Zdecydowana większość polskich firm nie będzie musiała informować klientów o tym, na jakich zasadach przetwarzają ich dane osobowe. Ministerstwo Cyfryzacji, które pracuje nad projektem nowej ustawy o ochronie danych osobowych, postanowiło uwzględnić propozycje resortu rozwoju i zwolnić mikro-, małych i średnich przedsiębiorców z niektórych obowiązków
To MŚP stanowią o sile polskiej gospodarki / Dziennik Gazeta Prawna

Nie będą oni musieli wskazywać, kto jest administratorem danych, w jakim celu są one zbierane, przez jaki czas będą przechowywane, a nawet informować o tym, że doszło do ich wycieku.

GIODO i eksperci alarmują: to oznacza mniejszą ochronę konsumentów. I jest bardzo prawdopodobne, że zostanie zakwestionowane przez Komisję Europejską.

Resort rozwoju argumentuje, że celem zmian jest odciążenie mniejszych firm. Taryfa ulgowa dotyczyć ma tylko przedsiębiorstw, które zatrudniają mniej niż 250 osób, które nie przetwarzają danych wrażliwych i nie przekazują danych podmiotom trzecim. Problem w tym, że warunek ten spełnia zdecydowana większość polskich firm, choćby niemal cała branża handlu elektronicznego. Ze zwolnienia skorzysta też większość usługodawców, którym podajemy swe dane, np. warsztaty samochodowe.

Eksperci nie sprzeciwiają się definitywnie wyłączeniom, ale uważają, że część z nich idzie zdecydowanie za daleko. W efekcie, zamiast zwiększyć ochronę konsumentów, zmniejszają ją.

– Obowiązek poinformowania osoby, której dane dotyczą, o celach i zakresie ich przetwarzania to fundament. Skąd mam wiedzieć, czy i co firma X z nimi robi i że mam jakieś prawa z tym związane, skoro nikt mnie o nich nie poinformował? – komentuje Katarzyna Szymielewicz z Fundacji Panoptykon.

Polska ustawa wdraża unijne rozporządzenie o ochronie danych osobowych (RODO). Rzeczywiście przewiduje ono możliwość wprowadzenia pewnych wyłączeń. Prawnicy nie mają jednak wątpliwości, że nasze są tak kontrowersyjne, że zostaną zaskarżone przez KE.

– Wyłączenia nie mogą dotyczyć istoty prawa, w tym wypadku prawa do informacji. Tymczasem nasz ustawodawca proponuje wyłączenie całego obowiązku informacyjnego – zauważa dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński. Na to Unia na pewno się nie zgodzi.

