Po konsultacjach nowej ustawy o ochronie danych: podsumowujemy zdobycze i straty

Artykuł

Ministerstwo Cyfryzacji opublikowało nową wersję ustawy o ochronie danych osobowych, będącej wdrożeniem RODO. Prowadzone przez kilka miesięcy konsultacje publiczne nie poszły na marne: pod wpływem zgłoszonych uwag Ministerstwo poprawiło tryb powoływania prezesa Urzędu Ochrony Danych Osobowych (wykreślając przepis uzależniający wybór kandydata od decyzji prezesa Rady Ministrów) i przepisy proceduralne (m.in. obowiązek konsultowania branżowych kodeksów postępowań). Niestety, wygląda na to, że ceną za sprawne przyjęcie ustawy przez rząd i przejście do kolejnego etapu prac legislacyjnych będą szerokie wyłączenia dla małych i średnich przedsiębiorstw, na które nalegało Ministerstwo Rozwoju. To poważny wyłom w standardzie, jaki przewiduje RODO. I zarzewie kolejnego sporu z Komisją Europejską (uzupełnienie: 23 lutego wysłaliśmy do Ministerstwa Cyfryzacji nasze uwagi dotyczące najnowszej wersji projektu ustawy o ochronie danych osobowych. Znajdziecie je tutaj).

Organ nadzorczy z silnym, demokratycznym mandatem

Od początku prac nad wdrożeniem RODO jednym z gorętszych tematów był tryb powoływania szefa nowego organu nadzorczego (PUODO). W pierwszej wersji projekt przewidywał powoływanie PUODO przez Sejm za zgodą Senatu, ale na wniosek prezesa Rady Ministrów. W praktyce taka procedura sprowadzałaby parlament do roli notariusza zatwierdzającego polityczną decyzję szefa rządu. Nie byłoby też w niej miejsca na otwartą konkurencję między kandydatami na to stanowisko i ich wizjami sprawowania urzędu. W aktualnej wersji projektu nie ma wzmianki o wniosku prezesa Rady Ministrów, co oznacza, że kandydatów na PUODO (tak jak obecnie kandydatów na GIODO) będą mogły zgłaszać grupy posłów.

Ministerstwo Cyfryzacji, broniąc pierwotnego pomysłu, argumentowało, że wybór piastuna organu władzy zawsze ma charakter polityczny. A jednak to, czy o wyborze kandydata decyduje jednoosobowo szef rządu, czy – w pluralistycznym systemie – konkurujące grupy posłów, czyni różnicę. Ostatecznie nowy organ ma kontrolować także działania rządu (np. przetwarzanie danych w ramach rozmaitych publicznych baz danych), a więc potrzebuje gwarancji niezależności od władzy wykonawczej. Wybór przez Sejm i Senat daje osobie pełniącej urząd najmocniejszy – po wyborach powszechnych – mandat demokratyczny. A takiego PUODO niewątpliwie potrzebuje, jeśli ma skutecznie realizować stawiane przez nim zadania.

Obowiązek konsultowania kodeksów postępowań

W konsultacjach publicznych postulowaliśmy też zmiany w trybie przyjmowania tzw. kodeksów postępowań, czyli wypracowywanych przez poszczególne branże standardów, które będą miały bezpośredni wpływ na to, w jaki sposób przepisy RODO są stosowane i interpretowane. Te standardy mogą dotyczyć np. treści modelowej klauzuli zgody na przetwarzanie danych, sposobu realizowania prawa do informacji (łącznie z wyjątkami, które dana branża uważa za uzasadnione) czy prawa do przeniesienia danych (w tym wyboru formatu, jaki będzie wykorzystywany, albo kategorii danych, które będą tym prawem objęte). To wszystko sprawy o dużym znaczeniu dla konsumentów, a więc nie powinny być rozstrzygane bez dyskusji z bezpośrednio zainteresowanymi.

