Projekt nowych przepisów w sprawie RODO budzi kolejne kontrowersje. Klienci sklepów internetowych albo serwisów dostarczających pocztę elektroniczną nie dowiedzą się, że ich dane wyciekły do sieci. Firmy ich o tym nie poinformują.
RODO to rozporządzenie o ochronie danych osobowych. Do 25 maja mamy czas na dostosowanie naszego prawa do unijnych przepisów. Dlatego rząd pracuje nad nową ustawą regulującą tę kwestię.
Prace nad nowymi przepisami dotyczącymi ochrony danych osobowych cały czas trwają. Poszczególne paragrafy wiele razy zmieniały już kształt i budziły kontrowersje. Według najnowszej wersji firmy z sektora MŚP mają być zwolnione z obowiązku informowania klientów o wycieku danych. Sęk w tym, że przez dyskusyjny zapis zwolnione mogą też firmy, które są niewielkie, ale mają gigantyczne bazy klientów.
O problemie napisały w czwartek i w środę serwis niebezpiecznik.pl i Fundacja Panoptykon. Według nowego projektu ustawy o ochronie danych osobowych część firm nie będzie musiała informować swoich klientów, że ich dane zostały wykradzione. Obowiązek będzie dotyczył tylko dużych firm. Zwolnione będą małe i średnie przedsiębiorstwa, czyli takie, które zatrudniają do 250 osób - i chodzi tu tylko o osoby na etacie. Ci na "śmieciówkach" już jako pracownicy traktowani nie są. A to budzi poważne kontrowersje.
Sęk w tym, że dziś liczba osób zatrudnionych nie odzwierciedla w tak oczywisty sposób, czy firma jest duża, czy nie. Jak powiedział serwisowi niebezpiecznik.pl prawnik Przemysław Caputa, przykładowo serwis, który ma sto tysięcy użytkowników, ale zatrudnia 50 pracowników, nie będzie musiał informować swych użytkowników o wycieku danych.
Z kolei Fundacja Panoptykon podaje przykład mniejszych firm, wśród których może się np. znaleźć dostawca poczty elektronicznej czy sklep internetowy. One też nie będą musiały informować swoich klientów, jeśli dojdzie do wycieku ich danych, mimo że mają wielkie bazy danych.
"Łatwo sobie wyobrazić niebezpieczny wyciek haseł, o którym klienci dowiedzą się (o ile w ogóle) dopiero z mediów, bez szans na szybką reakcję i zabezpieczenie swojego konta przed włamaniem" - czytamy w komunikacie na stronie internetowej Fundacji.
Dodatkowy problem to ryzyko, że nawet duże firmy (zatrudniające ponad 250 osób na etacie) mogą znaleźć sposób, by obejść nowy obowiązek. Wystarczy, że zaczną dzielić się na mniejsze spółki, w których liczba pracowników będzie już niższa niż 250. Oczywiście o ile uznają, że gra jest warta świeczki.
Z projektem nowych przepisów był problem już wcześniej. Na przykład pewnym etapie prac nad nowym prawem pojawił się pomysł, aby małe i średnie firmy były w ogóle zwolnione z obowiązku informowania konsumentów o tym, że przetwarzają ich dane. Jak już pisaliśmy, ostatecznie takiego zwolnienia nie będzie.