Decyzja w rękach Komisji Europejskiej

Artykuł

O tym, czy polskie małe i średnie przedsiębiorstwa zostaną zwolnione z niektórych obowiązków wynikających z RODO, ma zdecydować Komisja Europejska. Jednak póki się na to nie zgodzi, ten budzący ogromne kontrowersje i krytykowany przez nas pomysł Ministerstwa Cyfryzacji zniknie z projektu nowej ustawy o ochronie danych osobowych. Oby już nie wrócił, bo – jak podkreśla Komisja Europejska – RODO opiera się na podejściu opartym o ryzyko, a nie wielkość administratora danych.

Prace nad projektem ustawy o ochronie danych osobowych są pełne dynamiki i zwrotów akcji. Ostatnia wersja ustawy o ochronie danych osobowych przygotowana przez Ministerstwo Cyfryzacji zakłada, że firmy zatrudniające mniej niż 250 pracowników nie będą zobowiązane do realizowania niektórych uprawnień osób, których dane przetwarzają. M.in. miały zostać zwolnione z obowiązku informowania o naruszeniu bezpieczeństwa danych (np. sklepy internetowe prowadzone przez MŚP nie musiałyby informować klientów o wycieku haseł) czy przygotowania dla osoby zainteresowanej kopii jej danych osobowych. Zwrot akcji nastąpił wczoraj, gdy projekt ustawy trafił pod obrady rządowego Komitetu ds. europejskich.

Zdaniem Ministerstwa Spraw Zagranicznych tak szerokie ograniczenie stosowania RODO (małe i średnie firmy zajmują zdecydowaną większość polskiego rynku) może być niezgodne z przepisami unijnymi. Z tym stanowiskiem nie zgadzają się autorzy projektu. Dlatego propozycję przepisów dotyczących wyłączeń zostaną tymczasowo wykreślone z projektu, jednakże, jak czytamy w dokumencie podsumowującym ustalenia Komitetu ds. europejskich, „w przypadku pozytywnej oceny Komisji Europejskiej przepisy zostaną ponownie wprowadzone do projektu ustawy”.

Mamy nadzieję, że Komisja Europejska podzieli nasze stanowisko i tak się nie stanie. Korespondencja, jaką otrzymał nasz Czytelnik z Dyrekcji Generalnej ds. Sprawiedliwości i Konsumentów Komisji Europejskiej wynika, że jest na to szansa. „Nie przewiduje się ogólnego zwolnienia w RODO dla MŚP. RODO opiera się na podejściu opartym na ryzyku, a nie na podejściu opartym na wielkości administratora danych” – czytamy w liście od Dyrekcji.

Aktualizacja:

6 marca pojawiła się nowa wersja projektu ustawy, która przewiduje, że wyłączenia obejmą jedynie mikroprzedsiębiorców, czyli firmy zatrudniające mniej niż 10 pracowników oraz osiągające roczny obrót netto nieprzekraczający 2 mln euro. Z projektu wykreślono też postanowienie, zgodnie z którym  mikroprzedsiębiorcy nie będą musieli informować użytkowników o naruszeniu bezpieczeństwa danych. Nowy zakres wyłączeń nadal będzie przedmiotem oceny Komisji Europejskiej, ale bardzo cieszymy się z tych zmian.

Wojciech Klicki

Wesprzyj naszą walkę o wolność i prywatność. Wpłać darowiznę na konto Fundacji Panoptykon i przekaż nam 1% swojego podatku (KRS: 0000327613).

Komentarze

(-: I w końcu skończy się bezprawie w Polsce. Nie będzie telefonów od telemarketerów, losowania numerów telefonów (celem wyłudzenia danych, gdy ktoś się przedstawi), budzenia takimi telefonami lub przeszkadzania w pracy, zaś pracodawcy i kontrahenci będą w końcu obowiązki informacyjne (i te przed umową) i te na żądanie, gdy zauważamy gdzieś naruszenie - wypełniać. Skończy się w firmach zbieranie danych biometrycznych (bez zgody) i skończy się kserowanie dowodów osobistych (zawierają dane biometryczne). To co tu opisuję realizują... małe i średnie firmy.