W pierwszej wersji przepisy ustawy o ochronie danych osobowych w ogóle nie odnosiły się do obowiązku konsultowania kodeksów z osobami, których praw będą one dotyczyć, ani do roli organizacji społecznych w tym procesie. Panoptykon proponował otwarty dialog izbom, które od miesięcy pracują nad swoimi kodeksami (m.in. Związkowi Banków Polskich i IAB), ale do tej pory żadne drzwi się nie otworzyły. Teraz obowiązek prowadzenia publicznych konsultacji znalazł się w ustawie. Dzięki temu wszyscy będziemy mieli szansę skomentować pomysły biznesu na dobre praktyki w zakresie ochrony danych, zanim staną się one rynkowym standardem, zaakceptowanym przez PUODO.

Wyłączenia dla MŚP

Pod wpływem krytyki Ministerstwo Cyfryzacji cofnęło się o krok, przywracając w stosunku do MŚP podstawowe obowiązki zawarte w art. 13 ust. 1 RODO, w tym obowiązek informowania o tym, kto i w jakim celu przetwarza dane osobowe. Pozostawiło jednak szereg innych, trudnych do uzasadnienia wyłączeń.

Niestety, w innych aspektach obecny projekt ustawy o ochronie danych osobowych jest zdecydowanie gorszy niż ten, który Ministerstwo Cyfryzacji przedstawiło do konsultacji. W toku uzgodnień międzyresortowych, na wniosek Ministerstwa Rozwoju, przyjęto ograniczenie obowiązków, jakie na gruncie RODO mają realizować małe i średnie przedsiębiorstwa, czyli firmy zatrudniające mniej niż 250 pracowników (szczegółowo pisaliśmy o tym pomyśle w tekście Premier podstawia nogę RODO).

Pod wpływem krytyki, również ze strony biznesu (por. apel Fundacji Panoptykon i Polskiej Rady Biznesu), Ministerstwo Cyfryzacji cofnęło się o krok, przywracając w stosunku do MŚP podstawowe obowiązki zawarte w art. 13 ust. 1 RODO, w tym obowiązek informowania o tym, kto i w jakim celu przetwarza dane osobowe. Nadal jednak w projekcie ustawy o ochronie danych osobowych pojawia się szereg trudnych do uzasadnienia wyłączeń. Małe i średnie przedsiębiorstwa (pod warunkiem, że nie będą przetwarzać danych wrażliwych i przekazywać naszych danych innym firmom) nie będą musiały informować swoich klientów o tym:

  • czy stosują zautomatyzowane podejmowanie decyzji (w tym na podstawie profilowania); a jeśli tak, jakie są zasady podejmowania tych decyzji oraz znaczenie i przewidywane konsekwencje dla osoby, której dane dotyczą;
  • jak długo mają zamiar przetwarzać dane;
  • jak podchodzą do kwestii zabezpieczenia danych;
  • czy podanie danych osobowych jest wymogiem ustawowym albo jest niezbędne do zawarcia umowy oraz czy jesteśmy zobowiązani do ich podania i jakie są ewentualne konsekwencje niepodania danych.

Bez tych informacji osoba, która decyduje się przekazać dane, nie będzie w stanie ocenić związanego z tą decyzją ryzyka. Świadomość czynników, o których mowa w art. 13 ust. 2 RODO, może zadziałać jak sygnał alarmowy – np. jeśli z przekazanych informacji wynika, że administrator nie podchodzi odpowiedzialnie do zabezpieczenia danych albo zamierza trzymać dane w nieskończoność. Z perspektywy osoby, której dane dotyczą, ta wiedza ma największą wartość właśnie w momencie podejmowania decyzji, czy przekazać dane.

Zgodnie z projektem małe i średnie przedsiębiorstwa nie będą też musiały w aktywny sposób informować swoich klientów o ich prawie do:

  • żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania;
  • wniesienia sprzeciwu wobec przetwarzania;
  • przenoszenia danych;
  • wniesienia skargi do organu nadzorczego.

