Małe i średnie przedsiębiorstwa jednak nie unikną konieczności informowania swoich klientów o tym, jak przetwarzają ich dane osobowe.

Po tekstach DGP Ministerstwo Cyfryzacji wycofało się z planu całkowitego wyłączenia większości polskich firm z kluczowych obowiązków wynikających z unijnego rozporządzenia o ochronie danych (RODO). Pierwotnie koordynator reformy dr Maciej Kawecki zaproponował w projekcie polskiej ustawy wdrażającej europejskie przepisy, aby sektor MŚP oraz mikroprzedsiębiorcy w ogóle nie musieli komunikować klientom, kto będzie administratorem ich danych, w jakim celu są zbierane, jak długo będą przechowywane i kto może mieć do nich wgląd. Innymi słowy, chodziło o odciążenie tych firm z obowiązków informacyjnych przewidzianych w art. 13 RODO, które zdaniem resortu byłyby dla nich nadmierne.

Fala krytyki

Praktycy, organizacje pozarządowe oraz generalny inspektor danych osobowych zareagowali na pomysły blankietowych wyłączeń stanowczym sprzeciwem. Doktor Edyta Bielak-Jomaa pełniąca funkcję GIODO stwierdziła, że unijne rozporządzenie dopuszcza pewne ograniczenia, ale już nie wyjątki praktycznie wyłączające ochronę danych osobowych. Eksperci podkreślali też, że zluzowanie mniejszych przedsiębiorców od niektórych obowiązków informacyjnych wchodzi w grę, ale musi to mieć charakter punktowy.

W następstwie tej fali krytyki twórcy projektu zdecydowali się znacząco złagodzić swoją początkową propozycję. W wydanym wczoraj komunikacie Ministerstwo Cyfryzacji (po uzgodnieniach z nowym resortem przedsiębiorczości i technologii) poinformowało, że firmy zatrudniające mniej niż 250 pracowników, które nie przetwarzają danych wrażliwych ani nie udostępniają danych innym podmiotom, miałyby zostać wyłączone jedynie ze stosowania art. 13 ust. 2 unijnego rozporządzenia. Oznacza to, że małe i średnie przedsiębiorstwa nie musiałyby dostarczać swoim klientom informacji m.in. na temat:

  • okresu, przez który ich dane osobowe będą przechowywane,
  • prawa żądania od administratora dostępu do swoich danych, możliwości ich sprostowania, usunięcia czy ograniczenia przetwarzania,
  • prawa do cofnięcia zgody na przetwarzanie w dowolnym momencie,
  • prawa do wniesienia skargi,
  • profilowania klienta.

Krok w dobrym kierunku

Eksperci oceniają najnowszą propozycję resortu jako krok w dobrym kierunku, ale wciąż widzą spore pole do korekt. – Jeżeli zbiera się zgody na przetwarzanie danych osobowych, to na gruncie RODO trzeba poinformować o tym, że można tę zgodę wycofać. W przeciwnym razie zgoda będzie nieważna. Zwracali na to uwagę zarówno GIODO, jak i grupa robocza art. 29 – podkreśla dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.

Pozostałe wyłączenia również budzą zastrzeżenia.

– Automatyczne podejmowanie decyzji w oparciu o profilowanie jest z punktu widzenia klientów ryzykowną praktyką. Dlatego informowanie o niej powinno być niepodważalnym standardem. Informacja na ten temat powinna przynajmniej znaleźć się w polityce prywatności na stronie internetowej – przekonuje Katarzyna Szymielewicz z Fundacji Panoptykon. – Rezygnacja z obowiązków informacyjnych może, wbrew intencjom rządu, negatywnie wpłynąć na małe i średnie firmy: osłabić zaufanie ze strony klientów, sprowokować dodatkowe zapytania czy nawet skargi do organu nadzorczego. A każda kontrola pociągnie za sobą duże koszty prawne – dodaje ekspertka.

Jej zdaniem ministerstwo, zamiast mocno ograniczać obowiązki dla małych i średnich przedsiębiorców, powinno wspierać cały sektor w ich realizacji. Ale akurat w tej kwestii żadnych rozwiązań na razie nie zaproponowano.