W czwartym pakiecie Omnibus, ogłoszonym w ubiegłym tygodniu przez Komisję Europejską, znalazła się propozycja zmian w unijnym rozporządzeniu RODO. Dotyczy ona przede wszystkim rejestru czynności przetwarzania danych i rejestru kategorii czynności. Komisja Europejska chce zwolnić z niego firmy i organizacje zatrudniające mniej niż 750 pracowników (obecny limit to 250 pracowników), chyba że przetwarzanie przez nie danych może powodować wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą.

Jak eksperci oceniają zmiany w RODO, które proponuje Komisja Europejska?

– Propozycję Komisji oceniam jako dalece niewystarczającą – mówi dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński. – Komisja przywiązuje nadmierną wagę do obowiązku prowadzenia rejestrów, który tymczasem moim zdaniem nie ciąży przedsiębiorcom zbyt mocno – uważa.

– Wydawało się, że zmiana RODO będzie głębsza – komentuje dr Dominik Lubasz, radca prawny i wspólnik w kancelarii Lubasz & Wspólnicy. – Komisja poszła nie drogą deregulacji, tylko uproszczenia regulacji. Ma to raczej charakter komunikatu politycznego niż rzeczywistego impetu rynkowego – dodaje.

Wskazuje też, że dotychczasowe zwolnienie z obowiązku prowadzenia rejestrów (art. 30 ust. 5 RODO) nie przydaje się przedsiębiorcom. – W praktyce nie spotkałem się z podmiotem, który mógł z niego skorzystać – stwierdza Dominik Lubasz. Tę opinię podzielają inni eksperci.

– Obecny przepis mówi o ryzyku bez jego kwantyfikacji. W praktyce nie sposób go więc zastosować, bo przetwarzanie danych zawsze może powodować ryzyko – podkreśla Paweł Litwiński. Doprecyzowanie, że chodzi o wysokie ryzyko, jest więc krokiem w dobrym kierunku. Ale niewystarczającym.

Dlaczego planowana ulga w RODO będzie iluzoryczna?

– Rzecz bowiem nie w progu wielkości zatrudnienia, tylko w konieczności przeprowadzenia analizy ryzyka. Żeby to zrobić, należy zmapować procesy przetwarzania danych, a więc wykonać te same czynności, które są potrzebne do prowadzenia rejestru – wyjaśnia dr Lubasz. – Po zmianie z wyłączenia mogłaby skorzystać np. kwiaciarnia przetwarzająca dane w celu dostarczenia zamówionych bukietów. Ale i tak będzie to wymagało uprzedniej analizy ryzyka, żeby zweryfikować skuteczność wyłączenia, więc ta ulga pozostanie bardzo iluzoryczna – argumentuje Dominik Lubasz.

Paweł Litwiński zastanawia się też, co będzie w razie pomyłki w ocenie ryzyka. – Jeżeli ktoś nie stwierdzi wysokiego ryzyka, mimo że ono zachodzi? Wtedy okaże się, że skorzystał z wyłączenia z naruszeniem prawa – ocenia. Pojawia się więc pytanie, czy warto brać na siebie ryzyko korzystania z możliwości nieprowadzenia rejestru. – Moim zdaniem nie – mówi dr Litwiński.

Co powinna zrobić Komisja Europejska, żeby pomóc firmom w stosowaniu RODO?

– Nie sztuka zdjąć z przedsiębiorców trochę obowiązków związanych z tworzeniem dokumentacji – mówi Anna Kobylańska, adwokat, wspólnik w kancelarii Kobylańska Lewoszewski Mednis. – To jest oczywiście obciążające, ale ze stosowaniem RODO wiążą się sprawy dużo ważniejsze. Wszyscy korzystamy z narzędzi cyfrowych, które są oparte na usługach podmiotów z państw trzecich, spoza UE/EOG. Przesyłanie danych do tych państw wiąże się z koniecznością spełnienia wymagań z art. 46 i następnych rozporządzenia – wskazuje.

Oznacza to konieczność oceny skutków transferu danych (Transfer Impact Assessment – TIA). – I nawet jeżeli zastosujemy jakiś środek z art. 46 ust. 2 RODO, na przykład standardowe klauzule umowne, to i tak musimy indywidualnie wykonać analizę ryzyka związaną z tym transferem. Dane do państw trzecich przesyła zapewne ponad 90 proc. firm i każda musi we własnym zakresie przeprowadzić analizę obowiązującego tam prawa ochrony danych osobowych. To jest prawdziwy problem do rozwiązania – uważa Anna Kobylańska.