O ile te informacje są mniej newralgiczne z perspektywy oceny ryzyka, o tyle pełnią ważną funkcję uświadamiającą: żeby móc skorzystać ze swojego prawa, najpierw trzeba się o nim dowiedzieć. Oczywiście, można sobie wyobrazić, że tę rolę przejmą kampanie prowadzone przez PUODO. Jednak o wiele łatwiej i taniej podstawową wiedzę na ten temat mogą przekazać firmy, które tak czy inaczej kontaktują się ze swoimi klientami i przetwarzają ich dane.

Kolejną ofiarą taryfy ulgowej dla MŚP jest obowiązek informowania o naruszeniu bezpieczeństwa danych. Mniejsze firmy, wśród których może się np. znaleźć dostawca poczty elektronicznej czy sklep internetowy, nie będą musiały informować swoich klientów, jeśli dojdzie do wycieku ich danych.

Kolejną ofiarą taryfy ulgowej dla MŚP jest obowiązek informowania o naruszeniu bezpieczeństwa danych. Mniejsze firmy, wśród których może się np. znaleźć dostawca poczty elektronicznej czy sklep internetowy, nie będą musiały informować swoich klientów, jeśli dojdzie do wycieku ich danych, mimo że takie zdarzenie oznacza wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą (tylko w takich okolicznościach wymaga tego RODO). Łatwo sobie wyobrazić niebezpieczny wyciek haseł, o którym klienci dowiedzą się (o ile w ogóle) dopiero z mediów, bez szans na szybką reakcję i zabezpieczenie swojego konta przed włamaniem.

Wreszcie: małe i średnie przedsiębiorstwa nie będą musiały informować swoich kontrahentów, którym wcześniej przekazały dane, o tym, że ich klienci te dane usunęli albo sprostowali. Brak takiego obowiązku nie tylko ograniczy skuteczność praw osób, których dane dotyczą (nieprawidłowe lub zbędne dane, które próbowali usunąć, nadal będą krążyć), ale może też zaszkodzić innym administratorom (kontrahenci nie dowiedzą się, że dane, które przetwarzają, są nieaktualne albo niepoprawne).

W poszukiwaniu uzasadnienia (i drogi wyjścia)

Po co to wszystko? Możemy tylko spekulować, ponieważ ani Ministerstwo Cyfryzacji, ani Ministerstwo Rozwoju (które zaproponowało inne standardy dla MŚP) nie wyjaśniło, jak został przeprowadzony test proporcjonalności – czyli analiza pokazująca, że korzyści z perspektywy interesu publicznego przewyższają straty i ryzyko po stronie obywateli. Jedynym argumentem, jaki powraca w uzasadnieniach, jest obiektywna trudność przekazania wymaganych informacji, kiedy dane są pozyskiwane przez telefon. Przy czym nie wiadomo, jak ta konkretna trudność ma się do sytuacji dziesiątek tysięcy firm o różnych modelach biznesowych.

Według raportu Polskiej Agencji Rozwoju Przedsiębiorczości za 2017 r. w Polsce działa 3,5 tys. dużych firm, co przekłada się na 0,2% sektora biznesu. Cała reszta to, z prawnego punktu widzenia, małe i średnie przedsiębiorstwa. Nie mamy danych pokazujących, ile z nich spełnia dodatkowe warunki, o których mowa w projekcie ustawy (nie przetwarza danych wrażliwych i nie przekazuje danych stronom trzecim na podstawie innej niż zgoda). Można jednak bezpiecznie założyć, że proponowane wyłączenia objęłyby większość firm przetwarzających dane osobowe, w tym całą rzeszę sklepów internetowych i firm z branży marketingu bezpośredniego.

