MŚP, a zwolnienie z obowiązków RODO

Na początku tego roku Ministerstwo Cyfryzacji zaproponowało ograniczenie wymogów wynikających z RODO. Chociaż część propozycji została wycofana, nadal zasadne jest pytanie: Czy przedsiębiorcy, którzy korzystają z tych wyjątków, będą mogli przetwarzać dane osobowe w sposób zgodny z prawem?

Ministerstwo Cyfryzacji wyszło z propozycją, aby niektórzy przedsiębiorcy byli zwolnieni z części wymogów wynikających z rozporządzenia o ochronie danych (RODO). Początkowo zmiany miały odnosić się do całego art. 13 RODO, a więc większości obowiązków informacyjnych, które administrator powinien spełnić wobec osoby, której dane dotyczą. Propozycje te spotkały się z falą krytyki ze strony m.in. środowisk prawniczych. W związku z tym Ministerstwo Cyfryzacji odstąpiło od tak daleko idących wyłączeń.

Zmiany miały dotyczyć przedsiębiorców zatrudniających do 250 pracowników. Przedsiębiorstwa te nie mogły przetwarzać danych wrażliwych, ani ich udostępniać innym podmiotom. Wówczas firmy spełniające te warunki nie byłyby zobligowane do realizacji obowiązków informacyjnych, o których mowa wyłącznie w art. 13 ust. 2 RODO.

Czy przedsiębiorcy, wyłączeni z obowiązków, będą mogli przetwarzać dane osobowe zgodnie z prawem?

Należy pamiętać, że skuteczne wypełnienie niektórych obowiązków informacyjnych, jest warunkiem uznania, że zgoda na przetwarzanie danych osobowych jest ważna. Aby móc odpowiedzieć na wcześniej postawione pytanie, należy pochylić się m.in. nad relacją prawa unijnego do prawa krajowego.

Pierwszeństwo prawa unijnego

Zasada pierwszeństwa prawa unijnego jest jedną z nadrzędnych zasad prawa unijnego. Zgodnie z jej treścią pierwszeństwo przed prawem krajowym państwa członkowskiego ma prawo unijne. W sytuacji sprzeczności  prawa unijnego z prawem krajowym, pierwszeństwo mają przepisy prawa unijnego. Natomiast krajom członkowskim nie wolno jest wprowadzać przepisów prawa krajowego, które byłyby niezgodne z prawem unijnym.

Zasada ta wynika z bogatego orzecznictwa Trybunał Sprawiedliwości Unii Europejskiej i jest jednym z fundamentów skuteczności prawa stanowionego na poziomie unijnym. Odnosi się zarówno tzw. prawa pierwotnego (trakty ustanawiające Unię Europejską), jak i tzw. prawa wtórnego (m.in. dyrektywy i rozporządzenia).

W praktyce, jeżeli prawo krajowe jest niezgodne z prawem unijnym, wówczas stosuje się prawo unijne bez względu na treść przepisów prawa krajowego oraz, czy wynikają one z ustawy czy z aktów niższego rzędu (np. rozporządzenia wydawane na podstawie ustawy).

Nowa ustawa o ochronie danych osobowych, a RODO

Ogólne rozporządzenie o ochronie danych wprowadza szeroki zakres obowiązków informacyjnych. Ministerstwo Cyfryzacji wyszło z propozycją, aby przedsiębiorcy zatrudniający nie więcej niż 250 pracowników, nieprzetwarzający danych wrażliwych oraz nieudostępniający danych osobowych innym podmiotom, zostali wyłączeni spod niektórych obowiązków informacyjnych przewidzianych w RODO.

Podstawą do ograniczenia obowiązków wynikających z RODO przez polskiego prawodawcę jest art. 23 RODO. Ograniczenie takie nie może jednak łamać istoty podstawowych praw oraz wolności. Oprócz tego musi być uzasadnione, ze względu na wskazane w RODO przyczyny - m. in. istotny interes gospodarczy (Ministerstwo Cyfryzacji właśnie tak uzasadnia projektowane ograniczenia). Fundamentalne dla oceny zgodności polskiej ustawy z RODO będzie zatem wskazanie, czy ograniczenia w stosowaniu RODO wdrożone przez polskiego prawodawcę nie naruszają istoty elementarnych praw i wolności. Istotne jest też czy są w demokratycznym społeczeństwie środkiem koniecznym i proporcjonalnym, który służy ważnemu interesowi gospodarczemu.

