RODO do poprawki: Komisja Europejska chce uprościć obowiązki dokumentacyjne dla MŚP – eksperci ostrzegają przed deregulacją
22.02.2025
Po raz pierwszy od wejścia w życie w 2018 roku, unijna RODO (rozporządzenie o ochronie danych osobowych) ma zostać gruntownie zreformowana. Komisja Europejska planuje znaczące złagodzenie obowiązków dokumentacyjnych dla małych i średnich przedsiębiorstw (MŚP). Chociaż propozycja może przynieść realne korzyści operacyjne, budzi również silne kontrowersje i ostrzeżenia ze strony organizacji obywatelskich i ekspertów ds. prywatności.
Na czym polega propozycja reformy?
Dotychczas artykuł 30 RODO zobowiązywał wszystkie firmy do prowadzenia tzw. rejestru czynności przetwarzania danych, zawierającego szczegółowe informacje o tym, jak i dlaczego przetwarzane są dane osobowe. MŚP zatrudniające poniżej 250 osób były z tego obowiązku częściowo zwolnione – pod warunkiem że przetwarzanie nie wiązało się z ryzykiem naruszenia praw i wolności osób, których dane dotyczą.
Nowy projekt reformy idzie o krok dalej. Komisja Europejska proponuje nie tylko uproszczenie warunków tej wyjątku, ale także jego rozszerzenie na firmy zatrudniające do 500 pracowników i pozostające poniżej określonego pułapu obrotu. To oznacza, że z obowiązku dokumentacyjnego mogłaby być zwolniona większość europejskich firm – nawet tzw. „mid-caps” (firmy o średniej kapitalizacji).
W zamyśle ustawodawców, dokumentacja przetwarzania miałaby być wymagana tylko w przypadkach, gdy dane osobowe stwarzają „wysokie ryzyko” dla praw i wolności jednostek. Jednak brak precyzyjnej definicji tego pojęcia otwiera pole do szerokiej interpretacji i ryzyka niejednoznaczności.
Co to oznacza dla polskich sprzedawców online?
Dla polskich przedsiębiorców działających w handlu elektronicznym – zwłaszcza tych sprzedających na rynkach unijnych – propozycja reformy może oznaczać istotne ułatwienia administracyjne. Mniejsze sklepy internetowe czy usługodawcy e-commerce nie musieliby już tworzyć i aktualizować rejestru czynności przetwarzania danych, o ile ich działalność nie stwarza istotnego ryzyka dla prywatności.
Można przypuszczać, że firmy, które nie wykorzystują danych do profilowania, reklamy behawioralnej czy rozbudowanych analiz, znajdą się w kręgu beneficjentów reformy. Z kolei przedsiębiorcy korzystający z zaawansowanych technologii, w tym sztucznej inteligencji czy remarketingu, będą musieli szczególnie uważnie analizować swoją zgodność z nowymi wymogami.
Obawy o bezpieczeństwo danych
Choć intencje uproszczenia biurokracji wydają się racjonalne, wielu ekspertów alarmuje, że reforma może zbyt daleko odejść od pierwotnego celu RODO – silnej ochrony danych osobowych. Europejski Inspektor Ochrony Danych oraz Europejska Rada Ochrony Danych warunkowo popierają propozycję, apelując jednocześnie o ostrożność i zachowanie równowagi między interesami biznesowymi a prawami obywateli.
Jeszcze ostrzej wypowiadają się organizacje obywatelskie, takie jak Noyb czy EDRi. Ich zdaniem reforma otwiera przysłowiową „puszkę Pandory”, prowadząc do niekontrolowanej deregulacji. W otwartym liście ponad 100 organizacji i ekspertów ostrzegło, że zmiany mogą doprowadzić do dalszego osłabienia przepisów, w tym m.in. wymogu zgody na przetwarzanie danych czy zasad użycia danych osobowych w szkoleniu modeli sztucznej inteligencji.
Czy czeka nas rozluźnienie czy rozwodnienie RODO?
Reforma RODO ma potencjał, by przynieść ulgę tysiącom małych firm, także w Polsce. Jednak w obliczu rosnącego znaczenia danych i ich komercjalizacji, każdy krok w kierunku deregulacji musi być dokładnie wyważony.
Polscy przedsiębiorcy powinni uważnie śledzić rozwój wydarzeń i przygotować się na nowe zasady, które – mimo że upraszczające – mogą wymagać pogłębionej analizy ryzyka. Należy również spodziewać się dodatkowych wytycznych interpretacyjnych, które będą kluczowe w praktycznym stosowaniu zreformowanych przepisów.
