Kpiny z ochrony danych osobowych w Polsce, wystarczy stać się „małą firmą”

Od niemal roku prowadzone są w Polsce prace legislacyjne naddostosowaniem rodzimego prawa do wymogów unijnego rozporządzenia oochronie danych osobowych, znanego jako GDPR/RODO. Prowadzące jeMinisterstwo Cyfryzacji stworzyło roboczy projekt ustawy w duchu iliterze odpowiadający unijnej dyrektywie. I wszystko by toczyło sięzgodnie z tymi założeniami, tak by już w tym roku objąć daneosobiste szczególną ochroną, gdyby nie interwencja MinisterstwaRozwoju. Wprowadzone na etapie uzgodnień międzyresortowych zmianyznacznie odciążą małe i średnie firmy… a także wielkiekorporacje, jeśli zdołają odpowiednio się przedstawićregulatorom.

Wysłany w październiku zeszłego roku dokumentdo ówczesnej minister cyfryzacji Anny Streżyńskiej przypomina omożliwości ograniczenia zakresu obowiązków i praw wprowadzanychprzez RODO, jeżeli jest to niezbędne i proporcjonalne do ochronym.in. ważnych celów leżących w ogólnym interesie publicznympaństwa członkowskiego, w szczególności ważnego interesugospodarczego lub finansowego państwa członkowskiego. Kierującsię tą przesłanką Ministerstwo Rozwoju zaproponowało, byograniczyć obowiązki narzucone przez art. 34 RODO wobecprzedsiębiorców, którzy zatrudniają na umowie o pracę nie więcejniż 250 osób i nie przetwarzają szczególnych kategorii danychosobowych, takich jak dane biometryczne czy genetyczne, a pozostałychdanych nie przetwarzają na dużą skalę.

Art. 34 RODO wprowadza obowiązek informowania podmiotów, którychdane są przetwarzane o naruszeniu ochrony danych, czyli mówiąc poludzku, o wycieku. Administrator ma jasnym i prostym językiemprzedstawić charakter naruszenia i przedstawić informacje i środkipozwalające ograniczyć zagrożenie. Obowiązek jest jednak uchylanyw wielu wypadkach, np. jeśli jego dopełnienie wymagałoby*niewspółmierne dużego wysiłku,lub też administrator wdrożył odpowiednie środkitechniczne i organizacyjne (…) takie jak szyfrowanie,uniemożliwiające odczyt osobom nieuprawnionym (…). *

Wynika z tego, że RODOdalekie jest od gnębienia przedsiębiorców straszliwymi obowiązkami– wystarczy w bazie trzymać hasze haseł zamiast haseł i jużśrodki techniczne są wdrożone, więc jest powód, by nietrzeba było informować. Przecież typowy ustawodawca nie rozumie,jak działają tęczowe tablice. Jednak i te uchylenia obowiązkuokazały się zbyt przykre dla rządowych legislatorów.

Widać to jużbyło po restrukturyzacji rządu, gdy Ministerstwo Cyfryzacjiosobiście przejął premier Morawiecki. Zaproponowano wówczas byfirmy zatrudniające do 250 osób zwolniono z obowiązkuprzedstawiania danych o administratorze przetwarzanych danychosobowych oraz celach tego przetwarzania. Miało to obniżyć kosztyadministracyjne firm.

Dalsze prace legislacyjne podążały w tym samym duchu, twórczorozwijając propozycje Ministerstwa Rozwoju. Na stronach RządowegoCentrum Legislacyjnego znaleźć można lutowyprojekt ustawy o ochronie danych osobowych, który wprowadzauchylenia licznych obowiązków związanych z ochroną danych, międzyinnymi informowania o okresie przechowywania danych, informowania ostosowanych zabezpieczeniach i dostarczania na żądanie kopiiprzetwarzanych danych, oraz powiadamiania o sprostowaniu i usuwaniudanych osobowych lub ograniczeniach ich przetwarzania.

Co szczególnie istotne, i w tym wypadku jako kryterium uchyleniaobowiązku zastosowano nie skalę przetwarzania danych, lecz wielkośćfirmy, mierzoną liczbą zatrudnionych pracowników. Wystarczyzatrudniać nie więcej niż 249 osób, a przetwarzać daneużytkowników możesz śmiało i bez żadnych obowiązków.

Fundacja Panoptykon już ostrzega,że w praktyce oznacza to, że praktycznie żaden sklep internetowyczy dostawca hostingu nie będzie musiał informować o wycieku hasełze swojej bazy – przecież prawie nie ma firm w tej branży (pozamiędzynarodowymi gigantami), które zatrudniałyby większą liczbępracowników niż przewidziana ustawa. Prawnicy uważają też, żeustawa w takim kształcie sprawi po prostu, że wszystkie większefirmy, które byłyby obowiązkami nałożonymi przez RODO objęte,przestaną być większymi firmami: zrestrukturyzują się, podzieląna spółki zależne, do których przeniosą pracowników w ramachtej samej struktury organizacyjnej, byleby nigdzie nie mieć więcejniż 249 osób.

Taki obrót spraw to jawne wykpienie założeń GDPR/RODO, azarazem sygnał dla praktycznie wszystkich działających w UniiEuropejskiej operatorów usług internetowych, że Polska staje siępaństwem ekstremalnie przyjaznym dla ich działalności. Możemy sięspodziewać nad Wisłą wysypu przeróżnych firm i firemek,zajmujących się przetwarzaniem danych użytkowników na wielkąskalę… byleby nie były to dane genetyczne czy biometryczne.

Dziękujemy redakcji Niebezpiecznika za poinformowanieo tej sprawie na swoich łamach jako pierwsi.