Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Aktualizacja projektu ustawy o RODO – kilka szczegółów
12 lutego 2018 została udostępniona przez Ministerstwo Cyfryzacji długo oczekiwana aktualizacja Projektu Ustawy o Ochronie Danych Osobowych (datowana daniem 8 lutego 2018). Celem nadrzędnym zmian w Polskim porządku prawnym dotyczącym ochrony danych osobowych jest wprowadzenie Rozporządzenia o Ochronie Danych Osobowych (RODO) bazującego na Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679.
O samym Rozporządzeniu już kilkukrotnie pisaliśmy wcześniej, naszą przykładową prezentację (wideo) w temacie możecie zobaczyć tutaj, szkolimy tutaj, a prowadzimy warsztaty – tutaj.
Opublikowanie projektu ustawy zostało poprzedzone bardzo długimi konsultacjami, ogromną ilością zgłoszonych uwag i wielu zmian, jakie zostały naniesione od momentu powstania pierwszej roboczej wersji projektu Ustawy, opublikowanego w marcu ubiegłego roku. Projekt Ustawy o Ochronie Danych Osobowych znajdziecie tutaj: https://legislacja.rcl.gov.pl/docs//2/12302950/12457674/12457675/dokument329506.pdf
Co bardzo ważne, polecamy także dokładnie przeczytać Uzasadnienie do projektu ustawy, ponieważ zawiera ono bardzo dużo istotnych detali: https://legislacja.rcl.gov.pl/docs//2/12302950/12457674/12457675/dokument329510.pdf
Wśród wzbudzających największe emocje zmian wprowadzanych przez Projekt Ustawy o Ochronie Danych Osobowych jest przyjęcie założenia mającego w wąskim zakresie ograniczyć stosowanie niektórych artykułów RODO do przedsiębiorstw sektora MŚP, dla których pracuje mniej niż 250 osób.
Jak miałoby to wyglądać w skrócie:
- Zgodnie z motywem 13 preambuły do Rozporządzenia, „z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich projekt ustawy przewiduje wyjątek w zakresie rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników”
Po pierwsze przedsiębiorstwo musiałoby wypełnić następujące warunki:
- Zatrudnia mniej niż 250 pracowników (wszelkie formy zatrudnienia) – cytując wprost uzasadnienie do projektu ustawy: „Zwrot „pracownicy” powinien być w ocenie projektodawcy intepretowany szeroko, i obejmuje wszystkie osoby wykonujące wewnątrz organizacji działania na rzecz przedsiębiorcy niezależnie od formy prawnej ich zatrudnienia.”
- Organizacja nie przetwarza danych szczególnie chronionych Art. 9 RODO (z wyłączeniem np. zwolnień lekarskich) – cytując w tym przypadku uzasadnienie do projektu ustawy: „Fakt, że w ramach organizacji przedsiębiorcy gromadzone są dane szczególnie chronione (np. w formie zwolnień lekarskich) nie powinien wyłączyć możliwości skorzystania z ograniczenia Rozporządzenia, o ile dane szczególnie chronione nie będą gromadzone w ramach konkretnego przetwarzania dany osobowych w związku z których przedsiębiorca chciałby skorzystać z ograniczenia.”
- Nieudostępnianie danych osobowych innym podmiotom na podstawie innej niż wyraźna zgoda osoby, której dane dotyczą lub obowiązek wynikający z przepisu prawa (oczywiście dopuszczone byłoby korzystanie z podwykonawców) – cytując uzasadnienie do projektu ustawy: „Intencją projektodawcy nie było jednak ograniczenie korzystania przez przedsiębiorców z usług swoich podwykonawców, działających na ich rzecz i we wskazanych przez nich celach. Fakt przekazania danych podmiotowi przetwarzającemu o którym mowa w art. 28 Rozporządzenia, nie wyłącza więc możliwość powołania się na ograniczenie w stosowaniu Rozporządzenia.”