Polska to jest kraj wyjątków do tej pory - szczególnie za obecnej partii rządzącej nie posiadającej opozycji (to niebezpieczny stan niezależnie kto byłby u władzy), ale niestety też za czasów starej partii część ustaw miała celowe wygodne wyjątki. Choćby kupa obowiązków jak w UoODO, a żadnej sensownej przewidzianej kary. Co to za kara - "nakazanie przywrócenia przetwarzania zgodnego z prawem"... Ustawy pro-formy.

Może znowu zasypać internet petycjami jak w przypadku ACTA? Osobiście znam masę ludzi którzy by podpisali. Sama jestem zbyt cienka w uszach by to zorganizować ale chętnie pomogę w rozpowszechnieniu akcji. Jeśli ktoś, coś to proszę o kontakt na mail: kjl.nieodnaleziona@gmail.com

Może znowu zasypać internet petycjami jak w przypadku ACTA? Osobiście znam masę ludzi którzy by podpisali. Sama jestem zbyt cienka w uszach by to zorganizować ale chętnie pomogę w rozpowszechnieniu akcji. Jeśli ktoś, coś to proszę o kontakt na mail: kjl.nieodnaleziona@gmail.com
Reagujmy i działajmy :)

Z całym szacunkiem, Karmo, ale by prowadzić kampanię na rzecz prywatności trzeba choć trochę o prywatność dbać.
Usuń konto na szpiegującym Gmailu i załóż skrzynkę u jakiegoś normalnego dostawcy (Protonmail na przykład). Potem podaj swój klucz publiczny PGP, to będziemy do Ciebie pisać.

Karma, Kl2, a po co w ogóle teraz pisać petycję? Jeżeli coś to w innych tematach poruszonych w innych wątkach, np. filtrowania "internetu" w Polsce. Przecież wyraźnie napisane, że KE wykreśliła wyłączenia (zawarte były w artykułach 2 i 3 naszej propozycji). Na razie należy poczekać na ostateczne stanowisko KE, ale jak już przecież napisano, to jest po części znane. Nie będzie wyłączeń na podstawie wielkości przedsiębiorstwa.

http://memy.pl/show/big/uploads/Post/195930/15199757893612.jpg

Z dedykacją dla programistów - taki kod jaki piszecie tylko będzie narażał każdego na wycieki, bo nie namierzacie się przyłożyć i skorzystać ze szkoleń dotyczących bezpieczeństwa aplikacji i nie zamierzacie w tym aspeckie w większości pogłębiać wiedzy i być na czasie. Symfony czy Lar(a)velek za was nie załatwi kwestii bezpieczeństwa.