W swojej masie to one wyznaczają rynkowy standard i mają istotną rolę do odegrania w upowszechnianiu dobrych praktyk. W tym sektorze nie jest normą zawieranie umów przez telefon – o wiele częściej tym kanałem jest Internet, co pozwala zrealizować obowiązki informacyjne w stosunkowo tani i prosty sposób (wystarczy e-mail albo odpowiednia klauzula na stronie internetowej). Z kolei problem firm, które pozyskują dane przez telefon, można by rozwiązać poprzez węższe wyłączenie, zarezerwowane tylko dla takich sytuacji (ustawa mogłaby dopuszczać np. niezwłoczne przesłanie wymaganych informacji w formie elektronicznej).

Prace nad ustawą o ochronie danych osobowych jeszcze potrwają, a więc szansa na dopracowanie jej słabych elementów nadal istnieje. Zanim projekt trafi na agendę Rady Ministrów, musi przejść przez Komitet do spraw Europejskich, który zapewne zgłosi poważne zastrzeżenia do ograniczenia obowiązków, jakie przewiduje RODO (takie zastrzeżenia już zasygnalizowała Ministerstwu Cyfryzacji Komisja Europejska). Kolejna szansa na poprawki – w tym rządowe autopoprawki – będzie w parlamencie. Wreszcie, gdyby się okazało, że wyłączenia dla MŚP są politycznie nie do ruszenia, zostaje możliwość zaskarżenia polskiej ustawy do Trybunału Sprawiedliwości UE. Przy czym oczekiwanie na wyrok trybunału w Luksemburgu oznacza niepewność co do prawa i niepotrzebne koszty dla Polski, a więc lepiej by było, gdyby tę ustawę udało się naprawić własnymi rękami.

Katarzyna Szymielewicz

Wspieraj naszą walkę o lepsze prawo ochrony danych! Wpłać darowiznę na konto Fundacji Panoptykon i przekaż nam 1% swojego podatku (KRS: 0000327613).

Komentarze

Czy dobrze rozumiem, że proponowane wyłączenia dotyczą MŚP i administracji państwowej w określonym zakresie, ale jeżeli dane osobowe przetwarza osoba prywatna na potrzeby swoich umów-zleceń czy działalności niezarobkowej (choćby prowadzone fora internetowe) to proponowane zwolnienie jej nie dotyczy? Co do zasady jestem przeciwnikiem wyłączania MŚP z powyższych obowiązków, oznacza to regres w stosunku do obecnego stanu prawnego w niektórych obszarach.

@Piotr: Tak, osoby nie prowadzące działalności gosporadczej z żadnego klucza nie "łapią się" na wyjątek dla MŚP. Jeśli mimo tego, że nie są firmą, przetwarzają dane innych osob fizycznych (jako administrator, nie w ramach umowy powierzenia) i nie kwalifikuje się to jako "czynność o czysto osobistym lub domowym charakterze" (art. 2 RODO), mają problem...Ciekawe, czy Ministerstwo Rozwoju dostrzeże ten paradoks.

Apel do DIRECT EUROPE już wysłany - proponuję wszystkim obywatelom, którzy są zainteresowani - wysłać apel tu https://europa.eu/european-union/contact/write-to-us_pl i poinformować, że proponowana implementacja DGPR (nie używajcie słowa RODO - jest niezrozumiałe dla nich) - jest poważnym wyłomem i oznacza spadek standardów ochrony danych osobowych wypracowany przez lata. Informujcie ich, że chcecie wiedzieć, które pola w formularzach są obowiązkowe i dlaczego musicie te dane podać i jakie skutki są za ich niepodanie i na jakiej podstawie.

Jeżeli nie odpiszą w 3 dni - nie ponaglajcie - oznacza, że działają. Najwyżej dostaniecie odpowiedź po 14 dniach - po interwencji.

