Opublikowano Kategorie ochrona prywatności/danych osobowych, zmiany w prawie

Jak wyłączyć RODO

Na spotkaniu podsumowującym konsultacje społeczne w zakresie projektu ustawy wdrażającej RODO Ministerstwo Cyfryzacji potwierdziło, że w toku prac legislacyjnych zaakceptowana została poprawka wprowadzająca istotne wyłączenia spod zastosowania RODO, którą zgłosiło jeszcze w październiku zeszłego roku Ministerstwo Rozwoju. Projektowane wyłączenie jest ciekawym przykładem tego, jak trudno zaprojektować przepisy dobrze odpowiadające cyfrowej gospodarce.

Ministerstwo Rozwoju: nie przetwarzaj na dużą skalę

Propozycja resortu rozwoju wyglądała inaczej niż jej brzmienie ostatecznie przyjęte przez resort cyfryzacji. W propozycji resortu rozwoju wyłączenie miało objąć przedsiębiorstwa, które:

A) zatrudniają mniej niż 250 osób;

B) nie przetwarzają wrażliwych danych osobowych, np. genetycznych, biometrycznych;

C) nie przetwarzają danych osobowych na dużą skalę.

W uzasadnieniu powyższego wyłączenia wskazano, że niezasadne jest objęcie nim przedsiębiorców z sektora MŚP, których działalność polega w głównej mierze na przetwarzaniu danych. Aby tego uniknąć, wprowadzony został warunek wykluczający zwolnienie podmiotów przetwarzających dane na dużą skalę (punkt C). Przesłanka ta nawiązuje do motywu 91 RODO, zgodnie z którym przetwarzanie na dużą skalę zachodzi, gdy dotyczy znacznej ilości danych osobowych, może wpływać na dużą liczbę osób i powodować wysokie ryzyko, np. gdy zgodnie ze stanem wiedzy technicznej stosowana jest na dużą skalę nowa technologia.

Wyłączenie w brzmieniu zgłoszonym przez Ministerstwo Rozwoju przewidywało więc, że firmy, które przetwarzają znaczną ilość danych znacznej liczby osób, a także firmy, które przetwarzają dane wrażliwe, choćby w małej ilości i choćby nieznacznej liczby osób, miały dalej podlegać pełni uregulowań RODO.

Ministerstwo Cyfryzacji: nie udostępniaj

Propozycja resortu cyfryzacji przewiduje z kolei, aby wyłączenie dokonywane było na nieco innych warunkach, tj. aby zwolnienie objęło przedsiębiorstwa, które:

A) zatrudniają mniej niż 250 osób;

B) nie przetwarzają wrażliwych danych osobowych;

C) nie udostępniają przetwarzanych danych osobowych osobom trzecim, chyba że na podstawie przepisu prawa bądź zgody osoby, której dane dotyczą.

Resort cyfryzacji usunął warunek nieprzetwarzania danych na dużą skalę, uznając ten zwrot za „niedookreślony i nieznany w polskim ustawodawstwie”, a zastąpił go wymogiem nieudostępniania danych osobom trzecim. Tym samym resort cyfryzacji zajął stanowisko wskazujące, że nie ma znaczenia, ile danych jest przetwarzanych ani od ilu podmiotów dane pochodzą, ale to, czy są jakimś podmiotom przekazywane.

Przede wszystkim bezpieczeństwo danych

Trudno oszacować, jak taka zmiana wpłynie na liczebność podmiotów podlegających wyłączeniu, tj. czy więcej jest MŚP, które przetwarzają dane na dużą skalę (podlegałyby więc wyjątkowi tylko w pierwotnej wersji), czy też MŚP, które być może nawet przetwarzają dane na dużą skalę, lecz ich nie udostępniają (podlegałyby więc wyjątkowi tylko w zmienionej wersji). Jednak ustawodawca, projektując wyłączenie, powinien kierować się w pierwszej kolejności nie tym, ile podmiotów obejmie wyjątek, ale czy obejmie on tylko takie przetwarzanie, które nie stwarza poważnych ryzyk naruszenia bezpieczeństwa danych osobowych. Skoro bowiem celem RODO jest ochrona danych osobowych, to wyłączenie tej ochrony powinno być przeprowadzane w przypadkach, w których operacje przetwarzania są bezpieczne per se, a więc np. tam, gdzie przetwarzanie ogranicza się do przechowywania danych przez określony czas.

Przykładem może być myjnia samochodowa, której pracownik zapisuje numery rejestracyjne auta, imię i nazwisko posiadacza oraz jego numer telefonu, tylko w celu poinformowania o tym, kiedy samochód będzie gotów do odbioru, a następnie te dane usuwa. Pobranie danych osobowych w takim przypadku jest właściwie czynnością poboczną, jedynie towarzyszącą wykonaniu innej usługi, a same dane nie mają większego znaczenia dla usługodawcy, który nie zachowuje ich, a tym bardziej nie planuje w przyszłości wykorzystać w celach marketingowych lub zbudowania bazy wiedzy o rynku.

Wydaje się, że najlepszą gwarancją odpowiedniego zawężenia wyłączenia byłoby nie tyle zastępowanie jednej przesłanki drugą, ile jednoczesne wprowadzenie ich obu. Zwolnienie z obowiązków RODO pod warunkiem, że dane osobowe nie są przetwarzane na dużą skalę ani udostępniane, pozwoliłoby ograniczyć zakres wyłączenia do sytuacji, w których pobranie danych rzeczywiście jest tylko czynnością towarzyszącą wykonaniu usługi, pozostającą bez większego znaczenia dla samego kontrahenta.

