Zawód – adwokat

Resort rozwoju uciął głowę RODO. Nowe przepisy ze słabszą ochroną konsumentów niż teraz

– Na poniedziałkowej konferencji podsumowującej konsultacje społeczne jedna z osób zapytała, w jaki sposób przedsiębiorca ma zrealizować bardzo długi obowiązek informacyjny, zawierający ogrom treści prawnych, jeżeli dane przekazywane są podczas krótkiej rozmowy telefonicznej z centrum obsługi klienta. Takich wątpliwości jest dużo i one, jak rozumiem, zainspirowały MR, a w konsekwencji MC do wprowadzenia zmian – tłumaczy dr Kawecki, zaznaczając, że jego zdaniem chodzi o stosunkowo niewielką grupę przedsiębiorców. Z wyłączeń skorzystają bowiem ci, którzy zatrudniają mniej niż 250 pracowników, nie przetwarzają danych wrażliwych (np. zdrowotnych) i nie udostępniają danych podmiotom trzecim.

Patrząc na dane Polskiej Agencji Rozwoju Przedsiębiorczości, okazuje się jednak, że w rzeczywistości wyłączenia obejmą zdecydowaną większość polskich firm. Aż 99,8 proc. zatrudnia bowiem mniej niż 250 osób.

Zbyt duży wyłom

RODO w art. 23 pozwala państwom członkowskim na ograniczenie niektórych obowiązków związanych z przetwarzaniem danych osobowych. Zdaniem dr Edyty Bielak-Jomaa, generalnego inspektora ochrony danych osobowych, zaproponowane wyłączenie jest jednak zbyt szerokie.

– Jeśli już w prawie krajowym wprowadza się ograniczenie, to w odpowiednim przepisie trzeba określić m.in. cele przetwarzania, kategorie danych, zakres wprowadzonych ograniczeń, zabezpieczenia zapobiegające nadużyciom lub niezgodnemu z prawem dostępowi bądź przekazywaniu, zasady przechowywania itd. Podkreślić przy tym należy, że art. 23 RODO mówi o ograniczeniach, a nie o wyłączeniach – przekonuje GIODO.

– Poza tym, mamy chronić dane osobowe, a nie wyłączać tę ochronę. Rozumiem, że należy mieć na względzie rozwiązania probiznesowe, ale każde wyłączenie stosowania RODO powinno wskazywać wartość, która uzasadnia ograniczenie podstawowych praw obywateli, jakimi są prawo do prywatności i ochrony danych osobowych. Zresztą, wydaje się, że RODO zapewnia właściwy balans pomiędzy prawami przedsiębiorców a prawami podmiotów danych, a proponowane rozwiązania tę równowagę naruszają – i to na niekorzyść obywateli – dodaje.

Podobnie uważa Katarzyna Szymielewicz z Fundacji Panoptykon. Zwraca uwagę, że choć nowe przepisy miały wzmocnić prawa podmiotów danych, to w przypadku MŚP je zmniejszają.

– Z punktu widzenia klientów to wyłączenie wprowadza zupełny zamęt w postrzeganiu ochrony danych: dlaczego firmy, które do tej pory standardowo informowały o przetwarzaniu danych, teraz nagle przestaną to robić? Czym się różnią firmy, które o tym informują, od tych, które tego nie robią? Kiedy mam prawo się skarżyć, a kiedy nie? – podaje przykłady pytań, na które większość klientów nie będzie potrafiła znaleźć odpowiedzi.

Niezgodne z RODO

Zapytani przez nas prawnicy nie mają wątpliwości, że proponowane przepisy zostaną uznane przez Komisję Europejską za niezgodne z RODO.

– Zgodnie z art. 23 ograniczenia nie mogą dotyczyć istoty prawa. A czymże jest wyłączenie całego obowiązku informacyjnego, jak nie dotknięciem istoty prawa, tu prawa do informacji – zauważa dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński i zwraca uwagę na dodatkowe zagrożenie. – Żeby zgoda na przetwarzanie danych była ważna, musi być świadoma, a żeby była świadoma, powinna – zgodnie z motywem 42 preambuły do RODO – wskazywać co najmniej administratora danych i cel przetwarzania. Wyłączenie całego art. 13 w stosunku do MŚP spowoduje, że zgody zbierane przez ten sektor będą więc nieskuteczne z mocy prawa – przewiduje.

Zaznacza przy tym, że dostrzega potrzebę pewnego złagodzenia obowiązków ciążących na mniejszych firmach. Tyle że ewentualne wyłączenia powinny dotyczyć tylko wybranych informacji wskazanych w art. 13, a nie wszystkich jak leci.

Podobnego zdania jest Katarzyna Szymielewicz. – Można rozmawiać o ograniczaniu obowiązku informacyjnego, ale tylko w konkretnych punktach i w kontekście takiej działalności biznesowej, która rzeczywiście niesie ze sobą niewielkie ryzyko dla osób fizycznych – przekonuje szefowa Panoptykonu.

Projekt nowej ustawy zakłada również zwolnienie MŚP z obowiązku informowania klientów o naruszeniu ich praw (np. o wycieku danych). Do tego wyłączenia eksperci mają mniejsze zastrzeżenia, tym bardziej że przedsiębiorcy będą musieli przekazać informacje o wycieku prezesowi UODO. 

Etap legislacyjny

Projekt po konsultacjach


Source: Gazeta prawna

Powered by WordPress | Designed by Elegant Themes