Kończą się rządowe prace nad projektem ustawy o ochronie danych osobowych. Jednym z przepisów budzących największe kontrowersje był ten zwalniający wszystkich mikro-, małych i średnich przedsiębiorców z niektórych obowiązków wynikających z unijnego rozporządzenia o ochronie danych osobowych 2016/679 (RODO). Firmy zatrudniające mniej niż 250 osób, które nie przetwarzają danych wrażliwych i nie przekazują ich innym firmom, nie musiałyby informować swych klientów np. o okresie przechowywania danych, prawie do wniesienia skargi czy też dostępu do danych, ich sprostowania i usunięcia. Nie miałyby również mieć obowiązku informowania o wycieku danych. Z tych zwolnień skorzystałaby zdecydowana większość polskich firm. Jak wynika bowiem z danych Polskiej Agencji Rozwoju Przedsiębiorczości, aż 99,8 proc. polskich pracodawców zatrudnia mniej niż 250 osób.

To już nieaktualne. Najpierw Komitet ds. Europejskich, a później Komitet Stały Rady Ministrów uznały, że trzeba ograniczyć wspomniane wyłączenia.

Na Komitecie Stałym propozycja wyłączeń dla MŚP została ograniczona podmiotowo i merytorycznie. Będzie dotyczyć tylko mikroprzedsiębiorstw (zatrudniających do 9 osób), które nie przekazują danych do przetworzenia innym podmiotom, a ponadto ograniczono zakres wyłączeń.

Niezależnie w tej sprawie będą prowadzone konsultacje z Komisją Europejską – wyjaśnia dr Maciej Kawecki, dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji, który jest głównym autorem projektu.

Zmiany wynikają z zastrzeżeń, które zgłosiło Ministerstwo Spraw Zagranicznych. W swej opinii do projektu ustawy zwróciło ono uwagę, że MC nie uzasadniło, na czym ma polegać „ważny interes gospodarczy” Polski.

Nie znalazło też wystarczających argumentów, które przemawiałyby za tym, że wspomniane wyłączenia nie naruszają istoty podstawowych praw i wolności oraz są środkiem niezbędnym.

Firmy z sektora MŚP będą jednak musiały informować swych klientów o naruszeniu ochrony ich danych, czyli np. o wycieku. Na pewne ułatwienia będą natomiast mogli liczyć mikroprzedsiębiorcy, czyli firmy zatrudniające mniej niż 10 osób.

Chodzi głównie o obowiązki informacyjne. Z jakich konkretnie zostaną zwolnieni, nie udało nam się ustalić. Posiedzenie Komitetu Stałego Rady Ministrów skończyło się w piątek wieczór i jeszcze nie ma dokumentu z ostatecznymi jego ustaleniami.

Wprowadzone do projektu ustawy zmiany nie muszą być ostateczne.

Ustalono bowiem, że pierwotne propozycje będą dalej konsultowane z Komisją Europejską. Jeśli ta uzna je za zgodne z przepisami unijnymi, to zostaną przywrócone do projektu.

Więcej w Dzienniku Gazecie Prawnej z 5 marca 2018 r.