Drogi/ga/gie/dzy K12, proszę bardzo, wedle życzenia przesyłam na dole komentarza mój klucz. W temacie całkowitej prywatności w internecie jestem świeżynką, gdyż po prostu nigdy nie miałam takiej potrzeby aby być całkiem incognito. Z wiekiem zaczynam pojmować skalę tego (i nie tylko tego) problemu. Wybacz że nie przestrzegam podstawowych zasad ale jak dotąd nie spotkałam się z poradnikiem pt. "Jak utrzymać pełną anonimowość w internecie." (W tym momencie jakieś dobre rady mile widziane. Wiem że raczkuję, ale przecież każdy od czegoś zaczynał).
Co do tego co mówi Anonim, to rzeczywiście w tym artykule jest sprawa prawie rozwiązana. Szczerze automatycznie sobie połączyłam ten artykuł z całą resztą z ostatniego czasu na ten temat i po prostu tutaj to napisałam. Zgadzam się z tym co napisałeś Anonimie i moja propozycja dotyczy wszelkich apeli o pomoc w pozostawieniu internetu takim, jakim jest.
Publiczny klucz PGP
xsBNBFqZllUBCADA4F7HHaXmGVc3g7gXYmW/T0/p1+P2v5eGAmJ+cmGmjKMT
5MJY1+baTa/5SvuN4cPIkMXdZv9Qmr/Ejpa9WrdPGOD3nvqlBaBlCfCxD/4R
Uo8s/r5lS0JWCPEOABT3HGCARBgXmWAxmA6UcAD83Q0yORujvgahWya4BUbO
r1ofEHAGET/o1n2p+4MPUaybwCrVZ7/vimOQaXb2jGh0Z82sglAULOpi4ED7
qiohpF1scVVNNvJjO9oHAwJcI+tskmZWllg4aiLJ031gI6lzvxrFOZgy7NCG
DB/oVn8ucACFxm657dFEeYZsuvZpDlPOLP9ST6GvHCc/J69CPmMjjNHJABEB
AAHNRWtqbC5uaWVvZG5hbGV6aW9uYUBwcm90b25tYWlsLmNvbSA8a2psLm5p
ZW9kbmFsZXppb25hQHByb3Rvbm1haWwuY29tPsLAdQQQAQgAKQUCWpmWVwYL
CQcIAwIJECnf+w5iufuCBBUICgIDFgIBAhkBAhsDAh4BAACwkwf7BuYpIVGy
bFwtSPo9kZT2PxRoMXPKSzCZZp+vtuVDlDZzXDmpETl3bKY0YNhnXZhGTm5y
P/N41uoYSLntZFEuAPvZE+uX3nMcUbkJ4xwwq7sQ71IrD3A1JlxBlJZwIY0l
vnuIKiXnjNjK2H5lAeCdCUdsX9G4QFzFL5FnRY62pEi7o9W6PCC6x6l9CFay
Mel3CkRoRQvwC/02heV3S8poRcir2FCrmsJVhGWF3FbHqJIk3LiugIpXZNtm
IupZm8XPR5ABroC2Lq/40p74M/8ks0urLHBKvB3uWpEwPmbanhsG3T15vL/I
VxAdKWV25JBgkrw+WIi3of3go7rP2nSTfM7ATQRamZZVAQgA0O4vpx1pw/01
3HR/T1QUAnJHkZwXkhNQl1aLz3mJ4/mMMs39TrgxBNTc/VTKLUEigpbp2wBS
7EpQWGrUmmWKTCU8WYJuW88HJgnC/TLKs5eUiaV3ZpFQ6msGgHXF8ZD8xXBa
EYJoFqAmY8GtsXg1sJyLHEKhQrwPDsXSdLhpjsk/r0SPUmN7fSfbVvNKZcZw
fOQZb7L9I939TPoFFdJDZPMHRv7diS1wcgsuOdAEVyoh7aeNL3U1iw7oxbFP
OMpDLZVMBe3+6UGKsnntrZQRP358W1kdmpLCjsREXiFe+NYabz5Ls2TlQ7vZ
mi2q6oqmxFNy6WuWJC8o6kmODh1dLQARAQABwsBfBBgBCAATBQJamZZYCRAp
3/sOYrn7ggIbDAAAiZUH/3CEqF95SeLJGKdpdlPw/QWUe9gKhlD08gQ/JhDN
pvcgaDfiBzvRg0iBYrpPEW1Wevb/WSKzhAp2l8ARC3Sq+XEmGrGu5TvsVHIk
f5zQPd0XZlBTKCJR7rOMJpgSfBKb+Ls2C4nmUbfN64SN0ygi0u9Dnm5sgaRF
nBkfCmMOuCOQ57g8gFu8RWkrTyqm6c6VSeN8QoxqWc/DETEU3o0xYnFcvMNs
sFiL8CV/FFup5Zpz5yjJTe+XLGkxs7ixKsLSwp22X6ZODJPpLFovXji52oi4
9BcecqKeTOiB0nejtnm7J3IomX+NtBtVA31HHLAHiR5AxduppzP/pmKu4Ex+
TAk=
=1ja1

