Pierwotnie ze stosowania niektórych obowiązków  wyłączone miały być wszystkie firmy zatrudniające do 250 osób, a w wersji projektu przyjętej przez Komitet Stały Rady Ministrów jedynie mikrofirmy  zatrudniające mniej niż 10. W najnowszej wersji projektu ustawy o ochronie danych osobowych opublikowanej właśnie na stornie Rządowego Centrum Legislacji nie ma już żadnych wyłączeń dla firm.
- Wyłączenie dla MŚP od początku budziło kontrowersje, a jego pierwotna propozycja była nie do obrony – mówi Paweł Litwiński, adwokat, partner w kancelarii  Barta Litiwński. – Z czasem, w mojej ocenie, jakość proponowanych wyłączeń stopniowo się poprawiała. Widocznie jednak ze strony Komisji Europejskiej pojawiły się inne sygnały – mówi mecenas Litwiński.

Fiskus podzieli się wiedzą z ZUS

W projekcie pojawiły się za to wyłączenia dla sektora publicznego. Jakie? Art. 4 projektu ma umożliwić przekazywanie danych między podmiotami realizujacymi zadania publiczne bez naszej wiedzy, w najszerszym możliwym zakresie, jaki wynika z RODO. Jeżeli więc jeden podmiot publiczny zbierze dane w jakimś celu, np. w postępowaniu podatkowym, to będzie je mógł przekazać innemu podmiotowi publicznemu bez naszej wiedzy nawet, jeżeli ten inny podmiot będzie je chciał przetwarzać w innym celu, niż ten pierwotny.

Zdaniem mecenasa  Litwińskiego to bardzo szerokie ograniczenie przepisów RODO, które może godzić w nasze prawa. Podobnie uważa dr Łukasz Olejnik, niezależny badacz i konsultant cyberbezpieczeństwa i prywatności.

- Trzeba zadać sobie pytanie, kto będzie analizował i szacował, kiedy interes lub podstawowe prawa osoby nie są nadrzędne w stosunku do interesu publicznego? Kto weźmie za to odpowiedzialność i czy odpowiednie i dodatkowe środki ochrony faktycznie zostaną zastosowane – pyta dr Olejnik. – Można wyobrazić sobie sytuacje, gdy te wyłączenia będą uzasadnione. Jeśli jednak miałoby dojść do skorzystania z tego przywileju przez administratora, to taka decyzja powinna zostać spisana by w razie czego móc ją przedstawić zainteresowanym stronom, np. Urzędowi Ochrony Danych Osobowych. Wydaje się, że UODO powinien ostatecznie móc takie decyzje poddawać ocenie. Najprostszym zagrożeniem jakie można sobie wyobrazić, jest właśnie to – wykorzystywanie tego dodatkowego uprawnienia przy każdej możliwej okazji – mówi dr Olejnik.

Maciej Gawroński, partner zarządzający w Kancelarii Gawroński & Partnerzy zauważa, że te zmiany oznaczają głęboką ingerencję władzy w wiedzę o obywatelu. - To może rodzić różne możliwości nadużycia prawa, szantaż, wykorzystanie przez służby. Jak? Różne instytucje będą miały możliwość pozyskiwanie informacji z systemu informacji medycznej (z tworzonej platformy P1), a pacjent nie będzie miał jak temu zapobiec.



Bez naszej wiedzy

Równie groźne jest wyłączenie z art. 5 projektu. –  To kolejne ograniczanie naszego prawa do informacji – co więcej, jest to wykroczenie poza to, co wynika z RODO, z art. 14 ust. 5 i jako takie budzi duże wątpliwości, co do dopuszczalności – tłumaczy Paweł Litwiński. – W pewnym uproszczeniu idzie o to, żeby administracja mogła zbierać dane o nas bez naszej wiedzy, powołując się na tak nieostre przesłanki, jak „znaczące utrudnienie prawidłowego wykonywania zadania publicznego”;

Najbardziej bulwersujące jest jednak wyłączenie z art. 6. Wynika z niego, że gdy administracja, na podstawie art. 4 ustawy, będzie przekazywać sobie informacje na nasz temat bez naszej wiedzy, wtedy nawet na nasze żądanie nie przekaże nam informacji dot. przetwarzania naszych danych  - mówi Paweł Litwiński.

Zdaniem mecenasa Litwińskiego te wyłączenia idą za daleko. – Zakres tych wyłączeń jest bardzo szeroki i dotyka fundamentu prawa ochrony danych osobowych – prawa do informacji – ostrzega Paweł Litwiński.

Mecenas Gawroński zauważa jeszcze, że wyłączenia są sprzeczne z duchem przepisów. Inspiracją do przyjęcia RODO była bowiem francuska ustawa ograniczająca przetwarzania danych właśnie rejestrach publicznych.
 

RODO. Ogólne rozporządzenie o ochronie danych., Magdalena Kuba

RODO. Ogólne rozporządzenie o ochronie danych. Komentarz >>