Za niecałe trzy miesiące wejdą w życie nowe przepisy dotyczące ochrony danych osobowych (RODO). To prawdziwa rewolucja, bo przy okazji zmieni się ponad 130 aktów prawnych. Przedsiębiorcy, na których zostaną nałożone nowe obowiązki, mają coraz mniej czasu, by wdrożyć rozwiązania, które będą zgodne z nowymi regulacjami. Pisaliśmy już w money.pl o tym, że choć przedsiębiorcy mają świadomość rozmiaru i nieuchronności nowej regulacji, to zaskakująco wielu z nich odkłada rozpoczęcie prac. Tymczasem dla spóźnialskich, którzy po 25 maja będą naruszali przepisy, nie będzie taryfy ulgowej. Rozporządzenie przewiduje bardzo wysokie kary.
Wciąż trwają prace nad ostateczny kształtem nowych przepisów. Ministerstwo opublikowało nową wersję ustawy, w którym zaproponowano wyłączenie czterech przepisów RODO dla małych i średnich przedsiębiorstw, czyli firm zatrudniających nie więcej niż 250 osób. Takie firmy nie musiałyby podawać części informacji, np. o tym, jak długo będą przetwarzać dane, o prawie żądania dostępu do tych danych, ich sprostowania czy usunięcia. Wyłączenia te nie miałyby zastosowania do firm, które gromadzą dane wrażliwe – informuje Polska Agencja Prasowa.
Obowiązki zbyt trudne dla mniejszych podmiotów
Złagodzenie wcześniejszego brzmienia przepisów wynika z tego, że w praktyce mogłyby być trudne do zrealizowania.
- Ogromny odsetek zakupów w internecie dokonywany jest mobilnie, czyli przez telefony komórkowe. Nie ma możliwości, żeby wersja mobilna strony internetowej zrealizowała tak rozbudowany obowiązek informacyjny, jaki zapisano w RODO – mówi w rozmowie z PAP koordynator krajowej reformy ochrony danych osobowych z Ministerstwa Cyfryzacji Maciej Kawecki.
Zobacz też: * *Poważne zmiany w ochronie danych osobowych
Podobny problem spowoduje konieczność odczytania w rozmowie telefonicznej wszystkich klauzul: może to trwać nawet trzy minuty.
Kawecki dodał, że autorem pomysłu jest właśnie Minister Przedsiębiorczości i Technologii.
Ponadto nowa wersja ustawy zakłada zwolnienie małych i średnich przedsiębiorców z obowiązku zawiadamiania o tym, że doszło do wycieku lub innego naruszenia bezpieczeństwa danych.
Zdaniem Kaweckiego nie będzie to zachęta do obniżania jakości ochrony danych, bo przedsiębiorcy nadal będą mieli obowiązek poinformowania o zdarzeniu organu nadzorczego, czyli Urzędu Ochrony Danych Osobowych.
- Nie chodzi o to, żeby ktoś uniknął kary, czy odpowiedzialności, bo organ nadzorczy będzie poinformowany – wyjaśnił. Dodał, że jeśli będzie wszczęte postępowanie przez organ nadzorczy, to osoba, której dane wyciekły będzie jego stroną i się o tym dowie.
Panoptykon: Nieuzasadniony entuzjazm
Nie zgadza się z tym szefowa Fundacji Panoptykon Katarzyna Szymielewicz.
- Resort Cyfryzacji proponuje wyraźne obniżenie standardu, jaki przewiduje RODO, bez przekonującego uzasadnienia. Jedynym konkretnym argumentem, jaki pada w uzasadnieniu, jest trudność przekazania wymaganych informacji przez telefon. Jeśli to jest główny powód, wystarczyłoby doprecyzowanie w ustawie, że w takich przypadkach obowiązki informacyjne są realizowane ex post, innym kanałem komunikacji – powiedziała w rozmowie z PAP.
Zwraca uwagę, że kiedy mniejsze firmy, wśród których mogą być sklepy internetowe i dostawcy poczty elektronicznej, nie będą musiały informować o wycieku, to istnieje obawa, że klienci dowiedzą się o tym niebezpiecznym zdarzeniu dopiero po fakcie, np. z mediów. Będzie już za późno, by mogli podjąć szybką reakcję i zabezpieczyć konta przed włamaniem.