rozwiń

Wśród propozycji deregulacyjnych zespołu „SprawdzaMY – Inicjatywa Przedsiębiorców dla Polski”, kierowanego przez Rafała Brzoskę, znalazł się pomysł „RODO dla małych firm”. Zakłada on ograniczenie obowiązków informacyjnych związanych z przetwarzaniem danych osobowych w relacjach mikro- i małych przedsiębiorców z konsumentami.

Po co deregulacja RODO?

Argumentem jest nadmierne obciążenie administracyjne, wysokie koszty i konieczność stosowania skomplikowanych procedur, które są nieproporcjonalne do skali działalności. Obecnie mikroprzedsiębiorca (zatrudniający do 10 osób), który prowadzi mały sklep internetowy, musi spełniać rozbudowane obowiązki dokumentacyjne, mimo że przetwarza tylko podstawowe dane do realizacji zamówień.

Pomysł wpisuje się w klimat europejskiej debaty o deregulacji RODO. Jak informuje serwis Politico, w ciągu najbliższych kilku tygodni Komisja Europejska zamierza przedstawić propozycję ograniczenia tego rozporządzenia. Ma to być pakiet uproszczeń dla małych i średnich przedsiębiorstw, koncentrujący się na wymogach sprawozdawczych – który nie obejmie jednak „głównego celu RODO”.

RODO a MŚP

Zwolennikiem deregulacji przepisów o ochronie danych osobowych jest doktor Mirosław Gumularz, radca prawny z kancelarii NTL. - RODO w bardzo małym stopniu uwzględnia sytuację MŚP, co było od początku krytykowane - uzasadnia. - Jednocześnie zawiera mechanizmy, aby tę sytuację zmienić na poziomie przepisów krajowych – dodaje.

Art. 23 RODO umożliwia państwom członkowskim ograniczenie niektórych obowiązków – m.in. jeśli miałoby to służyć ważnemu interesowi gospodarczemu lub finansowemu Unii lub państwa członkowskiego. Tę furtkę wykorzystuje wspomniana propozycja „RODO dla małych firm”, którą dr Mirosław Gumularz przygotował wspólnie z dr Maciejem Kaweckim, dyrektorem Centrum Innowacji Uniwersytetu WSB Merito.

Mały podmiot, mniej obowiązków

- Chodzi o zmniejszenie obowiązków informacyjnych w przypadkach, gdy ryzyko braku przejrzystości jest minimalne – podkreśla Mirosław Gumularz. Argumentuje, że nadmiar obowiązków informacyjnych, gdy dane są pozyskiwane np. wyłącznie w celu zawarcia umowy, nie wpływa na zwiększenie poziomu ochrony danych osobowych.

Podaje przykład unijnego aktu o usługach cyfrowych (DSA), który różnicuje zakres obciążeń w zależności od m.in. wielkości podmiotu, do którego są skierowane. - Oczywiście, nie może to dotyczyć m.in. danych szczególnych kategorii – zaznacza Mirosław Gumularz. - Jednocześnie nawet w kontekście mikro- i małych przedsiębiorców nie widzę przestrzeni do ograniczania obowiązków związanych z zapewnieniem bezpieczeństwa danych osobowych: poufności, integralności, dostępności – stwierdza. Jak dodaje, propozycja deregulacyjna zabezpiecza prawa osób, których dane są przetwarzane, przewidując możliwość żądania od administratora przekazania określonych informacji.

Ulżenie MŚP powstrzyma inflację prawa

Za deregulacją RODO opowiada się też dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński. „Coraz bardziej przekonuję się, że nakładanie na każdego administratora danych i każdego przetwarzającego takich samych obowiązków jest prostą drogą do klasycznej inflacji prawa” – uzasadniał w mediach społecznościowych. Jak wyjaśniał, tak obciążone małe podmioty mogą wykonywać obowiązki RODO fasadowo, np. „kupując IOD za 200 zł na miesiąc” czy ściągając wzór dokumentacji z sieci albo nie wykonywać ich wcale, „podczas gdy dopiero ten duży spełni swoje obowiązki, jak należy”.

Paweł Litwiński przypomina jednak, że zróżnicowanie obowiązków zależnie od wielkości firmy przewidywał już wniosek Komisji Europejskiej w sprawie projektu RODO z 2012 r. Było w nim nie tylko zwolnienie MŚP z obowiązku prowadzenia dokumentacji ochrony danych, ale także brak kary finansowej przy pierwszym i nieumyślnym naruszeniu RODO. Na te rozwiązania nie było wtedy zgody politycznej.