Zwolnienie (nie)proporcjonalne do celu

Zachowanie obu omawianych przesłanek jednocześnie dawałoby też lepszą gwarancję tego, że wyłączenie takie byłoby proporcjonalne i niezbędne. Zgodnie bowiem z art. 23 RODO państwa członkowskie mogą ograniczyć w określonym zakresie stosowanie tego rozporządzenia, jednak tylko jeśli takie ograniczenie jest proporcjonalne i niezbędne dla realizacji jednego z celów wymienionych w omawianym przepisie. Polskie wyłączenie spod zastosowania RODO, mające na celu zmniejszenie potencjalnych utrudnień dla MŚP, można kwalifikować jako środek służący celowi, o którym mowa w art. 23 ust. 1 lit. (e) RODO, tj. środek służący „innym ważnym celom leżącym w ogólnym interesie publicznym Unii lub państwa członkowskiego”.

W świetle orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej Polska powinna być jednak gotowa udowodnić, że wprowadzane zwolnienie dla MŚP nie wykracza poza to, co jest konieczne dla osiągnięcia ważnego celu w ogólnym interesie publicznym państwa. W takim kontekście wyłączenie opierające się tylko na przesłance nieudostępniania danych może być trudne do obrony. Mogłoby ono bowiem prowadzić do wyłączenia  administratorów ogromnych zasobów danych, jak np. sklepów internetowych lub dostawców aplikacji mobilnych, jeśli przetwarzają dane samodzielnie, a wynikami przeprowadzonych analiz z nikim się nie dzielą, tym samym unikając ich udostępniania. Tymczasem nie można zakładać, że prowadzone przez takie podmioty operacje przetwarzania danych charakteryzują się niskim ryzykiem naruszenia bezpieczeństwa danych. Ponadto wątpliwe jest, czy ulgowe traktowanie takich administratorów, często świetnie prosperujących, można ocenić jako środek konieczny dla realizacji ważnych celów w interesie publicznym.

Wyjątek większy od reguły?

Krytyczne uwagi może wzbudzać też dopuszczenie, aby zwolnienie objęło przedsiębiorców zatrudniających poniżej 250 osób. Co prawda zgodnie z zaleceniami Komisji Europejskiej z 6 maja 2003 r. chodzi nie tylko o osoby zatrudnione na umowie o pracę, ale o wszystkie osoby pracujące dla danego przedsiębiorstwa i jemu podporządkowane, uważane przez prawo krajowe za pracowników. Niemniej jednak i tak oznacza to, że wyłączeniem potencjalnie objętych zostałoby 99,8% wszystkich firm zarejestrowanych w Polsce (dane za zeszłorocznym raportem PARP). Powoduje to, że wyjątek może już na pierwszy rzut oka budzić zastrzeżenia Unii Europejskiej.

Rozwiązaniem nie jest jednak obniżenie wspomnianego progu tak, aby wszystkim obowiązkom z RODO podlegały nie tylko duże, ale też np. średnie przedsiębiorstwa. Obniżyłoby to bowiem odsetek potencjalnie zwolnionych z niemal 100% do równo 99%, zaś włączenie jeszcze małych przedsiębiorstw zmniejszyłoby udział potencjalnie zwolnionych do 96% – w Polsce dominują bowiem mikroprzedsiębiorstwa. Pokazuje to, że problemem jest nie tyle dobranie odpowiedniego poziomu poprzeczki, ile raczej w ogóle sam pomysł, aby ustalać jej wysokość przez odniesienie do liczby zatrudnianych osób.

Nie można zakładać, że firmy spełniające kryterium niskiego zatrudnienia przetwarzają dane w sposób niestwarzający poważniejszego zagrożenia dla ich bezpieczeństwa. Oczekiwanie statystycznie istotnej korelacji między tymi dwoma aspektami jest nieintuicyjne, zważywszy, że przetwarzanie danych najintensywniej wykorzystywane jest przez firmy świadczące usługi drogą elektroniczną, które zwykle prowadzone są przez małe zespoły współpracowników, a nierzadko wręcz w pojedynkę.

Potrzebna większa precyzja

Powyższe pokazuje, jak trudno jest przygotować proporcjonalne zwolnienie z zastosowania przepisów unijnych – tak, aby przynosiło ulgę tym, którzy jej potrzebują (a więc najmniejszym przedsiębiorcom), ale też w jak najmniejszym stopniu obniżało bezpieczeństwo przetwarzanych danych osobowych. Można jednak dostrzec, że lepszym tropem jest powiązanie warunków zwolnienia z zakresem i sposobem przetwarzania danych niż z liczbą zatrudnianych osób.

Przeszkodą nie do obejścia nie powinno być niewystarczające zdefiniowanie pojęć takich jak „przetwarzanie na dużą skalę”, na co powołał się resort cyfryzacji. O ile należy zgodzić się z dążeniem ministerstwa do precyzji terminologicznej, to jednak jego wyrazem nie powinno być porzucanie danej koncepcji ze względu na nieprecyzyjność zwrotu, lecz opracowanie odpowiedniej definicji legalnej pojęcia.

Rozwiązaniem zwiększającym pewność prawa mogłoby być także przygotowanie załącznika do ustawy, który, np. przez odniesienie do listy PKD, wskazywałby rodzaje działalności, których prowadzenie mogłoby w szczególności podlegać wyłączeniu. Taki katalog konkretnych przykładów pozwalałby podmiotom zobowiązanym do stosowania RODO lepiej zrozumieć generalną normę przewidującą wyłączenie.

Bartosz Troczyński