Odpowiedź Unii z poprzedniego apelu - fragment:

Komisja współpracuje z wieloma zainteresowanymi stronami, aby od 25 maja 2018 administratorzy danych, jednostki przetwarzający dane i osoby, których dane dotyczą, byli gotowi na nowe zasady ochrony danych. W związku z tym Komisja odbywa regularne spotkania z grupą ekspertów państw członkowskich w celu zapewnienia, w razie potrzeby, dostosowania do prawa państw członkowskich w zakresie stosowania GDPR w przewidzianym terminie oraz celem weryfikacji sprawnej transpozycji dyrektywy w sprawie ochrony danych osobowych do prawa krajowego państwa członkowskiego.

Nie przewiduje się ogólnego zwolnienia w GDPR dla MŚP. GDPR opiera się na podejściu opartym na ryzyku, a nie na podejściu opartym na wielkości administratora danych.

W okresie od maja 2018 r. Komisja będzie kontynuować współpracę z państwami członkowskimi. Od maja 2018 r. będzie monitorować, w jaki sposób państwa członkowskie stosują nowe przepisy i podejmować w razie potrzeby odpowiednie działania.

RODzi nam się RODO
PUODzi nam PUODO, a chirurg (ministerstwo cyfryzacji i MSP) ciążę usuwa i jest PORONIODO.

Tak to wygląda, gdy się na to popatrzy.

Zlikwidowanie - nawet tylko dla niektórych podmiotów - wymogu informowania o wycieku danych to tak naprawdę niewdrożenie RODO, bo to jego największa zaleta.

To byłby papierek lakmusowy dla wielu tzw. januszy biznesu, którzy danymi osobowymi innych sieją po całym Internecie. A tak - większość rzeczy pozostanie po staremu. Czyli źle.

A gdzie w tej ustawie jest artykuł 13 ustęp 2, który jest wyłączony dla MŚP?

Art. 3. 1. Do przetwarzania danych osobowych przez administratorów nie będących podmiotami publicznymi wskazanymi w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2017 r. poz. 2077), zatrudniających mniej niż 250 osób, przepisów art. 13 ust. 2 lit a-b oraz d - f, art. 15 ust. 3 i 4, art. 19 oraz art. 34 rozporządzenia 2016/679 nie stosuje się.

Właśnie zapoznałam się z 2016/679 (jak lubię te numerki..., myślałam, że to ta ustawa polska). Przecież wyłączenie z ustępu 3 i 4 artykułu 15 oznacza wolną amerykankę w przetwarzaniu danych osobowych. Zacytowałabym tu mętną odpowiedź jednego z przedsiębiorstw, ale może to być nielegalne - nie mam pozwolenia na upublicznianie. Coś w stylu: przetwarzamy "imię, nazwisko, adres, ..." i takie inne ogólnikowe. Tak wygląda realizowanie obowiązku informacyjnego przez takie MŚP. A jak już dojdzie do zażądania zapisu brzmienia danych osobowych - ich treści, wydruku ewentualnych zdjęć - to nie idzie uzyskać danych nawet po nakazie GIODO.

Pani Karolino, to jest niedopuszczalne, poszedł kolejny apel do ED - tym razem ze szczegółami.

Tu fragment:

Mowa o wielkości administratora danych - tymczasem największe nadużycia są w małych i średnich firmach, np. slepach internetowych, u telemarketerów itp.

Cytat:
"Art. 3. 1. Do przetwarzania danych osobowych przez administratorów nie będących podmiotami publicznymi wskazanymi w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2017 r. poz. 2077), zatrudniających mniej niż 250 osób, przepisów art. 13 ust. 2 lit a-b oraz d - f, art. 15 ust. 3 i 4, art. 19 oraz art. 34 rozporządzenia 2016/679 nie stosuje się."

http://legislacja.rcl.gov.pl/docs//2/12302950/12457674/12457675/dokument...

Dlaczego artykuł 13, 15, 19 oraz 34 ustawy GDPR (2016/679) jest wyłączony na podstawie wielkości przedsiębiorstwa (administratora danych)???

