Rządowe Centrum Legislacji opublikowało właśnie ostatnią wersje projektu ustawy o ochronie danych osobowych. Na Komitecie Stałym Rady Ministrów zostały zmienione przepisy zwalniające mikro, małych i średnich przedsiębiorców z niektórych obowiązków wynikających z unijnego rozporządzenia o ochronie danych osobowych 2016/679 (RODO).
– Propozycja wyłączeń dla MŚP została ograniczona podmiotowo i merytorycznie. Będzie dotyczyć tylko mikroprzedsiębiorstw zatrudniających do 10 osób, które nie przekazują danych do przetworzenia innym podmiotom, a ponadto nie przetwarzają danych wrażliwych - mówi dr Maciej Kawecki, dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji, główny autor projektu.
Będą one zwolniene z obowiązku podania niektórych informacji podczas zbierania danych, m.in. o okresie przechowywania danych, prawie wniesienia skargi do organu nadzorczego, dostępu do danych, ich sprostowania i usunięcia. Nie będą również zobowiązane do udostępniania kopii danych. Dr Maciej Kawecki wyjaśnia, że małe firmy takie obowiązki mogłyby narazić na większe koszty, na co wskazywało m.in. Ministerstwo Przedsiębiorczości i Technologii.Dr Maciej Kawecki dodaje, że wszystkie te zmiany będę konsultowane z Komisją Europejska.
Czy takie wyłączenie mogą być niebezpieczne dla klientów? Adwokat Paweł Litwiński z kancelarii Barta Litwiński uważa, że nie spowodują one jakichś istotnych zagrożeń dla ochrony naszych danych osobowych. I zaznacza, że tego nie można było powiedzieć o pierwotnej wersji projektu. - Obecnie, przy tej skali wyłączeń (mikroprzedsiębiorcy) i przy nie objęciu włączeniami obowiązku zgłaszania incydentów bezpieczeństwa, uważam, że to dobry krok. Nasze prawo do ochrony danych nie powinno na tym ucierpieć, a rzeczywiście niewielkie firmy będą miały troszkę złagodzone obowiązki wynikające z RODO - podkreśla Litwiński.
Jeśli jednak dojdzie do wycieku danych, to niezależnie od wielkości, firma będzie musiała o nim poinformować swoich klientów, a także organ nadzoru, którym ma być nowy Urząd Ochrony danych Osobowych. Firma musi to zrobić w ciągu 72 godzin od wykrycia naruszenia mogącego skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone.
Ponadto zgodnie z najnowszą wersją projektu na prezesa Urzędu Ochrony Danych Osobowych będzie mogła zostać powołana osoba, które wyróżnia się wiedzą prawniczą i ma doświadczenie w ochronie danych. Nie będzie musiało ono wynosić aż pięć lat.
Teraz projektem zajmuje się Komisja Prawnicza. Maciej Kawecki wyraża nadzieję, że zostanie on uchwalony do 25 maja, czyli do dnia, od kiedy będzie stosowane RODO.
-Jolanta Ojczyk