Na ostatniej prostej prowadzącej do wejścia w życie europejskiego rozporządzenia o ochronie danych osobowych (RODO) rząd robi woltę, która może wypaczyć sens całej reformy i wprowadzić Polskę w kolejny spór z Komisją Europejską. Pod naciskiem Ministerstwa Rozwoju prowadzące prace nad wdrożeniem RODO Ministerstwo Cyfryzacji zdecydowało się wprowadzić taryfę ulgową dla firm zatrudniających mniej niż 250 pracowników, które nie przetwarzają danych wrażliwych i nie przekazują danych osobowych podmiotom trzecim. Najbardziej kontrowersyjnym elementem zaproponowanego wyłączenia jest zwolnienie tych firm z obowiązku informacyjnego przy pobieraniu danych niezbędnych do realizacji umowy. To pomysł tak zły i tak bardzo bez sensu, że aż trudno w niego uwierzyć!

Według unijnej definicji chodzi o małe i średnie przedsiębiorstwa, jednak w polskich realiach kryteria zaproponowane przez Ministerstwo Rozwoju spełnia zdecydowana większość firm, a na pewno niemal cała branża e-commerce, żyjąca z komercjalizacji danych osobowych. Firmy te nie będą musiały informować osób, których dane przetwarzają, kto jest administratorem danych, w jakim celu są one zbierane, przez jaki czas będą przechowywane, a nawet informować o tym, że doszło do ich wycieku.

Być może premier Morawiecki próbuje wysłać do wszystkich polskich firm przetwarzających dane osobowe na dużą skalę sygnał: nie obawiajcie się RODO, rząd zrobi wszystko, żeby ułatwić Wam życie, nawet kosztem podstawowych praw Waszych klientów! Jeśli jednak przyjrzymy się implikacjom nieinformowania klientów o tym, co się będzie działo (w ramach realizacji umowy) lub stało (w przypadku wycieku) z ich danymi, ten ukłon może się łatwo zmienić w niedźwiedzią przysługę. Mówiąc wprost, biznes może na tym więcej stracić niż zyskać.

Obowiązek, który specjalnie nie kosztuje

Podstawowym argumentem, którym Ministerstwo Rozwoju uzasadnia potrzebę wprowadzenia taryfy ulgowej dla firm zatrudniających mniej niż 250 osób, są korzyści ekonomiczne. Mniej obowiązków związanych z RODO ma oznaczać mniejsze koszty dla biznesu i – w dalszym rozrachunku – większe korzyści dla gospodarki. Z tym liberalnym argumentem można polemizować na wielu poziomach. Czy obniżenie standardów, które mają ochronić konsumentów i minimalizować ryzyko związane z przetwarzaniem danych, rzeczywiście się opłaca w skali całej gospodarki? Czy Ministerstwo Rozwoju zastanawiało się np. nad ekonomicznymi skutkami wycieków danych? Nad oddziaływaniem na rynek firm, które wyłudzają dane od konsumentów po to, by później spekulować tą walutą na giełdach reklamowych? Wreszcie, czy w rozwiniętej gospodarce korzyści ekonomiczne wystarczą, żeby ignorować podstawowe zasady ochrony konsumentów? Jeśli tak, to w kolejnym kroku rząd zapewne zaproponuje deregulację sektora finansowego czy uwolnienie rynku farmaceutycznego.

Na szczęście nie musimy na poważnie otwierać dyskusji o ekonomicznych skutkach regulacji rynku, bo propozycja Ministerstwa Rozwoju akurat w tym wymiarze niewiele wnosi. Sęk w tym, że wyłączenie obowiązku informacyjnego, który RODO traktuje jak podstawę w relacji firma-konsument, nie będzie dla biznesu źródłem specjalnych oszczędności. Nie mówimy tu bowiem o kosztowych i trudnych operacyjnie notyfikacjach (pop-upach na stronach internetowych czy masowej wysyłce), ale o standardowym dodawaniu klauzuli dotyczącej danych osobowych w momencie, w którym firma tak czy inaczej kontaktuje się z klientami i zbiera ich dane osobowe (np. podczas zakładania konta w sklepie internetowym, zamawiania newslettera, wypełniania formularza kontaktowego czy umowy w wersji elektronicznej).

Wyłom, który pociąga lawinę

To obniżenie standardu, który od 20 lat funkcjonuje w Polsce i do tej pory nikomu specjalnie nie przeszkadzał.

To obniżenie standardu do tej pory funkcjonującego w Polsce, który nikomu specjalnie nie przeszkadzał. Ponieważ od dwudziestu lat każda firma działająca zgodnie z polskim prawem musiała swoich klientów poinformować o tym, w jakim celu zbiera ich dane i kto, formalnie, jest ich administratorem. Procedura realizująca ten obowiązek stała się rynkowym standardem, a wręcz ważnym narzędziem budowania zaufania w relacji z klientem. Mówiąc otwarcie i ludzkim językiem o tym, co zamierzają robić z danymi swoich klientów, innowacyjne firmy mogą dużo wygrać – szczególnie tych branżach, w których ważna jest jakość i poprawność zbieranych danych. Im większe zaufanie po stronie klienta, tym większa skłonność, żeby podać prawdziwe dane.

