Postulaty uproszczeń RODO pojawiają się od początku dyskusji na temat deregulacji. - Nie ma drugiego obszaru regulacji, który byłby tak niejasny w zakresie stosowania, tak uprzykrzający życie przedsiębiorcom, a jednocześnie tak nieskuteczny w ochronie wartości, na straży której miał stać, czyli prywatności – komentował dla serwisu Prawo.pl dr Tomasz Ludwik Krawczyk, adwokat z GKR Legal.

- Z perspektywy zwykłego obserwatora regulacje są mało skuteczne, a wzrost poziomu ochrony danych następuje bardzo powoli – pisał z kolei Krzysztof Podolski, chief technology officer w Kancelarii RK Legal i RK RODO (czytaj więcej: RODO nasze powszednie. Miała być deregulacja, a jest więcej norm).

Wyczekiwana przez wielu oficjalna zapowiedź uproszczenia w zakresie RODO pojawiła się w ubiegłym tygodniu, gdy Komisja Europejska ogłosiła czwarty pakiet deregulacyjny Omnibus. Propozycja odnosząca się do ochrony danych, dotyczy rozszerzenia zwolnienia z obowiązku prowadzenia rejestrów przewidzianych w rozporządzeniu RODO, a więc rejestru czynności przetwarzania danych (art. 30 ust. 1) oraz rejestru kategorii przetwarzania danych (art. 30 ust. 2).

Zobacz procedurę w LEX: Fajgielski Paweł, Rejestrowanie czynności przetwarzania danych osobowych>

Unijna deregulacja RODO rozczarowuje

Obecnie, co do zasady, obowiązek prowadzenia rejestrów nie dotyczy podmiotów zatrudniających mniej niż 250 osób, które korzystają ze zwolnienia opisanego w art. 30 ust. 5 rozporządzenia RODO. KE proponuje dwutorowe rozszerzenie tego odstępstwa. Po pierwsze, rejestrów nie musiałyby prowadzić podmioty zatrudniające do 750 osób. Po drugie, obowiązek prowadzenia rejestrów zostałby ograniczony wyłącznie w odniesieniu do czynności, które zgodnie z RODO wiążą się z wysokim ryzykiem. Innymi słowy, skorzystać mogą wyłącznie podmioty zatrudniające ponad 250 osób. KE szacuje, że rocznie zaoszczędzą dzięki temu łącznie 66 mln euro.

Dr Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński oraz członek Grupy Ekspertów Europejskiej Rady Ochrony Danych uważa, że taka propozycja deregulacji to duże rozczarowanie. - Sprowadza się do usunięcia jednego obowiązku o charakterze dokumentacyjnym – i to w oparciu o bardzo nieostre kryterium ryzyka. Aby ustalić, czy mogę nie prowadzić rejestru czynności przetwarzania, muszę najpierw te czynności zidentyfikować, a następnie ocenić ryzyko. To klasyczny przykład niezrozumienia istoty problemu - uważa.

Czytaj także komentarz praktyczny w LEX: Łuczak-Tarka Joanna, Rejestr czynności przetwarzania danych osobowych>

Nowość

-10%

Nowość

Prawo ochrony danych osobowych i prawo do informacji publicznej. Zarys wykładu

Elżbieta Gudowska-Natanek, Grzegorz Kuca

Sprawdź  

Zespół Brzoski chce ograniczyć obowiązki

Wcześniej inna propozycja deregulacji związana z RODO pojawiła się na poziomie krajowym i została przedstawiona przez zespół SprawdzaMY Rafała Brzoski. Jej autorzy wyszli z założenia, że należy ograniczyć zbyt uciążliwie obowiązki informacyjne mikro- i małych przedsiębiorców wobec osób, których dane są zbierane lub pozyskiwane. Przywoływali przykład mikroprzedsiębiorcy, prowadzącego mały sklep internetowy, który przetwarza tylko podstawowe dane do realizacji zamówień, musi natomiast opracowywać i aktualizować złożone klauzule informacyjne oraz spełniać rozbudowane obowiązki dokumentacyjne. Proponowali, by w związku z tym znowelizować dwie ustawy: o prawach konsumenta oraz Prawo przedsiębiorców.

Zdaniem dr. Litwińskiego, polska propozycja ma pewną przewagę nad unijną – przedsiębiorca może zero-jedynkowo ustalić, czy może z niej skorzystać, czy nie. - Trzeba jednak pamiętać, że ułatwienie dla przedsiębiorców oznacza jednocześnie ograniczenie praw osób, których dane są przetwarzane. Wymaga to więc oceny, czy takie rozwiązanie jest dopuszczalne z perspektywy RODO – zwraca uwagę. I dodaje: - Nie wykluczam, że taka analiza potwierdzi słuszność propozycji, ale jej przeprowadzenie wymagałoby bardzo solidnych przygotowań. Do tej pory żadne państwo członkowskie nie wprowadzało podobnych rozwiązań. Warto też przypomnieć, że podczas prac nad RODO unijny prawodawca rozważał różnicowanie obowiązków w zależności od wielkości podmiotu, ale z jakichś względów z tego pomysłu ostatecznie zrezygnowano.

