Logotyp serwisu CyberDefence24
Reklama

RODO zbyt surowe dla MŚP? UODO reaguje na propozycję zespołu Brzoski

business firma
UODO podzieliło się z nami swoją opinią na temat propozycji zespołu Rafała Brzoski dotyczącej deregulacji w kontekście RODO i MŚP.
Autor. Waseem Farooq/Pxhere/CC0

Zespół Rafała Brzoski chce zwolnienia małych i średnich przedsiębiorstw z części obowiązków wynikających z RODO. Jako argument podaje m.in. nadmierne obciążenie MŚP kosztami. Urząd Ochrony Danych Osobowych stanowczo komentuje sprawę.   

Zespół ds. deregulacji pod kierownictwem szefa InPostu Rafała Brzoski opracował propozycję zwolnienia małych i średnich firm z części obowiązków informacyjnych wynikających z RODO. Jak opisywaliśmy na naszych łamach, pomysł został przyjęty jednogłośnie przez wewnętrzny komitet sterujący i ma trafić na biurko premiera. 

Jako argument podano, że obecnie mniejsze przedsiębiorstwa są nadmiernie obciążone, ponieważ muszą spełniać takie same obowiązki jak duże korporacje. Wskazano na np. art. 13 i 14 RODO dotyczący konieczności przekazywania szczegółowych informacji dotyczących przetwarzania danych osobowych.

Zespół Brzoski podkreśla, że realizacja wszystkich postanowień wiąże się z m.in. wysokimi kosztami i wdrażaniem skomplikowanych procedur przez MŚP. 

Co na to Urząd Ochrony Danych Osobowych? O sprawie rozmawiamy z Karolem Witowskim, rzecznikiem UODO. 

    Reklama

    Nie było konsultacji z UODO

    Szymon Palczewski, CyberDefence24: Czy zespół Rafała Brzoski konsultował propozycje zmian z Prezesem UODO?

    Karol Witowski: Do UODO nie wpłynęły do zaopiniowania projektowane zmiany przepisów, czyli ustawy z dnia 30 maja 2014 r. o prawach konsumenta (Dz.U. z 2024 r., poz. 1796) oraz ustawy z dnia 6 marca 2018 r. Prawo przedsiębiorców (Dz.U. z 2024 r., poz. 236, ze zm.).

    Ze wspomnianych przez pana założeń zmian przepisów wynika, że projektowane przepisy powinny zostać skonsultowane z Urzędem Ochrony Danych Osobowych, co jest standardową procedurą w przypadku ustaw wpływających na przetwarzanie danych osobowych.

    O tym prawo mówi wprost.

    Tak, taki obowiązek wynika przede wszystkim z ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

      Reklama

      Obowiązki RODO. MŚP i tak muszą być gotowe

      Czy proponowane przez zespół ds. deregulacji zmiany, w tym m.in. dotyczące obowiązków wynikających z art. 13 i 14 RODO, są dla Urzędu zaskoczeniem?

      Takie propozycje nie są niczym nowym. Prezes UODO Mirosław Wróblewski wskazuje, że to powrót do dyskusji, która odbyła się już w toku procesu legislacyjnego polskich ustaw wdrażających RODO. Wówczas opracowano przepisy obowiązujące do dziś. 

      Czyli nie ma potrzeby zmiany akurat tych konkretnych postanowień?

      Z obserwacji Prezesa UODO wynika, że małe firmy już się przyzwyczaiły do obowiązków wynikających z RODO. Przez ponad rok spotkań z organizacjami przedsiębiorców nie spotkaliśmy się z wyrażoną potrzebą zmian art. 13 i 14.

      Co więcej, warto podkreślić, że zgodnie z proponowanymi zmianami obowiązki z ww. artykułów Rozporządzenia miałyby być przekazywane osobie, której dane dotyczą na jej żądanie, czyli i tak MŚP muszą być przygotowane na spełnienie wobec danej osoby obowiązków informacyjnych wynikających z RODO.

        Reklama

        O ograniczeniach słów klika

        Zapewne Urząd przygląda się uważnie sprawie i analizuje propozycje dotyczące RODO, złożone przez zespół Rafała Brzoski. Co przykuwa waszą uwagę?

        Zwrócić uwagę należy na przewidziane art. 23 RODO ograniczenia i wskazać, że nie mogą być one rozumiane jako wyłączenia spod regulacji rozporządzenia 2016/679. Ewentualne ograniczenia stosowania RODO mogą następować w dość szerokim, ale nie pełnym zakresie oraz tylko o ile spełnione zostaną warunki z art. 23, w szczególności dla zapewnienia poważnych celów, o których stanowi art. 23 ust. 1.

