9:01
22/2/2018

Nadchodzi GDPR, u nas znane jako RODO. Mamy jako Polska możliwość wprowadzania pewnych zmian do prawa “narzucanego” przez Unię Europejską. Jedna z propozycji polskiego rządu jest taka, żeby małe i średnie firmy były zwolnione z obowiązku informowania swoich klientów w przypadku, gdy doszło do wycieku ich danych. W dodatku, zaproponowane zmiany w przepisach mierzą wielkość firm liczbą zatrudnionych pracowników. Może to oznaczać, że nawet technologiczni giganci będą mogli przemilczać wycieki danych osobowych, jeśli umiejętnie się “podzielą”.

Rodzi się prawny potworek

Większość ludzi ma świadomość, że polskie prawo trzeba dostosować do unijnego rozporządzenia o ochronie danych, znanego jako GDPR. Prace nad tym ambitnym zadaniem ruszyły w marcu 2017 roku. Mówiąc ściślej – wtedy dowiedziała się o nich opinia publiczna. Ujawniono “projekt roboczy” Ministerstwa Cyfryzacji.

We wrześniu 2017 r. projekt został skierowany do uzgodnień międzyresortowych i konsultacji publicznych. Uwag było dużo z różnych stron. Na szczególną uwagę zasługiwało stanowisko Ministerstwa Rozwoju, które bardzo się przejęło losem małych i średnich przedsiębiorstw (MŚP). Ministerstwo zaproponowało, aby do MŚP nie stosować pewnych przepisów rozporządzenia, m.in. art. 34 RODO.

Artykuł 34 dotyczy powiadamiania o naruszeniu ochrony danych. Najlepiej zacytujmy ten przepis w całości.

1.   Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

2.   Zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d).

3.   Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach:

a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;
c)

wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

4.   Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3.

Ten przepis to jedno z głównych osiągnięć RODO. Zasada, że jeśli ktoś nie upilnował danych ma o tym powiadomić osoby, których te dane dotyczą. Niestet Ministerstwo Rozwoju uznało, że jest coś ważniejszego niż bezpieczeństwo konsumentów. Jest to ochrona interesów MŚP.

Po co chcesz wiedzieć kto przetwarza dane?

Gdy premierem został Mateusz Morawiecki, Ministerstwo Cyfryzacji zaproponowało, by firmy zatrudniające mniej niż 250 osób zostały zwolnione z obowiązku informowania o tym, kto przetwarza dane i w jakim celu. Ministerstwo argumentowało, że dzięki takiemu zmniejszeniu obowiązków firmy będą mniej wydawać na obowiązki administracyjne. W rzeczywistości, to informowanie to dorzucenie do formularza formułki informującej o celu przetwarzania danych oraz o administratorze, wiec nie jest to w naszej opinii wielki koszt…
Na szczęście, z tej absurdalnej propozycji ostatnio się wycofano.

Gdzie jesteśmy teraz?

12 lutego w RCL opublikowano raport z konsultacji i kolejną wersję projektu. Nadal jest to projekt bardzo sprzyjający MŚP i niestety nie bardzo sprzyjający ludziom, których dane są przetwarzane. Zacytujmy teraz art. 3 ust. 1 projektu.

Art. 3. 1. Do przetwarzania danych osobowych przez administratorów nie będących podmiotami publicznymi wskazanymi w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2017 r. poz. 2077), zatrudniających mniej niż 250 osób, przepisów art. 13 ust. 2 lit a-b oraz d – f, art. 15 ust. 3 i 4, art. 19 oraz art. 34 rozporządzenia 2016/679 nie stosuje się.

Jak widzicie, wielkość firmy zależy od liczby zatrudnionych osób. Nie od skali przetwarzania. Firmy zatrudniające np. 230 osób będą zwolnione z obowiązku informowania o wyciekach. Tego dotyczył art. 34 RODO, a czego dotyczą te inne artykuły, z których MŚP mają być zwolnione?