Jak dotąd propozycja została przekazana Rządowemu Zespołowi ds. Deregulacji. Tam jednak prace nad nią zostały wstrzymane. - Inicjatywa wymaga doprecyzowania, nie jest gotowa do przyjęcia. Trwają wyjaśnienia z zespołem ekspertów i dalsze prace po stronie zespołu SprawdzaMY – czytamy na stronie internetowej zespołu Brzoski.

Czytaj także komentarz praktyczny w LEX: Cygan Tomasz, Obowiązki małych i średnich firm w świetle RODO>

Problem z RODO leży gdzie indziej

Prof. INP PAN Grzegorz Sibiga, adwokat, partner w kancelarii Traple Konarski Podrecki i Wspólnicy zwraca uwagę, że polskie i unijne pomysły na deregulację RODO dotyczą różnych kwestii, mają jednak cechy wspólne, związane z diagnozą sytuacji. Ma do nich trzy uwagi.

- Po pierwsze, w żadnym z przypadków nie przeprowadzono badań wśród przedsiębiorców wskazujących, że to właśnie te przepisy generują największe obciążenia i ryzyka prawne w ich działalności. Dlatego zaproponowane rozwiązania mogą nie przystawać do realnych potrzeb – mówi prof. Sibiga.

Po drugie: według poczynionych przez profesora obserwacji rynku, problem w stosowaniu RODO leży gdzie indziej.

-  Osobiście uważam, że większe wyzwanie dla MŚP stanowią te przepisy, które nie zawierają zero-jedynkowych obowiązków, a wymagają samodzielności w ocenie zakresu obowiązków, a więc dotyczą: analizy ryzyka, doboru odpowiednich środków organizacyjnych i technicznych, czy podejmowania odpowiednich działań w wyniku zaistnienia naruszenia – mówi prof. Sibiga. - Z jednej strony, to modelowe rozwiązania w zakresie bezpieczeństwa, ale z drugiej - wymagają specjalizacji, a w praktyce zatrudnienia specjalisty – dodaje.

Podobnie uważa dr Litwiński, według którego problemem jest samo podejście oparte na ryzyku, zgodnie z którym każdy sam ocenia, w jaki sposób zabezpieczyć dane. - Widać to szczególnie w sektorze MŚP. Mały przedsiębiorca nie wie, jak przeprowadzić analizę ryzyka i dobrać odpowiednie środki zabezpieczenia. Często też nie stać go na zlecenie tych zadań wyspecjalizowanemu podmiotowi, więc korzysta z niesprawdzonych rozwiązań albo nie robi nic – mówi mec. Litwiński. - Ewentualne zmiany w tym zakresie wymagałyby jednak powrotu do źródeł i szerokiej dyskusji o przyszłości ochrony danych w UE - co, niestety, wydaje się dziś mało realne – dodaje.

Zobacz także szkolenie w LEX: Grenda Wojciech, Szczytko-Sołtysiak Magdalena, Analiza ryzyka w RODO - od teorii do praktyki - część I>

Uproszczenia nie są wykorzystywane

Prof. Sibiga ma jeszcze trzecią uwagę: w Polsce nie przeprowadzono badań na temat tego, czy dotychczasowa regulacja mająca uprościć realizację obowiązków przez przedsiębiorców spełniła oczekiwania. Jak precyzuje, ma na myśli co najmniej dwie regulacje: art. 4a ustawy o prawach konsumenta w przedmiocie ograniczenia wymogów informacyjnych mikroprzedsiębiorców w relacji z konsumentem oraz art. 53 ustawy o ochronie danych osobowych, przewidujący kompetencje prezesa Urzędu Ochrony Danych Osobowych do wydawania rekomendacji. Prawnik ocenia, że jest ona niewykorzystywana w praktyce.

- RODO, moim zdaniem, słusznie uznawane jest przez przedsiębiorców za akt wiążący się z obciążeniami i ryzykiem prawnym – podsumowuje prof. Sibiga. - Jeśli jednak proponujemy nowe przepisy, należałoby rozpocząć od badań i analiz oraz rozmów z przedsiębiorcami i reprezentującymi ich prawnikami, a następnie ocenić, czy dotychczas podejmowane działania przyniosły oczekiwany skutek. Propozycje zmian legislacyjnych dopiero mogą być wynikiem tej całościowej analizy – kwituje.

Czytaj także artykuł w LEX: Rzymowski Jakub, Poziomy ryzyka na gruncie RODO>