Fajnie, że ktoś w końcu ma klucz - nikt z kim piszę nie chce nawet się pokwapić o to, to nawet nie zakładałam, bo... i tak nikt maila nie przeczyta. Jednak aby to powiedzieć co teraz piszę - nie potrzebuje się ukrywać - NIE INTERNETU JAKI JEST, ALE INTERNETU JAKIM BYŁ. Teraz jest filtrowany i takim go NIE pozostawiajmy. Klucza prywatnego strzeż jak oka w głowie i na prawdę ja też polecam choćby wszystko poza Google (gmail), Microsoft (hotmail, outlook.com). Jeżeli odbierasz na smartfonie - zainteresuj się zamiennym systemem operacyjnym za androida. Używaj ChromIUM zamiast ChromE - wyświetlają strony tak samo, ale Chrome ma dodatki Google.

Co do anonimowego internetu - całkiem anonimowy/ą/i (nie wiem po co tak piszesz - to nienaturalne - dawać więcej niż 1 dodatkową końcówkę) być nie możemy, ale możemy ją zwiększyć używając między innymi protonmail, PGP i Tor Browser - tylko przenigdy nie instaluj tam żadnego dodatku (nawet uBlocka ani Ghostery), bo anonimowość pryśnie.

I należy mieć na uwadze, w Polsce lepiej protonmail założeć przez TorBrowser i przez Tora przepuścić cały ruch pocztowy. Maile archiwizować na pendrive na wypadek spyWare (rolę SpyWare pełni też już używany Windows 10 - wtedy zapomnij o prywatności - bo na nim wyświetlasz odszyfrowane maile).

dla wp.pl na natarczywy pop-up wymuszający zgodę na profilowanie - o czym piszą otwarcie. Niestety jest tylko "zgadzam się" i "nie teraz" - kliknięcie nie teraz powoduje, że popup pojawia się co godzinę.

Uwaga: zastosowanie filtrów nie powoduje przywrócenia scrollbarów - stronę jednak można przewijać strzałkami.

www.wp.pl##script[src^="/one"]+div[class]
www.wp.pl##script[src^="/one"]+style+div[class]
www.wp.pl##script[src^="/one"]+style+style+div[class]
www.wp.pl##script[src^="/one"]+style+style+style+div[class]

Dodatkowo ich style (wirtualnej polski) z display:none nie blokują rzeczy odpalonych w ramkach - żądania dalej idą do serwerów części reklamiarzy. Czyli częsściowa próba ale nieudana wdrożenia privacy by default i GDPR, ale nieskuteczna i z wymuszoną zgodą (nie zgadzaj się to klikaj 3 razy w popup aż się pomylisz i wyrazisz zgodę.

@K12

Tak z ciekawości spytam, skąd wiesz, że protonmail nie szpieguje tak samo jak google? Możesz to udowodnić?

Przez protona przepuszcza się przeważnie tylko szyfrowane maile. Gmail zaraz będzie zarzucał, że to spam i maile przestaną docierać, bo nie mają interesu w obsłudze takiej komunikacji.

Google agresywnie szpieguje, wiadomo to na 100%, zresztą niespecjalnie się kryją z tym. Czy protonmail szpieguje, nie wiemy.
Gdy mam wybrać między firmą, która szpieguje i się do tego przyznaje a firmą która zapewnia że nie szpieguje i do tego nawet wypuszcza część swojego kodu jako opensource, to wybieram tą drugą. A maile i tak samodzielnie szyfruję, więc to że serwer jest protonmail to tylko dodatkowa ochrona.
Bez szyfrowania na własną rękę nie da się zabezpieczyć emailowej komunikacji, email to produkt z natury nie zapewniający bezpieczeństwa, nawet na protonmailu.

Fragment najnowszej odpowiedzi MC - udzielony po godzinie 22:00 polskiego czasu - widać, że pracują nocami.