Resort cyfryzacji kończy prace nad projektem ustawy o ochronie danych osobowych. Jak zapowiedział dr Maciej Kawecki, koordynator reformy, zdecydowano się częściowo uwzględnić propozycje Ministerstwa Rozwoju i zwolnić firmy MŚP z niektórych obowiązków wynikających z unijnego rozporządzenia o ochronie danych (RODO). Chodzi przede wszystkim o wyłączenie art. 13 RODO, który nakazuje informować klientów, kto będzie administratorem ich danych, jak się z nim skontaktować czy też w jakim celu dane są zbierane i na jakiej podstawie prawnej. Zgodnie z planowanym wyłączeniem polscy konsumenci nie dowiedzą się również o planowanym czasie przechowywania danych, ani o tym, że mają prawo do ich wglądu, korekty czy też przeniesienia.
– Na poniedziałkowej konferencji podsumowującej konsultacje społeczne jedna z osób zapytała, w jaki sposób przedsiębiorca ma zrealizować bardzo długi obowiązek informacyjny, zawierający ogrom treści prawnych, jeżeli dane przekazywane są podczas krótkiej rozmowy telefonicznej z centrum obsługi klienta. Takich wątpliwości jest dużo i one, jak rozumiem, zainspirowały MR, a w konsekwencji MC do wprowadzenia zmian – tłumaczy dr Kawecki, zaznaczając, że jego zdaniem chodzi o stosunkowo niewielką grupę przedsiębiorców. Z wyłączeń skorzystają bowiem ci, którzy zatrudniają mniej niż 250 pracowników, nie przetwarzają danych wrażliwych (np. zdrowotnych) i nie udostępniają danych podmiotom trzecim.
Patrząc na dane Polskiej Agencji Rozwoju Przedsiębiorczości, okazuje się jednak, że w rzeczywistości wyłączenia obejmą zdecydowaną większość polskich firm. Aż 99,8 proc. zatrudnia bowiem mniej niż 250 osób.
Zbyt duży wyłom
RODO w art. 23 pozwala państwom członkowskim na ograniczenie niektórych obowiązków związanych z przetwarzaniem danych osobowych. Zdaniem dr Edyty Bielak-Jomaa, generalnego inspektora ochrony danych osobowych, zaproponowane wyłączenie jest jednak zbyt szerokie.
– Jeśli już w prawie krajowym wprowadza się ograniczenie, to w odpowiednim przepisie trzeba określić m.in. cele przetwarzania, kategorie danych, zakres wprowadzonych ograniczeń, zabezpieczenia zapobiegające nadużyciom lub niezgodnemu z prawem dostępowi bądź przekazywaniu, zasady przechowywania itd. Podkreślić przy tym należy, że art. 23 RODO mówi o ograniczeniach, a nie o wyłączeniach – przekonuje GIODO.
– Poza tym, mamy chronić dane osobowe, a nie wyłączać tę ochronę. Rozumiem, że należy mieć na względzie rozwiązania probiznesowe, ale każde wyłączenie stosowania RODO powinno wskazywać wartość, która uzasadnia ograniczenie podstawowych praw obywateli, jakimi są prawo do prywatności i ochrony danych osobowych. Zresztą, wydaje się, że RODO zapewnia właściwy balans pomiędzy prawami przedsiębiorców a prawami podmiotów danych, a proponowane rozwiązania tę równowagę naruszają – i to na niekorzyść obywateli – dodaje.
Podobnie uważa Katarzyna Szymielewicz z Fundacji Panoptykon. Zwraca uwagę, że choć nowe przepisy miały wzmocnić prawa podmiotów danych, to w przypadku MŚP je zmniejszają.
– Z punktu widzenia klientów to wyłączenie wprowadza zupełny zamęt w postrzeganiu ochrony danych: dlaczego firmy, które do tej pory standardowo informowały o przetwarzaniu danych, teraz nagle przestaną to robić? Czym się różnią firmy, które o tym informują, od tych, które tego nie robią? Kiedy mam prawo się skarżyć, a kiedy nie? – podaje przykłady pytań, na które większość klientów nie będzie potrafiła znaleźć odpowiedzi.
Niezgodne z RODO
Zapytani przez nas prawnicy nie mają wątpliwości, że proponowane przepisy zostaną uznane przez Komisję Europejską za niezgodne z RODO.
– Zgodnie z art. 23 ograniczenia nie mogą dotyczyć istoty prawa. A czymże jest wyłączenie całego obowiązku informacyjnego, jak nie dotknięciem istoty prawa, tu prawa do informacji – zauważa dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński i zwraca uwagę na dodatkowe zagrożenie. – Żeby zgoda na przetwarzanie danych była ważna, musi być świadoma, a żeby była świadoma, powinna – zgodnie z motywem 42 preambuły do RODO – wskazywać co najmniej administratora danych i cel przetwarzania. Wyłączenie całego art. 13 w stosunku do MŚP spowoduje, że zgody zbierane przez ten sektor będą więc nieskuteczne z mocy prawa – przewiduje.
Zaznacza przy tym, że dostrzega potrzebę pewnego złagodzenia obowiązków ciążących na mniejszych firmach. Tyle że ewentualne wyłączenia powinny dotyczyć tylko wybranych informacji wskazanych w art. 13, a nie wszystkich jak leci.
Podobnego zdania jest Katarzyna Szymielewicz. – Można rozmawiać o ograniczaniu obowiązku informacyjnego, ale tylko w konkretnych punktach i w kontekście takiej działalności biznesowej, która rzeczywiście niesie ze sobą niewielkie ryzyko dla osób fizycznych – przekonuje szefowa Panoptykonu.
Projekt nowej ustawy zakłada również zwolnienie MŚP z obowiązku informowania klientów o naruszeniu ich praw (np. o wycieku danych). Do tego wyłączenia eksperci mają mniejsze zastrzeżenia, tym bardziej że przedsiębiorcy będą musieli przekazać informacje o wycieku prezesowi UODO.
Etap legislacyjny
Projekt po konsultacjach