        Całkowite wyłączenie praw osób, których dane dotyczą nie jest zatem możliwe, choć jest możliwe ich ograniczenie, ale jedynie po spełnieniu pewnych przesłanek.

        Może Pan je wymienić?

        Po pierwsze, odpowiednio skonstruowane przepisy aktu prawnego – a nie jedynie przepis wskazujący pełne wyłączenie stosowania całych aktów prawnych – może ograniczać ściśle określony wskazanymi przepisami RODO zakres praw i obowiązków, tj. tych, które przewidziane są w art. 12-22 i w art. 34 oraz art. 5 Rozporządzenia.

        Po drugie, akt prawny ograniczający w ww. zakresie prawa i obowiązki musi zawierać przepisy odpowiadające prawom i obowiązkom przewidzianym w art. 12-22 RODO;

        Następnie, wprowadzane w ww. sposób ograniczenie nie może naruszać istoty podstawowych praw i wolności;

        Kolejną przesłanką jest to, że wprowadzane w ww. sposób ograniczenie musi być w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym,

        Po piąte, ograniczenie służyć może jednemu z celów przewidzianych w art. 23 ust. 2 lit a) – j) RODO.

          Reklama

          Argument dotyczący kosztów dla MŚP

          Zespół ds. deregulacji twierdzi, że obecne obowiązki wynikające z RODO generują nadmierne obciążenie dla małych i średnich firm. Wskazano na m.in. koszty prawne i administracyjne, które zostałyby zredukowane po wdrożeniu proponowanych rozwiązań. Jak do takiej argumentacji podchodzi UODO?

          Zgodnie z Wytycznymi EROD 10/2020 art. 23 ust. 1 lit. e („inne ważne cele leżące w ogólnym interesie publicznym”) nie uzasadnia ograniczenia praw osób, których dane dotyczą, wyłącznie ze względu na koszty realizacji obowiązków informacyjnych. W ww. wytycznych zauważono, że samo obciążenie finansowe – nawet dla budżetów publicznych – nie stanowi wystarczającej podstawy do ograniczenia tych praw.

          Przyglądając się propozycji, można odnieść wrażenie, że małe (do 50 osób) i średnie (do 250) firmy wrzuca się do jednego worka. Jak UODO ocenia takie podejście?

          Prezes Urzędu jest zdania, że nie można przedsiębiorstw traktować jednakowo. Najważniejsze jest to, ile danych się przetwarza. Mała firma internetowa może ich przetwarzać więcej niż przedsiębiorstwo zatrudniające 500 osób. RODO zakłada proporcjonalność wymagań względem skali operacji przetwarzania danych, więc regulacje różnicujące administratorów mogą paradoksalnie usztywnić istniejące rozwiązania i praktyki. 

          Podsumowując, zmiany przedstawione przez zespół Rafała Brzoski powinny zostać dokładnie sprawdzone i przeanalizowane, uwzględniając wiele punktów widzenia.

          Konieczne jest przeprowadzenie testu prywatności w procesie tworzenia prawa, w tym oceny skutków dla ochrony danych. Konsekwencją takiej analizy ryzyka powinno być kompleksowe odzwierciedlenie projektowanych zmian w obowiązującym porządku prawnym z uwzględnieniem zasad przetwarzania danych osobowych wynikających z RODO. 

          Co ważne, do proponowanych zmian prawnych ocena skutków nie została przedstawiona.

          Dziękuję za rozmowę.

            Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].

            Reklama
            Reklama

            Sztuczna inteligencja w Twoim banku. Gdzie ją spotkasz?

            Materiał sponsorowany

            Komentarze

              Reklama

              Czytaj także

              ukraina wojsko wojna żołnierze rosja inwazja
              Rosyjska bajka o laboratorium narkotykowym ukraińskiego wojska
              adam bodnar Krzysztof gawkowski
              Polskie sądy będą bardziej cyfrowe i z AI. Jest porozumienie ministerstw
              smartfony zakaz szkoła polska
              Zakaz telefonów w szkołach. Eksperci wskazują inne kierunki
              Samsung Galaxy XCover7 Pro Galaxy Tab Active5 Pro
              Nowe modele Samsung. Wytrzymały sprzęt do pracy w terenie
              Rosyjscy hakerzy w podziemiu. Tajemnice przestępczej społeczności
              Jak powinniśmy dbać o cyberbezpieczeństwo? O tym rozmawialiśmy z Michałem Matuszczykiem (CPK)
              #CyberMagazyn: Cyberbezpieczeństwo w praktyce: jak unikać błędów i wybrać właściwego dostawcę?
              sztuczna inteligencja człowiek
              #CyberMagazyn: Samotni wśród pikseli. Jak chatboty wpływają na nasze relacje i emocje?
              Meta wraca do treningu AI. Wykorzysta dane użytkowników Facebooka