"Mikroprzedsiębiorstwa będą wyłączone z przestrzegania przepisów RODO jeśli zatrudniają mniej jak 9 pracowników z zastrzeżeniem, że nie przetwarzają danych na dużą skalę – wtedy przepisy będą dotyczyły także ich. Celem RODO jest odnalezienie złotego środka między interesem przedsiębiorców a interesem obywateli, a także ochroną prywatności obywateli a swobodą działalności gospodarczej, dlatego trudno o radykalność i restrykcyjność przepisów w tym zakresie. Chociaż RODO i nowa ustawa o ochronie danych o osobowych w sposób skokowy zwiększają zakres obowiązków przedsiębiorców i możliwość monitorowania przestrzegania zaleceń RODO przez organ nadzorczy."

Zwrócę tu uwagę - czym jest wytrych pod tytułem "duża skala"? Jeżeli są mniejsi od Google to już można uznać za małą skalę? Lub nieustanne wydzwanianie przez 5 osób ze spamem telefonicznym to też jest mała skala i WYŁĄCZA SIĘ Z PRZESTRZEGANIA RODO - CZYLI MOŻNA WSZYSTKO ROBIĆ BEZPRAWNIE?

Czy Fundacja Panoptykon może wskazać czy mamy już projekt aktu prawnego - niestety nie wiem jak je wyszukiwać.

Najnowsza wersja projektu znajduje się pod tym adresem: http://legislacja.rcl.gov.pl/docs//2/12302950/12457689/dokument332518.docx

Kluczowe znaczenie ma w nim odesłanie do art. 104 ustawy o swobodzie działalności gospodarczej (definicja mikroprzedsiębiorcy) - zgodnie z nim chodzi o przedsiębiorcę, który w co najmniej jednym z dwóch ostatnich lat obrotowych:
1) zatrudniał średniorocznie mniej niż 10 pracowników oraz
2) osiągnął roczny obrót netto ze sprzedaży towarów, wyrobów i usług oraz operacji finansowych nieprzekraczający równowartości w złotych 2 milionów euro, lub sumy aktywów jego bilansu sporządzonego na koniec jednego z tych lat nie przekroczyły równowartości w złotych 2 milionów euro.

Zwracam uwagę, że do uznania za mikroprzedsiębiorcę (a więc do korzystania z wyłączenia) potrzebne jest łączne spełnienie obu przesłanek wymienionych w ustawie o swobodzie działalności gospodarczej. A więc z wyłączenia nie skorzysta firma, która co prawda zatrudnia niewielu pracowników, ale ma wysokie obroty. Do tego zawężono zakres wyłączenia - nawet mikroprzedsiębiorcy będą zobowiązani do informowania o wycieku danych (art. 34 RODO).

Jednak dlaczego mam nie uzyskać odpisu przetwarzanych danych (art. 15 GDPR)? Przecież tylko tak mogę sprawdzić co firma zbiera na mój temat i tylko wtedy mogę dochodzić ukarania gdy się okaże że są tam dane biometryczne lub medyczne lub inne "wrażliwe" na przetwarzanie których potrzebna jest zgoda lub których przetwarzać nie mogą. Bez tego też nie sprawdzę czy dane zostały usunięte (mówi o tym chyba też art. 19, z którego są zwolnieni).

Poza tym idąc do takiej firmy np. jako pracownik: nie wiem ile osób tam pracuje średniorocznie, nie wiem jaki obrót firma uzyskała i przez to nie mam jak podjąć decyzji czy chcę przekazać im dane czy nie. Kolejna rzecz - definicja mikroprzedsiębiorcy może zostać zmieniona - bez zmiany samej UODO. Jeżeli już jakieś reguły mają być wpisane w ustawę tak ważną, myślę, że powinny być przepisane z ustawy, choćby do pełnego poprawnego ocenienia przez organy unijne w maju.

Dodatkowo tu wyłaczeniu ulegają "mikroprzedsiębiorcy" przetwarzający dane szczególnie chronione - nie ma zapisu w tej ustawie o tym, co było jeszcze w poprzednim projekcie. Nie ma ograniczenia w dzieleniu się takimi danymi z firmami trzecimi.

Czy na pewno nikt nie będzie wyłączony z obowiązku informowania danej osoby o tym, że dane tej konkretnej osoby wyciekły?

Dodaj komentarz