.
Jeżeli proponowane zmiany wejdą w życie, praktyka wielu instytucji stanie się prostsza
Pracodawcy czy ośrodki badań klinicznych będą mogli zarządzać upoważnieniami elektronicznie, w procedurach wewnętrznych, bez konieczności gromadzenia kolejnych segregatorów podpisanych kartek. To z kolei lepiej wpisuje się w logikę RODO, które nie wymaga papierologii, lecz faktycznego bezpieczeństwa i kontroli.
Kluczowe będzie, aby ustawodawca nie poprzestał na usunięciu wymogu pisemności, ale konsekwentnie stosował zasadę testu prywatności w każdym procesie legislacyjnym dotyczącym danych. Tylko w ten sposób unikniemy sytuacji, w której za kilka lat pojawi się nowy „martwy” obowiązek – wymuszony przez brak refleksji nad konsekwencjami regulacji.