Z perspektywy osoby, której dane są przetwarzane, świadomość tego, kto i w jakim celu to robi, to absolutna podstawa. Bez rzetelnej informacji na ten temat trudno sobie wyobrazić realizację innych praw, które przyznaje nam RODO – w tym prawa do skorygowania, przeniesienia czy usunięcia danych. Skąd mam wiedzieć, że moje dane są przetwarzane i że w ogóle mam jakieś prawa, skoro nikt mnie o tym nie poinformował?

Zaproponowane przez Ministerstwo Rozwoju wyłączenie dla firm zatrudniających poniżej 250 pracowników (do tego jeszcze nieprzekazujących danych podmiotom trzecim i nieprzetwarzających danych wrażliwych) w najlepszym razie wprowadzi niebezpieczny zamęt w tym, jak ludzie odbierają i rozumieją zasady ochrony danych osobowych. Nieuchronnie pojawią się pytania w rodzaju: dlaczego firma, które do tej pory informowała mnie o przetwarzanych danych, nagle przestała to robić? Dlaczego inne nadal to robią? Czy to jest legalne? Jak to sprawdzić? Czy jedyną drogą, żeby się przekonać, kto działa zgodnie z prawem i co robi z moimi danymi, jest kontrola GIODO?

Pozostaje liczyć na to, że nie o ten scenariusz chodziło rządowi i że na etapie dalszych prac legislacyjnych ten błąd zostanie naprawiony.

Nie tędy droga

Blankietowe wyłączenie obowiązku informacyjnego dla pewnej kategorii przedsiębiorców jest w oczywisty sposób nieproporcjonalne i przez to niezgodne z prawem Unii Europejskiej. W pracach nad RODO rozważano wprowadzenie rozmaitych ulg i wyjątków dla małych i średnich przedsiębiorstw, ale nawet na tym etapie nikt nie proponował uchylenia podstawowego obowiązku informacyjnego. Co więcej, z jednym wyjątkiem (obowiązku prowadzenia tzw. rejestru czynności) ustawodawca unijny doszedł do wniosku, że liczba zatrudnianych pracowników nie jest dobrym kryterium, bo w żaden sposób nie przekłada się na ilość przetwarzanych przez przedsiębiorstwo danych ani na ryzyko, które taka działalność generuje. Dlatego nietrudno przewidzieć, że takie kryterium wprowadzone w polskiej ustawie nie zyska aprobaty Komisji Europejskiej.

Blankietowe wyłączenie obowiązku informacyjnego dla pewnej kategorii przedsiębiorców jest nieproporcjonalne i niezgodne z prawem Unii Europejskiej.

Można rozmawiać o ograniczaniu obowiązku informacyjnego (który na gruncie RODO został w stosunku do poprzednich przepisów rozbudowany) w konkretnych punktach i w kontekście takiej działalności biznesowej, która rzeczywiście niesie ze sobą niewielkie ryzyko dla osób fizycznych. Jednak warto mieć na uwadze to, że zgodnie z RODO skala przekazywanych informacji jest ściśle związana z wybranym modelem biznesowym. Mówiąc najprościej: im bardziej skomplikowana i ryzykowna – dla praw osoby, której dane są przetwarzane – działalność (np. zakładająca profilowanie i automatyczne podejmowanie decyzji albo przekazywanie danych podmiotom trzecim), tym szerszy obowiązek informowania klientów, co się dzieje z danymi. Im większe zagrożenie dla osób, których dane są przetwarzane, tym większa odpowiedzialność firmy. Czy warto z tej logiki rezygnować? Konsumentom takie ustępstwo na pewno nie będzie się opłacać.

Jeśli premier Morawiecki szuka obszarów, w których mógłby zmniejszyć obciążenia dla polskiego biznesu, nie powinien zaczynać od fundamentów systemu ochrony danych osobowych. Z perspektywy mniejszych przedsiębiorstw o wiele większy sens, niż blankietowe wyłączenie podstawowego i nie generującego dodatkowych kosztów obowiązku informacyjnego, miałoby przejrzenie innych procedur przewidzianych w RODO i zidentyfikowanie rzeczywistych trudności, z jakimi będą się musiały zmierzyć.

Większy sens, z perspektywy mniejszych firm, miałoby wsparcie państwa w mierzeniu się z nowymi obowiązkami – oceną ryzyka czy privacy by design.

Dla wielu firm kosztowna może się okazać ocena ryzyka (którą trudno przeprowadzić bez zewnętrznego wsparcia), odpowiednie zabezpieczenie systemów informatycznych czy konieczność uwzględnienia standardów ochrony prywatności w fazie projektowania. Rząd wykonałby prawdziwy ukłon w stronę małych i średnich przedsiębiorstw, gdyby znalazł sposób na finansowe lub merytoryczne wsparcie ich tam, gdzie rzeczywiście będą potrzebować pomocy. Na tym polu jest dużo do zrobienia – od kampanii informacyjnych po praktyczne narzędzia (np. darmowe aplikacje ułatwiające ocenę ryzyka). Ale takie projekty są trudniejsze do przeprowadzenia niż proste „cięcie” w przepisach prawa. Cóż z tego, że szkodliwe, skoro politycznie skuteczne.

Katarzyna Szymielewicz