Jej zdaniem zamiast zwalniać przedsiębiorców z obowiązku prowadzenia takiego czy innego rejestru, lepiej byłoby im zapewnić dostęp do analiz wykonanych przez unijny organ, z których jasno wyniknie, czy można transferować dane do określonego państwa, a jeśli tak, to z zachowaniem jakich środków ochrony. – Urealniłoby to możliwość stosowania RODO i było prawdziwą deregulacją w tym zakresie – podkreśla Anna Kobylańska.

W przypadku USA – dokąd najczęściej płyną dane z Unii – obowiązuje wprawdzie decyzja wykonawcza KE z 10 lipca 2023 r. potwierdzająca, że dane Europejczyków są za oceanem chronione na poziomie porównywalnym z tym, jaki zapewnia RODO. – W perspektywie roku czy dwóch lat możemy jednak zostać bez tego narzędzia – mówi Anna Kobylańska. Podstawy transferu danych do USA zakwestionował bowiem Philippe Latombe, deputowany francuskiego Zgromadzenia Narodowego, składając do Trybunału Sprawiedliwości UE wniosek o unieważnienie decyzji Komisji. TSUE dwukrotnie już unieważnił podobne decyzje (w latach 2015 i 2020).

– W tej sytuacji nie wyobrażam sobie, że odtrąbimy sukces z powodu obcięcia części papierowych obowiązków – komentuje mec. Kobylańska. – Przedsiębiorcom należałoby raczej zapewnić realną pomoc w stosowaniu RODO. Małe firmy naprawdę nie mają zasobów osobowych i finansowych, żeby we własnym zakresie sprostać wymaganiom rozporządzenia. Trzeba im jasno wskazać, na zasadzie przyjaznej pomocy, jakie konkretnie środki ochrony danych powinny stosować, żeby spełnić wymagania RODO – stwierdza.

Czy deregulacja może pomóc unijnej gospodarce?

Paweł Litwiński zaznacza, że podejście do deregulacji RODO zależy od zamierzonego celu. – Jeżeli chcemy osiągnąć taką łatwość w wykorzystywaniu danych na potrzeby innowacyjnej gospodarki, z jakiej korzystają na przykład podmioty amerykańskie i chińskie, to mamy fundamentalny problem, bo przy naszej europejskiej filozofii ochrony danych nie da się tego osiągnąć – uważa. W tej filozofii w centrum są bowiem prawa nas wszystkich, a nie interes ekonomiczny administratora danych. – Natomiast jeżeli mówimy o ograniczeniu czy ułatwieniu wykonywania obowiązków wynikających z RODO, to wydaje mi się, że musimy zmienić jedno z podstawowych założeń RODO, czyli podejście oparte na ryzyku – kontynuuje mec. Litwiński.

Obecnie firmy muszą ocenić, jakie ryzyko generuje u nich przetwarzanie i dobrać do tego środki ochrony danych – nie mając pewności, czy są one właściwe. – Postawione przed tym zadaniem małe i średnie firmy są w kropce. Potrzebne są tu konkretne wytyczne. Przedsiębiorcom będzie łatwiej i dane będą lepiej chronione, jeśli administratorzy dostaną ścisłe informacje, co mają zrobić – stwierdza Paweł Litwiński. Dodaje, że nie sprawdziły się też samoregulacje na gruncie RODO – jak kodeksy czy certyfikacja.

Zmiana podejścia wymagałaby jednak przyznania się do błędu. – A mam wrażenie, że tego nikt w Brukseli zrobić nie chce – kwituje Paweł Litwiński.

Dominik Lubasz przypomina, że Omnibus ma obniżyć poziom przeregulowania, który według raportu Mario Draghiego jest w UE bardzo wysoki. - Porównując się ze Stanami Zjednoczonymi, gdzie powstaje znacznie mniej aktów prawnych, musimy jednak pamiętać, że nasze prawodawstwo różni się od anglosaskiego, opartego na precedensach. Ponadto fundamentem prawa UE jest ochrona praw podstawowych i stawianie człowieka w centrum – podkreśla.

Wskazuje, że skuteczniej niż deregulacja mogłyby pobudzić innowacyjność unijnej gospodarki inne mechanizmy. – Na przykład przesunięcie środków inwestycyjnych w kierunku większego wspierania start upów czy szerszy zakres działania piaskownic regulacyjnych – mówi. Propozycją KE zajmą się teraz Parlament Europejski i Rada UE. ©℗

ikona lupy />
Przybywa naruszeń i rosną kary / Dziennik Gazeta Prawna - wydanie cyfrowe