Ministerstwo Cyfryzacji, które pracuje nad projektem nowej ustawy o ochronie danych osobowych, postanowiło uwzględnić propozycje resortu rozwoju i zwolnić mikro-, małych i średnich przedsiębiorców z niektórych obowiązków. Nie będą oni musieli wskazywać, kto jest administratorem danych, w jakim celu są one zbierane, przez jaki czas będą przechowywane, a nawet informować o tym, że doszło do ich wycieku. GIODO i eksperci alarmują: to oznacza mniejszą ochronę konsumentów. I jest bardzo prawdopodobne, że zostanie zakwestionowane przez Komisję Europejską.

Resort rozwoju argumentuje, że celem zmian jest odciążenie mniejszych firm. Taryfa ulgowa dotyczyć ma tylko przedsiębiorstw, które zatrudniają mniej niż 250 osób, które nie przetwarzają danych wrażliwych i nie przekazują danych podmiotom trzecim. Problem w tym, że warunek ten spełnia zdecydowana większość polskich firm, choćby niemal cała branża handlu elektronicznego. Ze zwolnienia skorzysta też większość usługodawców, którym podajemy swe dane, np. warsztaty samochodowe.

Na poniedziałkowej konferencji podsumowującej konsultacje społeczne jedna z osób zapytała, w jaki sposób przedsiębiorca ma zrealizować bardzo długi obowiązek informacyjny, zawierający ogrom treści prawnych, jeżeli dane przekazywane są podczas krótkiej rozmowy telefonicznej z centrum obsługi klienta. Takich wątpliwości jest dużo i one, jak rozumiem, zainspirowały MR, a w konsekwencji MC do wprowadzenia zmian – tłumaczy dr Maciej Kawecki, koordynator reformy, zaznaczając, że jego zdaniem chodzi o stosunkowo niewielką grupę przedsiębiorców. Z wyłączeń skorzystają bowiem ci, którzy zatrudniają mniej niż 250 pracowników, nie przetwarzają danych wrażliwych (np. zdrowotnych) i nie udostępniają danych podmiotom trzecim.

Patrząc na dane Polskiej Agencji Rozwoju Przedsiębiorczości, okazuje się jednak, że w rzeczywistości wyłączenia obejmą zdecydowaną większość polskich firm. Aż 99,8 proc. zatrudnia bowiem mniej niż 250 osób.

Zbyt duży wyłom

RODO w art. 23 pozwala państwom członkowskim na ograniczenie niektórych obowiązków związanych z przetwarzaniem danych osobowych. Zdaniem dr Edyty Bielak-Jomaa, generalnego inspektora ochrony danych osobowych, zaproponowane wyłączenie jest jednak zbyt szerokie.

Jeśli już w prawie krajowym wprowadza się ograniczenie, to w odpowiednim przepisie trzeba określić m.in. cele przetwarzania, kategorie danych, zakres wprowadzonych ograniczeń, zabezpieczenia zapobiegające nadużyciom lub niezgodnemu z prawem dostępowi bądź przekazywaniu, zasady przechowywania itd. Podkreślić przy tym należy, że art. 23 RODO mówi o ograniczeniach, a nie o wyłączeniach - przekonuje GIODO.

Poza tym, mamy chronić dane osobowe, a nie wyłączać tę ochronę. Rozumiem, że należy mieć na względzie rozwiązania probiznesowe, ale każde wyłączenie stosowania RODO powinno wskazywać wartość, która uzasadnia ograniczenie podstawowych praw obywateli, jakimi są prawo do prywatności i ochrony danych osobowych. Zresztą, wydaje się, że RODO zapewnia właściwy balans pomiędzy prawami przedsiębiorców a prawami podmiotów danych, a proponowane rozwiązania tę równowagę naruszają - i to na niekorzyść obywateli - dodaje.

Podobnie uważa Katarzyna Szymielewicz z Fundacji Panoptykon. Zwraca uwagę, że choć nowe przepisy miały wzmocnić prawa podmiotów danych, to w przypadku MŚP je zmniejszają.

Z punktu widzenia klientów to wyłączenie wprowadza zupełny zamęt w postrzeganiu ochrony danych: dlaczego firmy, które do tej pory standardowo informowały o przetwarzaniu danych, teraz nagle przestaną to robić? Czym się różnią firmy, które o tym informują, od tych, które tego nie robią? Kiedy mam prawo się skarżyć, a kiedy nie? - podaje przykłady pytań, na które większość klientów nie będzie potrafiła znaleźć odpowiedzi.

Niezgodne z RODO

Zapytani przez nas prawnicy nie mają wątpliwości, że proponowane przepisy zostaną uznane przez Komisję Europejską za niezgodne z RODO. Zgodnie z art. 23 ograniczenia nie mogą dotyczyć istoty prawa. A czymże jest wyłączenie całego obowiązku informacyjnego, jak nie dotknięciem istoty prawa, tu prawa do informacji - zauważa dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński i zwraca uwagę na dodatkowe zagrożenie. Żeby zgoda na przetwarzanie danych była ważna, musi być świadoma, a żeby była świadoma, powinna - zgodnie z motywem 42 preambuły do RODO - wskazywać co najmniej administratora danych i cel przetwarzania. Wyłączenie całego art. 13 w stosunku do MŚP spowoduje, że zgody zbierane przez ten sektor będą więc nieskuteczne z mocy prawa - przewiduje. Wyłączenia nie mogą dotyczyć istoty prawa, w tym wypadku prawa do informacji. Tymczasem nasz ustawodawca proponuje wyłączenie całego obowiązku informacyjnego – zauważa dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński. Na to Unia na pewno się nie zgodzi.

Zaznacza przy tym, że dostrzega potrzebę pewnego złagodzenia obowiązków ciążących na mniejszych firmach. Tyle że ewentualne wyłączenia powinny dotyczyć tylko wybranych informacji wskazanych w art. 13, a nie wszystkich jak leci.

Podobnego zdania jest Katarzyna Szymielewicz. Można rozmawiać o ograniczaniu obowiązku informacyjnego, ale tylko w konkretnych punktach i w kontekście takiej działalności biznesowej, która rzeczywiście niesie ze sobą niewielkie ryzyko dla osób fizycznych - przekonuje szefowa Panoptykonu.