Dlaczego od przedsiębiorstwa zatrudniajacego do 250 osób mam NIE mieć prawa do uzyskania kopii przetwarzanych danych? (art. 15 GDPR)?

Dlaczego mam nie mieć prawa do informacji o tym, że moje dane wyciekły z takiego przedsiębiorstwa (art. 34 GDPR).

Proszę Państwa, polska implementacja GDPR jest absurdalna. Odbiera nam prawa, do których mieliśmy prawo od ponad 10 lat!

Dlaczego dziennikarze, artyśli i literaci mają być zwolnieni z obowiązków art 5-9, 11 oraz kolejnych? Przecież skoro w art. 5 pisane jest o zgodności z prawem przetwarzania danych, to oznacza, że te grupy mogą przetwarzać je bezprawnie.

Z tego wynika wniosek - artystą też można uznać osobę, która wejdzie w posiadanie czyjegoś dowodu osobistego - domaluje np. wąsy lub coś innego na tym dowodzie i wrzuci go ze wszystkimi danymi osobowymi np. na serwis DeviantArt. Podobnie - dziennikarstwo - gdzie jest granica? Dlaczego dziennikarz bez zgody danej osoby ma publikować o niej informacje (przypominam o zapisie o zgodności z prawem, z którego są wyłączeni)? Praktycznie wyłączając już z samego artykułu 5 wyłączamy z przestrzegania całego GDPR.

Zaznaczę, że prawa dziennikarza czy artysty mogą posiadać osoby w firmach typu MŚP jak również same firmy (agencje reklamowe - one też są artystami). Podobnie programiści są artystami.

Proszę o komentarz Fundację Panoptykon.

Taka regulacja nie tyle zmniejsza zakres uprawnień osób, których dane dotyczą, co wprowadza kompletny chaos prawny. Trzeba pamiętać, że rozporządzenia mają skutek bezpośredni we wszystkich państwach członkowskich, a akty prawa krajowego nie mogą ich uchylić. Jeżeli mamy sprzeczność, to organy publiczne (PUODO albo sądy) mają obowiązek odmówić jego stosowania (TSUE wypowiadał się na ten temat wiele razy). To resztą wynika z naszej Konstytucji w art. 91 ust. 3, który mówi, że w razie kolizji między ustawą a rozporządzeniem unijnym stosujemy to właśnie rozporządzenie.

Jest pytanie, czy na takiej podstawie można karać administracyjnie przedsiębiorcę, który w dobrej wierze stosował się do ustawy polskiej, mimo że ta jest sprzeczna z rozporządzeniem.

Wiem, że zawsze mogę przejść drogę PUODO -> WSA -> NSA -> TSUE, ale tu jest problem, że przeciążymy Unię Europejską. Chyba lepiej swój "bałagan" w firmach trzymać we własnym kraju - i szybciej i nie będzie wojny. Pewnie, że jak firma mi odmówi informacji o której jest w art 15 ust. 3, to przejdę tą drogę. Tylko będzie dłużej, drożej i zastanawia mnie tylko kto koszty sadowe zapłaci pomiędzy NSA a TSUE?

Stąd za wczasu trąbię o opinię Panoptykonu i działania w sprawie art. 2 naszego bubla prawnego. Tyle co mogłam zrobić - zrobiłam.

Tylko to co zbiorą bez twojej zgody - tego już nie cofniesz - dostaniesz formularze bez podstaw prawnych i biegaj sobie po prawnikach...

Co do konstytucji - to co zrobiono z trybunałem i wiele innych rzeczy wiadomo, że jest niezgodne, a dziwnym trafem nadal ustawa ma pierwszeństwo, bo trybunał sparaliżowany.

Co do karania tu przedsiębiorcy nie wiem - ale trybunały nie rozpatrują spraw jednostek, a orzekają o unieważnieniu ustaw (w części sprzecznej), a TSUE nie wiem - niestety prawo unii jest dla mnie magią. Na razie zrozumiałam czym są rozmowy trójstronne.

