Kpiny z ochrony danych osobowych w Polsce, wystarczy stać się „małą firmą”

Strona głównaKpiny z ochrony danych osobowych w Polsce, wystarczy stać się „małą firmą”
22.02.2018 10:26
Flagi Unii Europejskiej z depositphotos
Flagi Unii Europejskiej z depositphotos
bEhyBKMS

Od niemal roku prowadzone są w Polsce prace legislacyjne naddostosowaniem rodzimego prawa do wymogów unijnego rozporządzenia oochronie danych osobowych, znanego jako GDPR/RODO. Prowadzące jeMinisterstwo Cyfryzacji stworzyło roboczy projekt ustawy w duchu iliterze odpowiadający unijnej dyrektywie. I wszystko by toczyło sięzgodnie z tymi założeniami, tak by już w tym roku objąć daneosobiste szczególną ochroną, gdyby nie interwencja MinisterstwaRozwoju. Wprowadzone na etapie uzgodnień międzyresortowych zmianyznacznie odciążą małe i średnie firmy… a także wielkiekorporacje, jeśli zdołają odpowiednio się przedstawićregulatorom.

bEhyBKMl

Wysłany w październiku zeszłego roku dokumentdo ówczesnej minister cyfryzacji Anny Streżyńskiej przypomina omożliwości ograniczenia zakresu obowiązków i praw wprowadzanychprzez RODO, jeżeli jest to niezbędne i proporcjonalne do ochronym.in. ważnych celów leżących w ogólnym interesie publicznympaństwa członkowskiego, w szczególności ważnego interesugospodarczego lub finansowego państwa członkowskiego. Kierującsię tą przesłanką Ministerstwo Rozwoju zaproponowało, byograniczyć obowiązki narzucone przez art. 34 RODO wobecprzedsiębiorców, którzy zatrudniają na umowie o pracę nie więcejniż 250 osób i nie przetwarzają szczególnych kategorii danychosobowych, takich jak dane biometryczne czy genetyczne, a pozostałychdanych nie przetwarzają na dużą skalę.

Art. 34 RODO wprowadza obowiązek informowania podmiotów, którychdane są przetwarzane o naruszeniu ochrony danych, czyli mówiąc poludzku, o wycieku. Administrator ma jasnym i prostym językiemprzedstawić charakter naruszenia i przedstawić informacje i środkipozwalające ograniczyć zagrożenie. Obowiązek jest jednak uchylanyw wielu wypadkach, np. jeśli jego dopełnienie wymagałoby*niewspółmierne dużego wysiłku,lub też administrator wdrożył odpowiednie środkitechniczne i organizacyjne (…) takie jak szyfrowanie,uniemożliwiające odczyt osobom nieuprawnionym (…). *

Zawsze się znajdzie jakieś wyłączenie obowiązku

Wynika z tego, że RODOdalekie jest od gnębienia przedsiębiorców straszliwymi obowiązkami– wystarczy w bazie trzymać hasze haseł zamiast haseł i jużśrodki techniczne są wdrożone, więc jest powód, by nietrzeba było informować. Przecież typowy ustawodawca nie rozumie,jak działają tęczowe tablice. Jednak i te uchylenia obowiązkuokazały się zbyt przykre dla rządowych legislatorów.

bEhyBKMn

Widać to jużbyło po restrukturyzacji rządu, gdy Ministerstwo Cyfryzacjiosobiście przejął premier Morawiecki. Zaproponowano wówczas byfirmy zatrudniające do 250 osób zwolniono z obowiązkuprzedstawiania danych o administratorze przetwarzanych danychosobowych oraz celach tego przetwarzania. Miało to obniżyć kosztyadministracyjne firm.

Dalsze prace legislacyjne podążały w tym samym duchu, twórczorozwijając propozycje Ministerstwa Rozwoju. Na stronach RządowegoCentrum Legislacyjnego znaleźć można lutowyprojekt ustawy o ochronie danych osobowych, który wprowadzauchylenia licznych obowiązków związanych z ochroną danych, międzyinnymi informowania o okresie przechowywania danych, informowania ostosowanych zabezpieczeniach i dostarczania na żądanie kopiiprzetwarzanych danych, oraz powiadamiania o sprostowaniu i usuwaniudanych osobowych lub ograniczeniach ich przetwarzania.

Mały może więcej

Co szczególnie istotne, i w tym wypadku jako kryterium uchyleniaobowiązku zastosowano nie skalę przetwarzania danych, lecz wielkośćfirmy, mierzoną liczbą zatrudnionych pracowników. Wystarczyzatrudniać nie więcej niż 249 osób, a przetwarzać daneużytkowników możesz śmiało i bez żadnych obowiązków.

Fundacja Panoptykon już ostrzega,że w praktyce oznacza to, że praktycznie żaden sklep internetowyczy dostawca hostingu nie będzie musiał informować o wycieku hasełze swojej bazy – przecież prawie nie ma firm w tej branży (pozamiędzynarodowymi gigantami), które zatrudniałyby większą liczbępracowników niż przewidziana ustawa. Prawnicy uważają też, żeustawa w takim kształcie sprawi po prostu, że wszystkie większefirmy, które byłyby obowiązkami nałożonymi przez RODO objęte,przestaną być większymi firmami: zrestrukturyzują się, podzieląna spółki zależne, do których przeniosą pracowników w ramachtej samej struktury organizacyjnej, byleby nigdzie nie mieć więcejniż 249 osób.

bEhyBKMt

Taki obrót spraw to jawne wykpienie założeń GDPR/RODO, azarazem sygnał dla praktycznie wszystkich działających w UniiEuropejskiej operatorów usług internetowych, że Polska staje siępaństwem ekstremalnie przyjaznym dla ich działalności. Możemy sięspodziewać nad Wisłą wysypu przeróżnych firm i firemek,zajmujących się przetwarzaniem danych użytkowników na wielkąskalę… byleby nie były to dane genetyczne czy biometryczne.

Dziękujemy redakcji Niebezpiecznika za poinformowanieo tej sprawie na swoich łamach jako pierwsi.

Programy

Aktualizacje
Aktualizacje
Nowości
Udostępnij:
bEhyBKNj