Projekt ustawy o ochronie danych osobowych niezgodny z RODO?

Według projektu nowej ustawy o ochronie danych osobowych zdecydowana większość polskich firm nie będzie musiała informować klientów o tym, na jakich zasadach przetwarzają ich dane. Czy to oznacza ich jeszcze gorszą ochronę niż dziś?

Ministerstwo Cyfryzacji, pracujące nad projektem nowej ustawy o ochronie danych osobowych, postanowiło uwzględnić propozycje resortu rozwoju i zwolnić mikro-, małych i średnich przedsiębiorców z niektórych obowiązków. Przede wszystkim nie będą oni musieli wskazywać, kto jest administratorem danych, w jakim celu są one zbierane, przez jaki czas będą przechowywane. Nie będzie też konieczności informowania o tym, że doszło do ich wycieku.

GIODO i eksperci alarmują: to oznacza mniejszą ochronę konsumentów. I jest bardzo prawdopodobne, że ustawa o danych osobowych zostanie zakwestionowana przez Komisję Europejską.

Resort rozwoju argumentuje, że celem zmian jest odciążenie mniejszych firm. Wyłączenia mają dotyczyć tylko przedsiębiorstw, które zatrudniają mniej niż 250 osób. Takich, które nie przetwarzają danych wrażliwych i nie przekazują danych podmiotom trzecim. Problem w tym, że warunek ten spełnia zdecydowana większość polskich firm. Odnosi się to choćby niemal do całej branży handlu elektronicznego. Ze zwolnienia skorzysta też większość usługodawców, którym podajemy swoje dane osobowe. Do takich usługodawców zaliczamy serwisy sprzętów elektronicznych.

Sama taryfa ulgowa dla mniejszych przedsiębiorców jest przez RODO dozwolona. W wersji zaproponowanej przez Ministerstwo Cyfryzacji wzbudza jednak kontrowersje. W efekcie, ochrona konsumentów może być nawet mniejsza niż dotychczas.

Polska ustawa wdraża unijne rozporządzenie o ochronie danych osobowych (RODO). Rzeczywiście przewiduje ono możliwość wprowadzenia pewnych wyłączeń (art. 23). Jednak zdaniem dr Edyty Bielak-Jomaa, generalnego inspektora ochrony danych osobowych, zaproponowane wyłączenie jest jednak zbyt szerokie. Prawnicy również nie mają wątpliwości, iż wyłączenia są kontrowersyjne. Spodziewać się zatem można interwencji Komisji Europejskiej.

Zbyt duży zasięg wyłączenia?

Jak zapowiedział dr Maciej Kawecki, koordynator reformy, zdecydowano się częściowo uwzględnić propozycje Ministerstwa Rozwoju i zwolnić MŚP (małe bądź średnie przedsiębiorstwa) z niektórych obowiązków wynikających z RODO. Chodzi przede wszystkim o wyłączenie z  ustawy art. 13 RODO. Artykuł ten nakazuje informowanie klientów, kto będzie administratorem ich danych osobowych, jak się z nim skontaktować czy też w jakim celu dane są zbierane i na jakiej podstawie prawnej. Zgodnie z planowanym wyłączeniem polscy konsumenci nie dowiedzą się również o planowanym czasie przechowywania danych. Nie będą również świadomi tego, że mają prawo do ich wglądu, korekty czy też przeniesienia. Ministerstwo Cyfryzacji tłumaczy wprowadzenie tych wyłączeń chęcią odciążenia mniejszych przedsiębiorców od nadmiernych wymagań.

Patrząc na dane Polskiej Agencji Rozwoju Przedsiębiorczości, okazuje się jednak, że w rzeczywistości wyłączenia obejmą zdecydowaną większość polskich firm. Mowa tutaj bowiem o 99,8 proc. zatrudniających mniej niż 250 osób.

 – Jeśli już w prawie krajowym wprowadza się ograniczenie, to w odpowiednim przepisie trzeba określić m.in. cele przetwarzania, kategorie danych, zakres wprowadzonych ograniczeń, zabezpieczenia zapobiegające nadużyciom lub niezgodnemu z prawem dostępowi bądź przekazywaniu, zasady przechowywania itd. Podkreślić przy tym należy, że art. 23 RODO mówi o ograniczeniach, a nie o wyłączeniach. – przekonuje GIODO. Poza tym, mamy chronić dane osobowe, a nie wyłączać tę ochronę. Rozumiem, że należy mieć na względzie rozwiązania probiznesowe, ale każde wyłączenie stosowania RODO powinno wskazywać wartość, która uzasadnia ograniczenie podstawowych praw obywateli. Do takich praw zalicza się prawo do prywatności i ochrony danych osobowych. Zresztą, wydaje się, że RODO zapewnia właściwy balans pomiędzy prawami przedsiębiorców a prawami podmiotów danych. Proponowane rozwiązania natomiast tę równowagę naruszają na niekorzyść obywateli – dodaje.

Ustawa niezgodna z RODO?

Rozporządzenie ogólne o ochronie danych osobowych obowiązywać zacznie 25 maja 2018 r., zastępując dotychczasową ustawę regulującą tę materię. W zamyśle miało standaryzować ochronę danych na terenie całej Unii i zapewnić jej wyższy poziom. Obowiązek poinformowania osoby, której dane dotyczą, o celach, zakresie ich przetwarzania i czasie, przez który będą przechowywane to jedne z najistotniejszych kwestii, które RODO miało gwarantować. Przez to prawdopodobne jest jednak uznanie przez Komisję Europejską polskiego projektu nowej ustawy o ochronie danych osobowych za niezgodną z RODO. Z art. 23 wynika, iż ograniczenia nie mogą dotyczyć istoty prawa. Wyłączenie natomiast tak licznej grupy przedsiębiorców z obowiązków dotyczących nakazywanych przez RODO może przynieść negatywne skutki. Może bowiem  doprowadzić to do sytuacji, iż dane osobowe będą mniej chronione niż dziś.