Aktualizacja projektu ustawy o RODO – kilka szczegółów

12 lutego 2018 została udostępniona przez Ministerstwo Cyfryzacji długo oczekiwana aktualizacja Projektu Ustawy o Ochronie Danych Osobowych (datowana daniem 8 lutego 2018). Celem nadrzędnym zmian w Polskim porządku prawnym dotyczącym ochrony danych osobowych jest wprowadzenie Rozporządzenia o Ochronie Danych Osobowych (RODO) bazującego na Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679.

O samym Rozporządzeniu już kilkukrotnie pisaliśmy wcześniej, naszą przykładową prezentację (wideo) w temacie możecie zobaczyć tutaj, szkolimy tutaj, a prowadzimy warsztaty – tutaj.

Opublikowanie projektu ustawy zostało poprzedzone bardzo długimi konsultacjami, ogromną ilością zgłoszonych uwag i wielu zmian, jakie zostały naniesione od momentu powstania pierwszej roboczej wersji projektu Ustawy, opublikowanego w marcu ubiegłego roku. Projekt Ustawy o Ochronie Danych Osobowych znajdziecie tutaj: https://legislacja.rcl.gov.pl/docs//2/12302950/12457674/12457675/dokument329506.pdf

Co bardzo ważne, polecamy także dokładnie przeczytać Uzasadnienie do projektu ustawy, ponieważ zawiera ono bardzo dużo istotnych detali: https://legislacja.rcl.gov.pl/docs//2/12302950/12457674/12457675/dokument329510.pdf

Wśród wzbudzających największe emocje zmian wprowadzanych przez Projekt Ustawy o Ochronie Danych Osobowych jest przyjęcie założenia mającego w wąskim zakresie ograniczyć stosowanie niektórych artykułów RODO do przedsiębiorstw sektora MŚP, dla których pracuje mniej niż 250 osób.

Jak miałoby to wyglądać w skrócie:

• Zgodnie z motywem 13 preambuły do Rozporządzenia, „z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich projekt ustawy przewiduje wyjątek w zakresie rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników”

Po pierwsze przedsiębiorstwo musiałoby wypełnić następujące warunki:

• Zatrudnia mniej niż 250 pracowników (wszelkie formy zatrudnienia) – cytując wprost uzasadnienie do projektu ustawy: „Zwrot „pracownicy” powinien być w ocenie projektodawcy intepretowany szeroko, i obejmuje wszystkie osoby wykonujące wewnątrz organizacji działania na rzecz przedsiębiorcy niezależnie od formy prawnej ich zatrudnienia.”
• Organizacja nie przetwarza danych szczególnie chronionych Art. 9 RODO (z wyłączeniem np. zwolnień lekarskich) – cytując w tym przypadku uzasadnienie do projektu ustawy: „Fakt, że w ramach organizacji przedsiębiorcy gromadzone są dane szczególnie chronione (np. w formie zwolnień lekarskich) nie powinien wyłączyć możliwości skorzystania z ograniczenia Rozporządzenia, o ile dane szczególnie chronione nie będą gromadzone w ramach konkretnego przetwarzania dany osobowych w związku z których przedsiębiorca chciałby skorzystać z ograniczenia.”
• Nieudostępnianie danych osobowych innym podmiotom na podstawie innej niż wyraźna zgoda osoby, której dane dotyczą lub obowiązek wynikający z przepisu prawa (oczywiście dopuszczone byłoby korzystanie z podwykonawców) – cytując uzasadnienie do projektu ustawy: „Intencją projektodawcy nie było jednak ograniczenie korzystania przez przedsiębiorców z usług swoich podwykonawców, działających na ich rzecz i we wskazanych przez nich celach. Fakt przekazania danych podmiotowi przetwarzającemu o którym mowa w art. 28 Rozporządzenia, nie wyłącza więc możliwość powołania się na ograniczenie w stosowaniu Rozporządzenia.”

Jakie ”benefity” związane z ograniczeniem stosowania RODO zyskiwałby przedsiębiorca:

• Projektodawca zdecydował się ograniczyć zastosowanie 13 RODO (informacje podawane w przypadku zbierania danych) Rozporządzenia wyłącznie do treści o których mowa w ust. 1 Art. 13 RODO oraz poinformowania o prawie do cofnięcia zgody. Ograniczenie to miałoby na celu uprościć procedurę wykonania obowiązku informacyjnego wobec podmiotu danych poprzez ograniczenie ilości informacji, jakie musimy podać.
• Ograniczenie zastosowania 34 RODO (zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych); jednakże
  • Przedsiębiorca wciąż i tak będzie zobowiązany do poinformowania o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych wciągu 72 godzin od wykrycia naruszenia.
• Ograniczenie zastosowania 15 RODO Ust 3 i 4 (dostarczanie kopii danych osobowych osobie, której dane dotyczą)
• Ograniczenie zastosowania 19 RODO (obowiązek powiadamiania o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania – odbiorców, którym ujawniono dane osobowe osoby której dane dotyczą)

Czy planowane ograniczenie stosowania RODO będzie przynosiło realne korzyści dla przedsiębiorstw sektora MŚP pozostawiamy Waszej opinii. Wydaje się, że będzie to zawsze kwestia dość indywidualna, zależna ściśle od charakteru działalności i skali przetwarzania danych osobowych. Należy zauważyć, iż w sytuacji masowego kontaktu z podmiotami danych n.p. w  działaniach marketingu bezpośredniego ograniczenie zakresu obowiązku informacyjnego będzie na pewno w znaczymy stopniu ograniczać czas konieczny na poinformowanie podmiotu danych o przysługujących mu prawach, co finalnie może przełożyć się na ograniczenie kosztów wykonania komunikacji.

Jakie są Wasze opinie? dzielcie się nimi i komentujcie :-)

–Maciej Pokorniecki