Jakie ”benefity” związane z ograniczeniem stosowania RODO zyskiwałby przedsiębiorca:
- Projektodawca zdecydował się ograniczyć zastosowanie 13 RODO (informacje podawane w przypadku zbierania danych) Rozporządzenia wyłącznie do treści o których mowa w ust. 1 Art. 13 RODO oraz poinformowania o prawie do cofnięcia zgody. Ograniczenie to miałoby na celu uprościć procedurę wykonania obowiązku informacyjnego wobec podmiotu danych poprzez ograniczenie ilości informacji, jakie musimy podać.
- Ograniczenie zastosowania 34 RODO (zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych); jednakże
- Przedsiębiorca wciąż i tak będzie zobowiązany do poinformowania o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych wciągu 72 godzin od wykrycia naruszenia.
- Ograniczenie zastosowania 15 RODO Ust 3 i 4 (dostarczanie kopii danych osobowych osobie, której dane dotyczą)
- Ograniczenie zastosowania 19 RODO (obowiązek powiadamiania o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania – odbiorców, którym ujawniono dane osobowe osoby której dane dotyczą)
Czy planowane ograniczenie stosowania RODO będzie przynosiło realne korzyści dla przedsiębiorstw sektora MŚP pozostawiamy Waszej opinii. Wydaje się, że będzie to zawsze kwestia dość indywidualna, zależna ściśle od charakteru działalności i skali przetwarzania danych osobowych. Należy zauważyć, iż w sytuacji masowego kontaktu z podmiotami danych n.p. w działaniach marketingu bezpośredniego ograniczenie zakresu obowiązku informacyjnego będzie na pewno w znaczymy stopniu ograniczać czas konieczny na poinformowanie podmiotu danych o przysługujących mu prawach, co finalnie może przełożyć się na ograniczenie kosztów wykonania komunikacji.
Jakie są Wasze opinie? dzielcie się nimi i komentujcie :-)
–Maciej Pokorniecki
Rozumiem intencje ustawodawcy (nie ważne czy są one prawdziwe czy tylko pozorne) – pytanie tylko „co dalej” kiedy Prezes UODO zostanie już poinformowany :)
Czy w takiej sytuacji informacja o wycieku w ogóle ujrzy światło dzienne?
Czy osoby zainteresowane będą mogły sprawdzić że ich dane wyciekły z firmy X?
Czy będą mogły ubiegać się o zadośćuczynienie na drodze sądowej w tej konkretnej sprawie?
Ograniczenie kosztów obsługi incydentu to jedno, ale mam nieodparte wrażenie że ten zapis powstał głównie po to żeby służyć zamiataniu spraw pod dywan.
Sytuacja jak z fejsem. Wyslij nam swoj dowod zebysmy porownali czy to twoje nagie foty wyciekly xD i dopiero wtedy je usuniemy…
Osobiście jeśli już koniecznie musimy robić ten wyjątek dla MŚP, widziałbym doprecyzowanie, że owe 250 osób dotyczy całej grupy kapitałowej. Żeby np. jakiś pejsbuk nie mógł po prostu spółki córki zarejestrować.
Przede wszystkim nie zaczynajmy czytania od motywu 13 – stosować będziemy artykuły ustawy, a motywy możemy traktować jedynie jako pewne wskazówki i wyjaśnienia.
Możliwość zastosowania ograniczenia w prawie krajowym wynika z art. 23 (implementującego motyw 73). Ale możliwość ograniczenia jest obwarowana dodatkowymi warunkami, o których mówi art. 23 ust. 2, a o tych warunkach polski ustawodawca chyba zapomniał… Zgodzę się, że konstrukcja art. 23 ust. 2 jest delikatnie mówiąc niezbyt szczęśliwa, ale najwyraźniej unijny ustawodawca założył, że będzie miał w parlamentach krajowych do czynienia z ludźmi poważnymi, a nie kombinującymi jak obejść wprowadzane prawo :(
W każdym razie, takie globalne wyłączenie, bez uwzględnienia ryzyka związanego z przetwarzaniem danych jest w mojej opinii niezgodne nie tylko z art. 23 ust. 2, ale przede wszystkim z ogólnymi zasadami wynikającymi m.in. z motywów 1 i 11