  • Art. 13 ust. 2 dotyczy przekazywania pewnych informacji np. o okresie, w którym dane będą przechowywane.
  • Art. 15 ust. 3 i 4 dotyczą pewnych praw przysługujących osobom, których dane dotyczą (konkretnie prawo bycia poinformowanym o odpowiednich zabezpieczeniach oraz obowiązek dostarczania kopii danych osobowych podlegających przetwarzaniu).
  • Art. 19 dotyczy obowiązku powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania.

MŚP mogą być… gigantami

Prawnicy nie są optymistami.

Duża spółka z małą ilością pracowników ale prowadząca np. Facebooka będzie miała mniejsze obowiązki – np. nie będzie musiała informować użytkowników o wycieku danych, o profilowaniu itp. – komentuje Przemysław Caputa, prawnik i audytor z kancelarii Favitor – Rozwiązanie przyjęte w art. 3 ust. 1 projektu zmniejsza obowiązki wynikające z ustawy nie tylko dla małych firm ale również dla gigantów technologicznych. Firmy które przetwarzają dane milionów osób nie potrzebują tysięcy pracowników, wystarczy im 30-40, na początku wystarczy nawet 5. Oznacza to, że oparcie kryterium zmniejszenia obowiązków o liczbę pracowników (rozumianych jako osoby zatrudnione w ramach umowy o pracę, tymczasem wiele firm z tej branży nie posiada pracowników w tym rozumieniu) powoduje, iż spółki o sporych obrotach i przetwarzające dane na skalę masową, nie będą podlegały wielu obowiązkom RODO, np. serwis z 100 000 użytkowników ale z 50 pracownikami nie będzie musiał informować swych użytkowników o wycieku danych.

Przemysław Caputa obawia się, że duże firmy mogą próbować obchodzić przepisy by zmniejszyć swoje obowiązki.

Zaczną zakładać spółki córki do których przeniosą pracowników by nie musieć realizować obowiązków wynikających z RODO. W zeszłym roku kilka firm (…) miało przypadki wycieku danych osobowych, według projektowanego przepisu, jeżeli przeniosą pracowników do spółek-córek tak by zatrudnienie spadło  poniżej 250 osób, a same będą pozyskiwały tylko klientów, nie będą podlegały obowiązkom wynikającym z RODO – uważa Przemysław Caputa

Podobnego zdania Fundacja Panoptykon, którą zapewne znacie. W komunikacie na jej stronie czytamy:

Mniejsze firmy, wśród których może się np. znaleźć dostawca poczty elektronicznej czy sklep internetowy, nie będą musiały informować swoich klientów, jeśli dojdzie do wycieku ich danych, mimo że takie zdarzenie oznacza wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą (tylko w takich okolicznościach wymaga tego RODO). Łatwo sobie wyobrazić niebezpieczny wyciek haseł, o którym klienci dowiedzą się (o ile w ogóle) dopiero z mediów, bez szans na szybką reakcję i zabezpieczenie swojego konta przed włamaniem.

Skupiamy się na art. 34 i informowaniu o wyciekach, ale usunięcie dla MŚP innych obowiązków informacyjnych też będzie problemowe. Jeśli nie wiesz jak długo ktoś ma przetwarzać Twoje dane albo czy stosuje profilowanie, będziesz mieć problem z oszacowaniem skutków zgody na przetwarzanie. A wszystko dzięki temu, że rząd dostrzega problemy MŚP nie dostrzegając, że praktycznie każdy obywatel może być klientem tak rozumianych MŚP.

Chciałoby się zacytować kapitana Spocka.

Niestety jak na razie nasz rząd uważa, że dobro MŚP jest ważniejsze niż dobro wszystkich.

 


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

89 komentarzy

Dodaj komentarz
  1. >niewspółmiernie dużego wysiłku
    Bardzo lubię tak sformułowane przepisy. Na przykład wstanie z łożka dla niektórych może być nie lada wysyłkiem, o jakimś zawiadamianiu nie wspominając! :)

    • Czego się dziwić. Takie przepisy muszą powstawać by dostosować się do narzuconych wytycznych, przepisów UE . W UE mamy marchewkę jako owoc , ślimaka traktujemy jako rybę :) ,a woda nie nawadnia organizmu :)

      Moim zdaniem należałoby by się poważnie zastanowić nad stanem psychicznym urzędników UE ,albo rozpisać referendum w prawie opuszczenia tego domu wariatów .