RODO nie jest tak formalistyczne jak AI Act

- RODO w porównaniu do wielu później uchwalonych aktów cyfrowych jest bardzo przemyślane i o wiele bardziej elastyczne – broni obowiązującej regulacji prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski. - Przede wszystkim zostało oparte na analizie ryzyka i neutralności technologicznej. Ponadto daje administratorowi dużą dozę swobody, jakie środki przyjmie, aby odpowiednio przetwarzać dane osobowe i te dane chronić. RODO nie jest tak formalistyczne, jak na przykład mocno szczegółowy i detaliczny akt o sztucznej inteligencji – argumentuje.

Odnosząc się do propozycji zespołu deregulacyjnego Rafała Brzoski, dotyczącej art. 13 i 14 RODO, zaznacza, że stanowi ona powrót do dyskusji, która się już odbyła w toku procesu legislacyjnego polskich ustaw wdrażających RODO.

- I jednak powstały przepisy, które mamy obecnie. Myślę, że małe firmy już się przyzwyczaiły do obowiązków wynikających z RODO. Przez ponad rok spotkań z organizacjami przedsiębiorców nie spotkałem się z wyrażoną potrzebą zmian art. 13 i 14 – stwierdza Mirosław Wróblewski.

Można ulżyć MŚP w ramach RODO

Piotr Liwszic, prawnik i autor serwisu Judykatura.pl, uważa, że deregulacja rozumiana jako zmiany w treści RODO nie jest potrzebna. - Takie zmiany odniosą według mnie skutek odwrotny, tj. pojawienie się ofert na „dostosowanie firmy do nowego RODO” – argumentuje Piotr Liwszic. Jego zdaniem większy pożytek w tej dziedzinie mogą przynieść działania UODO – np. przygotowanie gotowych wzorów dokumentów dla najmniejszych firm.

Czy prezes UODO widzi możliwość ulżenia małym firmom w ramach istniejących przepisów?

- Jak najbardziej – odpowiada Mirosław Wróblewski. - Organ nadzorczy może realizować ten cel, wskazując dobre praktyki. Na tym polu jest wiele do zrobienia, po to organizujemy spotkania, konsultacje publiczne, by pozyskiwać informacje bezpośrednio od przedsiębiorców. Każdy pomysł, który się pojawia, zasługuje na poważne rozpatrzenie - stwierdza.

Liczy się skala przetwarzania danych

Mirosław Wróblewski zastrzega, że małych (do 50 osób) i średnich (do 250 osób) firm nie można traktować jednakowo. - Najważniejsze jest to, ile danych się przetwarza. Mała firma internetowa może ich przetwarzać więcej niż przedsiębiorstwo zatrudniające 500 osób – mówi. - RODO zakłada proporcjonalność wymagań względem skali operacji przetwarzania danych, więc regulacje różnicujące administratorów mogą paradoksalnie usztywnić istniejące rozwiązania i praktyki – dodaje.

Podobne zastrzeżenie wysuwa też Piotr Liwszic. - Nie przemawia do mnie argument wielkości podmiotów w kwestii zróżnicowania obowiązków wynikających z przepisów RODO, gdyż można przetwarzać miliony rekordów danych osobowych, będąc firmą zatrudniającą 10 czy 15 osób. Jest możliwe między innymi dzięki automatyzacji prostych zadań przez systemy AI – uzasadnia.

Podejście dostosowane do wielkości firmy i jej modelu biznesowego zaproponowali europoseł Axel Voss (jeden z architektów RODO) i aktywista na rzecz prywatności Max Schrems na konferencji zorganizowanej przez Centrum Studiów nad Polityką Europejską w Brukseli. Mówili, że z jednej strony małe i średnie przedsiębiorstwa powinny mieć mniej wymogów dotyczących dokumentacji, co dotychczas uwzględniono w RODO tylko marginalnie. Zaznaczali jednak – jak relacjonuje serwis Międzynarodowego Stowarzyszenia Specjalistów ds. Prywatności (IAPP) – że obowiązki powinny być inne dla podmiotów, „których model biznesowy opiera się zasadniczo na przetwarzaniu danych osobowych, takich jak reklamodawcy”.