Nadchodzi GDPR, u nas znane jako RODO. Mamy jako Polska możliwość wprowadzania pewnych zmian do prawa “narzucanego” przez Unię Europejską. Jedna z propozycji polskiego rządu jest taka, żeby małe i średnie firmy były zwolnione z obowiązku informowania swoich klientów w przypadku, gdy doszło do wycieku ich danych. W dodatku, zaproponowane zmiany w przepisach mierzą wielkość firm liczbą zatrudnionych pracowników. Może to oznaczać, że nawet technologiczni giganci będą mogli przemilczać wycieki danych osobowych, jeśli umiejętnie się “podzielą”.

Rodzi się prawny potworek

Większość ludzi ma świadomość, że polskie prawo trzeba dostosować do unijnego rozporządzenia o ochronie danych, znanego jako GDPR. Prace nad tym ambitnym zadaniem ruszyły w marcu 2017 roku. Mówiąc ściślej – wtedy dowiedziała się o nich opinia publiczna. Ujawniono “projekt roboczy” Ministerstwa Cyfryzacji.

We wrześniu 2017 r. projekt został skierowany do uzgodnień międzyresortowych i konsultacji publicznych. Uwag było dużo z różnych stron. Na szczególną uwagę zasługiwało stanowisko Ministerstwa Rozwoju, które bardzo się przejęło losem małych i średnich przedsiębiorstw (MŚP). Ministerstwo zaproponowało, aby do MŚP nie stosować pewnych przepisów rozporządzenia, m.in. art. 34 RODO.

Artykuł 34 dotyczy powiadamiania o naruszeniu ochrony danych. Najlepiej zacytujmy ten przepis w całości.

1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. 2. Zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d). 3. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach: a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych; b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1; c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób. 4. Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3.

Ten przepis to jedno z głównych osiągnięć RODO. Zasada, że jeśli ktoś nie upilnował danych ma o tym powiadomić osoby, których te dane dotyczą. Niestet Ministerstwo Rozwoju uznało, że jest coś ważniejszego niż bezpieczeństwo konsumentów. Jest to ochrona interesów MŚP.

Po co chcesz wiedzieć kto przetwarza dane?

Gdy premierem został Mateusz Morawiecki, Ministerstwo Cyfryzacji zaproponowało, by firmy zatrudniające mniej niż 250 osób zostały zwolnione z obowiązku informowania o tym, kto przetwarza dane i w jakim celu. Ministerstwo argumentowało, że dzięki takiemu zmniejszeniu obowiązków firmy będą mniej wydawać na obowiązki administracyjne. W rzeczywistości, to informowanie to dorzucenie do formularza formułki informującej o celu przetwarzania danych oraz o administratorze, wiec nie jest to w naszej opinii wielki koszt…

Na szczęście, z tej absurdalnej propozycji ostatnio się wycofano.

Gdzie jesteśmy teraz?

12 lutego w RCL opublikowano raport z konsultacji i kolejną wersję projektu. Nadal jest to projekt bardzo sprzyjający MŚP i niestety nie bardzo sprzyjający ludziom, których dane są przetwarzane. Zacytujmy teraz art. 3 ust. 1 projektu.

Art. 3. 1. Do przetwarzania danych osobowych przez administratorów nie będących podmiotami publicznymi wskazanymi w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2017 r. poz. 2077), zatrudniających mniej niż 250 osób, przepisów art. 13 ust. 2 lit a-b oraz d – f, art. 15 ust. 3 i 4, art. 19 oraz art. 34 rozporządzenia 2016/679 nie stosuje się.

Jak widzicie, wielkość firmy zależy od liczby zatrudnionych osób. Nie od skali przetwarzania. Firmy zatrudniające np. 230 osób będą zwolnione z obowiązku informowania o wyciekach. Tego dotyczył art. 34 RODO, a czego dotyczą te inne artykuły, z których MŚP mają być zwolnione?

Art. 13 ust. 2 dotyczy przekazywania pewnych informacji np. o okresie, w którym dane będą przechowywane.

Art. 15 ust. 3 i 4 dotyczą pewnych praw przysługujących osobom, których dane dotyczą (konkretnie prawo bycia poinformowanym o odpowiednich zabezpieczeniach oraz obowiązek dostarczania kopii danych osobowych podlegających przetwarzaniu).

Art. 19 dotyczy obowiązku powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania.

MŚP mogą być… gigantami

Prawnicy nie są optymistami.

— Duża spółka z małą ilością pracowników ale prowadząca np. Facebooka będzie miała mniejsze obowiązki – np. nie będzie musiała informować użytkowników o wycieku danych, o profilowaniu itp. – komentuje Przemysław Caputa, prawnik i audytor z kancelarii Favitor – Rozwiązanie przyjęte w art. 3 ust. 1 projektu zmniejsza obowiązki wynikające z ustawy nie tylko dla małych firm ale również dla gigantów technologicznych. Firmy które przetwarzają dane milionów osób nie potrzebują tysięcy pracowników, wystarczy im 30-40, na początku wystarczy nawet 5. Oznacza to, że oparcie kryterium zmniejszenia obowiązków o liczbę pracowników (rozumianych jako osoby zatrudnione w ramach umowy o pracę, tymczasem wiele firm z tej branży nie posiada pracowników w tym rozumieniu) powoduje, iż spółki o sporych obrotach i przetwarzające dane na skalę masową, nie będą podlegały wielu obowiązkom RODO, np. serwis z 100 000 użytkowników ale z 50 pracownikami nie będzie musiał informować swych użytkowników o wycieku danych.

Przemysław Caputa obawia się, że duże firmy mogą próbować obchodzić przepisy by zmniejszyć swoje obowiązki.

— Zaczną zakładać spółki córki do których przeniosą pracowników by nie musieć realizować obowiązków wynikających z RODO. W zeszłym roku kilka firm (…) miało przypadki wycieku danych osobowych, według projektowanego przepisu, jeżeli przeniosą pracowników do spółek-córek tak by zatrudnienie spadło poniżej 250 osób, a same będą pozyskiwały tylko klientów, nie będą podlegały obowiązkom wynikającym z RODO – uważa Przemysław Caputa

Podobnego zdania Fundacja Panoptykon, którą zapewne znacie. W komunikacie na jej stronie czytamy:

Mniejsze firmy, wśród których może się np. znaleźć dostawca poczty elektronicznej czy sklep internetowy, nie będą musiały informować swoich klientów, jeśli dojdzie do wycieku ich danych, mimo że takie zdarzenie oznacza wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą (tylko w takich okolicznościach wymaga tego RODO). Łatwo sobie wyobrazić niebezpieczny wyciek haseł, o którym klienci dowiedzą się (o ile w ogóle) dopiero z mediów, bez szans na szybką reakcję i zabezpieczenie swojego konta przed włamaniem.

Skupiamy się na art. 34 i informowaniu o wyciekach, ale usunięcie dla MŚP innych obowiązków informacyjnych też będzie problemowe. Jeśli nie wiesz jak długo ktoś ma przetwarzać Twoje dane albo czy stosuje profilowanie, będziesz mieć problem z oszacowaniem skutków zgody na przetwarzanie. A wszystko dzięki temu, że rząd dostrzega problemy MŚP nie dostrzegając, że praktycznie każdy obywatel może być klientem tak rozumianych MŚP.

Chciałoby się zacytować kapitana Spocka.

Niestety jak na razie nasz rząd uważa, że dobro MŚP jest ważniejsze niż dobro wszystkich.

Przeczytaj także: