Kpiny z ochrony danych osobowych w Polsce, wystarczy stać się „małą firmą”

Strona główna Aktualności
Flagi Unii Europejskiej z depositphotos
Flagi Unii Europejskiej z depositphotos

O autorze

Od niemal roku prowadzone są w Polsce prace legislacyjne nad dostosowaniem rodzimego prawa do wymogów unijnego rozporządzenia o ochronie danych osobowych, znanego jako GDPR/RODO. Prowadzące je Ministerstwo Cyfryzacji stworzyło roboczy projekt ustawy w duchu i literze odpowiadający unijnej dyrektywie. I wszystko by toczyło się zgodnie z tymi założeniami, tak by już w tym roku objąć dane osobiste szczególną ochroną, gdyby nie interwencja Ministerstwa Rozwoju. Wprowadzone na etapie uzgodnień międzyresortowych zmiany znacznie odciążą małe i średnie firmy… a także wielkie korporacje, jeśli zdołają odpowiednio się przedstawić regulatorom.

Wysłany w październiku zeszłego roku dokument do ówczesnej minister cyfryzacji Anny Streżyńskiej przypomina o możliwości ograniczenia zakresu obowiązków i praw wprowadzanych przez RODO, jeżeli jest to niezbędne i proporcjonalne do ochrony m.in. ważnych celów leżących w ogólnym interesie publicznym państwa członkowskiego, w szczególności ważnego interesu gospodarczego lub finansowego państwa członkowskiego. Kierując się tą przesłanką Ministerstwo Rozwoju zaproponowało, by ograniczyć obowiązki narzucone przez art. 34 RODO wobec przedsiębiorców, którzy zatrudniają na umowie o pracę nie więcej niż 250 osób i nie przetwarzają szczególnych kategorii danych osobowych, takich jak dane biometryczne czy genetyczne, a pozostałych danych nie przetwarzają na dużą skalę.

Art. 34 RODO wprowadza obowiązek informowania podmiotów, których dane są przetwarzane o naruszeniu ochrony danych, czyli mówiąc po ludzku, o wycieku. Administrator ma jasnym i prostym językiem przedstawić charakter naruszenia i przedstawić informacje i środki pozwalające ograniczyć zagrożenie. Obowiązek jest jednak uchylany w wielu wypadkach, np. jeśli jego dopełnienie wymagałoby niewspółmierne dużego wysiłku, lub też administrator wdrożył odpowiednie środki techniczne i organizacyjne (…) takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym (…).

Zawsze się znajdzie jakieś wyłączenie obowiązku

Wynika z tego, że RODO dalekie jest od gnębienia przedsiębiorców straszliwymi obowiązkami – wystarczy w bazie trzymać hasze haseł zamiast haseł i już środki techniczne są wdrożone, więc jest powód, by nie trzeba było informować. Przecież typowy ustawodawca nie rozumie, jak działają tęczowe tablice. Jednak i te uchylenia obowiązku okazały się zbyt przykre dla rządowych legislatorów.

Widać to już było po restrukturyzacji rządu, gdy Ministerstwo Cyfryzacji osobiście przejął premier Morawiecki. Zaproponowano wówczas by firmy zatrudniające do 250 osób zwolniono z obowiązku przedstawiania danych o administratorze przetwarzanych danych osobowych oraz celach tego przetwarzania. Miało to obniżyć koszty administracyjne firm.

Dalsze prace legislacyjne podążały w tym samym duchu, twórczo rozwijając propozycje Ministerstwa Rozwoju. Na stronach Rządowego Centrum Legislacyjnego znaleźć można lutowy projekt ustawy o ochronie danych osobowych, który wprowadza uchylenia licznych obowiązków związanych z ochroną danych, między innymi informowania o okresie przechowywania danych, informowania o stosowanych zabezpieczeniach i dostarczania na żądanie kopii przetwarzanych danych, oraz powiadamiania o sprostowaniu i usuwaniu danych osobowych lub ograniczeniach ich przetwarzania.

Mały może więcej

Co szczególnie istotne, i w tym wypadku jako kryterium uchylenia obowiązku zastosowano nie skalę przetwarzania danych, lecz wielkość firmy, mierzoną liczbą zatrudnionych pracowników. Wystarczy zatrudniać nie więcej niż 249 osób, a przetwarzać dane użytkowników możesz śmiało i bez żadnych obowiązków.

Fundacja Panoptykon już ostrzega, że w praktyce oznacza to, że praktycznie żaden sklep internetowy czy dostawca hostingu nie będzie musiał informować o wycieku haseł ze swojej bazy – przecież prawie nie ma firm w tej branży (poza międzynarodowymi gigantami), które zatrudniałyby większą liczbę pracowników niż przewidziana ustawa. Prawnicy uważają też, że ustawa w takim kształcie sprawi po prostu, że wszystkie większe firmy, które byłyby obowiązkami nałożonymi przez RODO objęte, przestaną być większymi firmami: zrestrukturyzują się, podzielą na spółki zależne, do których przeniosą pracowników w ramach tej samej struktury organizacyjnej, byleby nigdzie nie mieć więcej niż 249 osób.

Taki obrót spraw to jawne wykpienie założeń GDPR/RODO, a zarazem sygnał dla praktycznie wszystkich działających w Unii Europejskiej operatorów usług internetowych, że Polska staje się państwem ekstremalnie przyjaznym dla ich działalności. Możemy się spodziewać nad Wisłą wysypu przeróżnych firm i firemek, zajmujących się przetwarzaniem danych użytkowników na wielką skalę… byleby nie były to dane genetyczne czy biometryczne.

Dziękujemy redakcji Niebezpiecznika za poinformowanie o tej sprawie na swoich łamach jako pierwsi.

© dobreprogramy