Decyzja w rękach Komisji Europejskiej

O tym, czy polskie małe i średnie przedsiębiorstwa zostaną zwolnione z niektórych obowiązków wynikających z RODO, ma zdecydować Komisja Europejska. Jednak póki się na to nie zgodzi, ten budzący ogromne kontrowersje i krytykowany przez nas pomysł Ministerstwa Cyfryzacji zniknie z projektu nowej ustawy o ochronie danych osobowych. Oby już nie wrócił, bo – jak podkreśla Komisja Europejska – RODO opiera się na podejściu opartym o ryzyko, a nie wielkość administratora danych.

Prace nad projektem ustawy o ochronie danych osobowych są pełne dynamiki i zwrotów akcji. Ostatnia wersja ustawy o ochronie danych osobowych przygotowana przez Ministerstwo Cyfryzacji zakłada, że firmy zatrudniające mniej niż 250 pracowników nie będą zobowiązane do realizowania niektórych uprawnień osób, których dane przetwarzają. M.in. miały zostać zwolnione z obowiązku informowania o naruszeniu bezpieczeństwa danych (np. sklepy internetowe prowadzone przez MŚP nie musiałyby informować klientów o wycieku haseł) czy przygotowania dla osoby zainteresowanej kopii jej danych osobowych. Zwrot akcji nastąpił wczoraj, gdy projekt ustawy trafił pod obrady rządowego Komitetu ds. europejskich.

Zdaniem Ministerstwa Spraw Zagranicznych tak szerokie ograniczenie stosowania RODO (małe i średnie firmy zajmują zdecydowaną większość polskiego rynku) może być niezgodne z przepisami unijnymi. Z tym stanowiskiem nie zgadzają się autorzy projektu. Dlatego propozycję przepisów dotyczących wyłączeń zostaną tymczasowo wykreślone z projektu, jednakże, jak czytamy w dokumencie podsumowującym ustalenia Komitetu ds. europejskich, „w przypadku pozytywnej oceny Komisji Europejskiej przepisy zostaną ponownie wprowadzone do projektu ustawy”.

Mamy nadzieję, że Komisja Europejska podzieli nasze stanowisko i tak się nie stanie. Korespondencja, jaką otrzymał nasz Czytelnik z Dyrekcji Generalnej ds. Sprawiedliwości i Konsumentów Komisji Europejskiej wynika, że jest na to szansa. „Nie przewiduje się ogólnego zwolnienia w RODO dla MŚP. RODO opiera się na podejściu opartym na ryzyku, a nie na podejściu opartym na wielkości administratora danych” – czytamy w liście od Dyrekcji.

Aktualizacja:

6 marca pojawiła się nowa wersja projektu ustawy, która przewiduje, że wyłączenia obejmą jedynie mikroprzedsiębiorców, czyli firmy zatrudniające mniej niż 10 pracowników oraz osiągające roczny obrót netto nieprzekraczający 2 mln euro. Z projektu wykreślono też postanowienie, zgodnie z którym  mikroprzedsiębiorcy nie będą musieli informować użytkowników o naruszeniu bezpieczeństwa danych. Nowy zakres wyłączeń nadal będzie przedmiotem oceny Komisji Europejskiej, ale bardzo cieszymy się z tych zmian.

Wojciech Klicki

Wesprzyj naszą walkę o wolność i prywatność. Wpłać darowiznę na konto Fundacji Panoptykon i przekaż nam 1% swojego podatku (KRS: 0000327613).