Kończą się rządowe prace nad projektem ustawy o ochronie danych osobowych. Jednym z przepisów budzących największe kontrowersje był ten zwalniający wszystkich mikro-, małych i średnich przedsiębiorców z niektórych obowiązków wynikających z unijnego rozporządzenia o ochronie danych osobowych 2016/679 (RODO). Firmy zatrudniające mniej niż 250 osób, które nie przetwarzają danych wrażliwych i nie przekazują ich innym firmom, nie musiałyby informować swych klientów np. o okresie przechowywania danych, prawie do wniesienia skargi czy też dostępu do danych, ich sprostowania i usunięcia. Nie miałyby również mieć obowiązku informowania o wycieku danych. Z tych zwolnień skorzystałaby zdecydowana większość polskich firm. Jak wynika bowiem z danych Polskiej Agencji Rozwoju Przedsiębiorczości, aż 99,8 proc. polskich pracodawców zatrudnia mniej niż 250 osób.
Co powie KE
To już nieaktualne. Najpierw Komitet ds. Europejskich, a później Komitet Stały Rady Ministrów uznały, że trzeba ograniczyć wspomniane wyłączenia.
– Na Komitecie Stałym propozycja wyłączeń dla MŚP została ograniczona podmiotowo i merytorycznie. Będzie dotyczyć tylko mikroprzedsiębiorstw (zatrudniających do 9 osób), które nie przekazują danych do przetworzenia innym podmiotom, a ponadto ograniczono zakres wyłączeń.
Reklama
Niezależnie w tej sprawie będą prowadzone konsultacje z Komisją Europejską – wyjaśnia dr Maciej Kawecki, dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji, który jest głównym autorem projektu.
Zmiany wynikają z zastrzeżeń, które zgłosiło Ministerstwo Spraw Zagranicznych. W swej opinii do projektu ustawy zwróciło ono uwagę, że MC nie uzasadniło, na czym ma polegać „ważny interes gospodarczy” Polski.
Nie znalazło też wystarczających argumentów, które przemawiałyby za tym, że wspomniane wyłączenia nie naruszają istoty podstawowych praw i wolności oraz są środkiem niezbędnym.
Z informacji, jakie udało się uzyskać DGP, wynika, że firmy z sektora MŚP będą jednak musiały informować swych klientów o naruszeniu ochrony ich danych, czyli np. o wycieku. Na pewne ułatwienia będą natomiast mogli liczyć mikroprzedsiębiorcy, czyli firmy zatrudniające mniej niż 10 osób.
Chodzi głównie o obowiązki informacyjne. Z jakich konkretnie zostaną zwolnieni, nie udało nam się ustalić. Posiedzenie Komitetu Stałego Rady Ministrów skończyło się w piątek wieczór i jeszcze nie ma dokumentu z ostatecznymi jego ustaleniami.
Wprowadzone do projektu ustawy zmiany nie muszą być ostateczne.
Ustalono bowiem, że pierwotne propozycje będą dalej konsultowane z Komisją Europejską. Jeśli ta uzna je za zgodne z przepisami unijnymi, to zostaną przywrócone do projektu.
Jednak 16 lat
Dość istotną, a przy tym niespodziewaną zmianą, jest też podwyższenie wieku dziecka, do którego firmy muszą uzyskiwać zgody rodziców (lub opiekunów) na przetwarzanie danych. RODO ustanawia granicę wieku 16 lat, ale pozwala krajom członkowskim UE na jej obniżenie do lat 13.
Ministerstwo Cyfryzacji początkowo zamierzało skorzystać z tej możliwości. To się jednak zmieniło.
– Komitet Stały Rady Ministrów zdecydował, iż zgoda rodzica bądź opiekuna prawnego na korzystanie przez dziecko z usług społeczeństwa informacyjnego będzie wymagana przed ukończeniem przez nie 16. roku życia. Pamiętajmy jednak, że w świetle przepisów RODO zgoda taka jest potrzebna, wyłącznie gdy korzystanie z danych dziecka uzależnione jest od udzielenia przez niego zgody. Gdy podstawą pozyskania danych jest akceptacja przez dziecko regulaminu świadczenia usług drogą elektroniczną, taka zgoda rodzica już potrzebna nie będzie – mówi dr Maciej Kawecki.
Wielu ekspertów jest zdania, że tak naprawdę określona przepisami granica wieku jest i tak dość iluzoryczna. Jak bowiem sprawdzić, czy zgodę na przetwarzanie danych rzeczywiście wyraził rodzic?
Nastolatkowie, a ich głównie dotyczy ten przepis, bez trudu są przecież w stanie utworzyć konta w dowolnych serwisach internetowych, które uwiarygodnią ich fikcyjny wiek.
Etap legislacyjny
Projekt po Komitecie Stałym Rady Ministrów