Cyt. : "Można jednak bezpiecznie założyć, że proponowane wyłączenia objęłyby większość firm przetwarzających dane osobowe, w tym całą rzeszę sklepów internetowych i firm z branży marketingu bezpośredniego".
Nie zgadzam się z tą tezą. Te wyłączenie to praktycznie fikcja i obejmie tylko nielicznych. Proszę mi wskazać małą jednoosobową firmę, która nie korzysta z np. zewnętrznej księgowości. Przekazywanie do danych innych administratorów ma miejsce także przy okazji m.in. badań lekarskich (medycyna pracy), prowadzenia dokumentacji kadrowej (często połączone z obsługą księgową), obsługi prawnej oraz spraw BHP/ppoż.
Wątpiącym od razu też odpowiadam, na administratorze ciąży oczywiście np. obowiązek prowadzenia dokumentacji księgowo- finansowej, ale nigdzie nie jest napisane, że musi to robić przy pomocy zewnętrznego podmiotu (innego administratora). Chcąc skorzystać z zwolnienia musiałby pobierać zgodę od wszystkich klientów na przekazanie ich danych do biura rachunkowego - co jest nierealne.
Przez to ucho igielne przejdzie zatem naprawdę bardzo mała liczba podmiotów.

@Rzesław: dzięki za podpowiedź jeżeli chodzi o badania lekarskie - te są obowiązkowe - a z kadrami to bywa różnie oraz co do BHP i ppoż. Ale faktem jest, że problem pozostaje.

Wyobraź sobie firmę 10 osobową składającą się z telemarketerów, którzy wyłudzają dane, zakłady energetyczne, sieci kablówki itp. Oni w teorii mogą żyć bez przekazywania danych na zewnątrz a wszyscy mogą pracować w oparciu o umowy B2B lub zlecenia lub nawet o dzieło. Wtedy szkoleń ppoż nie ma, a kadrowa może być na umowie cywilnej. Wtedy też nie ma badań, a kontrolerom ciężko będzie udowodnić, że coś wypłynęło, gdy maszyny do transferu danych (na zewnątrz - do sprzedaży) zostaną ukryte lub będą stać na zewnątrz z połączeniem RDP/VNC z firmy.

Poza tym sąd najwyższy przyjął, że dane takie jak imię i nazwisko pracownika (ale już nie adres i PESEL - więc brawo za analizę) - są danymi publicznymi i pracodawca może nimi siać na lewo i prawo w związku z wykonywaną pracą. Jednak: nie zwalnia ich to z obowiązku podania KOMU przekazali nawet to imię i nazwisko.

BTW. Jednak licz się z tym, że w wersji 2.0 tej ustawy PiS zauważy błędy i dopisze "za wyjątkiem...". Stąd problem należy zgładzić u podstaw.

Czuje ze bedzie odzew unii w posaci nalozenia na Polske kolejnych kar za niewdrozenie unijnego prawa. Chcieli do unii, to niech teraz sie dostosuja a nie rzna glupa.

Zaloge Panoptykonu zapytam, jak to jest z tym trybunalem sprawiedliwosci? ile czeka sie tam na sprawe i najwazniejsze, czy po sadzie najwyzszym musze sie odwolywac najpierw do [zdechlego] trybunalu konstytucyjnego, a potem do TSUE?

Czy po skonczonym procesie wewnatrz panstwa i odwolaniu sie do TSUE musze placic [ogromne] koszty sadowe? Czy TSUE zarzadza ich zwrot, jezeli w ogole bylo mnie stac na ich oplate, pominjajac, ze pewnie koszty za sad najwyzszy moga wymagac sprzedazy swoich danych firmom kredytowym?

Uzupełniająco: wysłaliśmy dzisiaj do Ministerstwa Cyfryzacji nasze uwagi dotyczące projektu. Można je znaleźć tutaj

Dodaj komentarz