Wyłączenie obowiązków informacyjnych w kontekście profilowania

Obowiązek określony w art. 13 ust. 2 lit. f). jest jednym z tych obowiązków informacyjnych, które ma podlegać wyłączeniu zgodnie z polską ustawą o ochronie danych osobowych. Głosi on, że w procesie pozyskiwania danych osobowych administrator podaje m.in. informacje o zautomatyzowanym podejmowaniu decyzji, w tym również o profilowaniu.

Według zaproponowanych przez Ministerstwo Cyfryzacji zmian, niektórzy przedsiębiorcy nie byliby objęci obowiązkiem informowania o takim sposobie przetwarzania danych.

Profilowanie jest z kolei określane przez ustawodawcę unijnego jako forma zautomatyzowanego przetwarzania danych osobowych, która opiera się na wykorzystaniu ich do oszacowania pewnych czynników osobowych – zwłaszcza do analizy lub prognozy aspektów dotyczących zdrowia tej osoby, osobistych preferencji, efektów pracy, jej sytuacji ekonomicznej, zainteresowań, wiarygodności, zachowania, lokalizacji czy przemieszczania się. Stanowi więc szereg połączonych ze sobą działań analitycznych, poprzez które administrator może wysnuć wnioski na temat ważnych kwestii dotyczących osoby, której dane dotyczą.

Profilowanie zawsze związane będzie z daleko idącym ryzykiem, takim jak np. naruszenie prawa do prywatności (brak wiedzy osoby, której dane dotyczą o tym, że administrator analizuje jej dane osobowe w celu uzyskania dalszych informacji o niej); błędy dokonywane w procesie analizy danych prowadzących do błędnych wniosków o osobie, co z kolei może prowadzić do dyskryminacji (np. podniesienie składki ubezpieczeniowej w wyniku błędnego wniosku, że ryzyko ubezpieczeniowe jest w przypadku danej osoby wyższe).

Zasadny zatem wydaje się wniosek, że wprowadzenie przez polskiego ustawodawcę całkowitego wyłączenia obowiązku informowania o profilowaniu, może ingerować w istotę elementarnych praw oraz wolności jednostki (m.in. prawo do wolności od dyskryminacji, prawa do prywatności). W związku z powyższym wyłączenie takie może być uznane za niezasadne. W takiej sytuacji to RODO – jako rozporządzenie unijne, według zasady pierwszeństwa prawa unijnego, będzie źródłem obowiązków przedsiębiorcy w tym zakresie. W konsekwencji, ograniczenia obowiązków przewidziane w polskiej ustawie nie będzie miało zastosowania.

Podsumowanie

W wyniku tego może dojść do sytuacji, w której stosowanie się do polskiej ustawy o ochronie danych osobowych, może zostać uznane za działanie niezgodne z RODO, jako że prawo unijne respektowane jest bezpośrednio, przed prawem krajowym. Zaproponowane przez Ministerstwo Cyfryzacji, zminimalizowanie zakresu obowiązków informacyjnych mogą zatem odnieść skutek odwrotny od planowanego.

Ministerstwo dąży do wprowadzenia ułatwień dla mikro i małych firm, jednak konsekwencją tych starań może być podwyższony poziom skomplikowania systemu ochrony danych osobowych. Ponadto nagminna i powszechna może być także niejednorodna praktyka przedsiębiorców w obszarze informowania o ich prawach osób, których dane dotyczą. W rezultacie to właśnie osoby, których dane dotyczą mogą w największym stopniu odczuć negatywne skutki planowanych przez Ministerstwo Cyfryzacji zmian.

Autorzy

Grzegorz Wanio, Partner Zarządzający w kancelarii EVERBERG.
Szymon Tyniec, Aplikant adwokacki w kancelarii EVERBERG.

Publikacja: E-Commerce Today!, 15.02.2018r.