Resort cyfryzacji kończy prace nad projektem ustawy o ochronie danych osobowych. Jak zapowiedział dr Maciej Kawecki, koordynator reformy, zdecydowano się częściowo uwzględnić propozycje Ministerstwa Rozwoju i zwolnić firmy MŚP z niektórych obowiązków wynikających z unijnego rozporządzenia o ochronie danych. Chodzi przede wszystkim o wyłączenie art. 13 RODO, który nakazuje informować klientów, kto będzie administratorem ich danych, jak się z nim skontaktować czy też w jakim celu dane są zbierane i na jakiej podstawie prawnej. Zgodnie z planowanym wyłączeniem polscy konsumenci nie dowiedzą się również o planowanym czasie przechowywania danych, ani o tym, że mają prawo do ich wglądu, korekty czy też przeniesienia.

Ministerstwo Cyfryzacji tłumaczy wprowadzenie tych wyłączeń chęcią odciążenia mniejszych przedsiębiorców od nadmiernych wymagań.

– Na poniedziałkowej konferencji podsumowującej konsultacje społeczne jedna z osób zapytała, w jaki sposób przedsiębiorca ma zrealizować bardzo długi obowiązek informacyjny, zawierający ogrom treści prawnych, jeżeli dane przekazywane są podczas krótkiej rozmowy telefonicznej z centrum obsługi klienta. Takich wątpliwości jest dużo i one, jak rozumiem, zainspirowały MR, a w konsekwencji MC do wprowadzenia zmian – tłumaczy dr Kawecki, zaznaczając, że jego zdaniem chodzi o stosunkowo niewielką grupę przedsiębiorców. Z wyłączeń skorzystają bowiem ci, którzy zatrudniają mniej niż 250 pracowników, nie przetwarzają danych wrażliwych (np. zdrowotnych) i nie udostępniają danych podmiotom trzecim.

Patrząc na dane Polskiej Agencji Rozwoju Przedsiębiorczości, okazuje się jednak, że w rzeczywistości wyłączenia obejmą zdecydowaną większość polskich firm. Aż 99,8 proc. zatrudnia bowiem mniej niż 250 osób.

RODO w art. 23 pozwala państwom członkowskim na ograniczenie niektórych obowiązków związanych z przetwarzaniem danych osobowych. Zdaniem dr Edyty Bielak-Jomaa, generalnego inspektora ochrony danych osobowych, zaproponowane wyłączenie jest jednak zbyt szerokie.

– Jeśli już w prawie krajowym wprowadza się ograniczenie, to w odpowiednim przepisie trzeba określić m.in. cele przetwarzania, kategorie danych, zakres wprowadzonych ograniczeń, zabezpieczenia zapobiegające nadużyciom lub niezgodnemu z prawem dostępowi bądź przekazywaniu, zasady przechowywania itd. Podkreślić przy tym należy, że art. 23 RODO mówi o ograniczeniach, a nie o wyłączeniach – przekonuje GIODO.

– Poza tym, mamy chronić dane osobowe, a nie wyłączać tę ochronę. Rozumiem, że należy mieć na względzie rozwiązania probiznesowe, ale każde wyłączenie stosowania RODO powinno wskazywać wartość, która uzasadnia ograniczenie podstawowych praw obywateli, jakimi są prawo do prywatności i ochrony danych osobowych. Zresztą, wydaje się, że RODO zapewnia właściwy balans pomiędzy prawami przedsiębiorców a prawami podmiotów danych, a proponowane rozwiązania tę równowagę naruszają – i to na niekorzyść obywateli – dodaje.

Zapytani przez „DGP” prawnicy nie mają wątpliwości, że proponowane przepisy zostaną uznane przez Komisję Europejską za niezgodne z RODO.

Więcej w Dzienniku Gazecie Prawnej z 17 stycznia 2018 r.