    • Unijne przepisy o marchece-owocu czy ślimak-rybie są akurat przykładem elastyczności przepisów Unii wobec potrzeb krajów ją tworzących. UE: “Sok jest z owoców” Ktoś:”Ale mamy sok z marchwi!” UE:”No dobra. Skoro w wielu krajach owoce ogórka, papryki i pomidora są nazywane warzywami, to można też w drugą stronę i marchew można uznać za owoc”. Ba. Nawet UE może uznać Polski węgiel za źródło energii odnawialnej, jeśli to nikomu nie zaszkodzi, a pomóc może.

    • Mi_ał 2018.02.22 15:53
      Chyba kolega nigdy nie słyszał o sokach z warzyw , które są sprzedawane od przynajmniej 20 lat w polskich sieciach handlowych . Patryka , pomidor , ogórek to warzywo i wie o tym nawet dziecko w wieku 5 lat . Zamienili marchewkę na owoc tylko po to ,żeby sprzedawać w sklepach pod nazwą ” sok owocowy”

      UE to patologia i oby jak najszybciej rozpisali referendum w sprawie wyjścia z UE bo osobiście mam jej już dość i tego co oni wyprawiają , jakie normy narzucają . Co do węgla to jest to w pewnym sensie źródło odnawialne ,ale chyba urzędnicy UE tego nie wiedzą , jak i to ,że Polska ma dostęp do morza ,a sorry według UE nie mamy dostępu do morza .

    • A teraz zaskoczę Cię. Papryka, pomidor i ogórek to owoce z biologicznego punktu widzenia. Ze względu na smak przyjęło się zaliczać je do warzyw, ale natury nie oszukasz.
      Nikomu nie szkodzi uznanie marchewki za owoc, nawet jeśli z biologicznego punktu widzenia jest warzywem, korzeniem.
      Polska i Unia to nie “my i oni”, a “my i my w większym gronie”. Zamiast psioczyć lepiej wpływać na wspólne decyzje Unii.

    • @mariusz_stronikeiwicz “Patryka , pomidor , ogórek to warzywo i wie o tym nawet dziecko w wieku 5 lat”

      Klasyfikacja botaniczna i spożywcza to dwie różne rzeczy. Cytuję Wikipedię:

      pomidor: “Najpopularniejszym gatunkiem uprawianym i spożywanym jest pomidor zwyczajny. Jego owoce (w znaczeniu botanicznym) są warzywami według klasyfikacji towarów spożywczych.”

      papryka: “Owoce papryki mają własności lecznicze”

      ogórek: “Rodzaj z rodziny dyniowatych z rzędu dyniowców”
      Dyniowate: “Owoce: Mięsiste jagody. Nasiona są bezbielmowe, oleiste, z dużymi liścieniami.”

      Jak widać nazywanie owoców warzywami ma tradycję znacznie dłuższą niż istnienie UE. Dlaczego więc nie pójsć w drógą stronę?

    • Papryka, ogórek i pomidor to OWOC i wie o tym każdy kto ma elementarną wiedzę z biologii. Wiedzę na poziomie szkoły podstawowej.

    • Macie jakiś przebłysk z prawa UE ale taki malutki.
      Z uznaniem marchewki za nie stały soki tylko dżem (i Portugalia).
      1. wg prawa UE dżem robi się z owoców
      2. w Portugalii dżem robi się z marchewki
      dlatego 3 – marchewkę uznano za owoc aby nie zmieniać prawa dotyczącego produkcji dżemu.

      Rak to ryba bo do produkcji ryb są większe dotacje – za tym lobbowała Francja.

      Takie samo logiczne wyjaśnienie (oczywiście chodzi o kasę i interesy Francji) jest z krzywizną bananów. I itp, itd.

    • > W UE mamy marchewkę jako owoc , ślimaka traktujemy jako rybę

      “ch… wiem ale się wypowiem”

    • @pryk – faktycznie chodziło o dżemy. Pamiętałem, że to było coś, co się robi z owoców, a jakiś kraj chciał z marchwi Mea Culpa. W każdym razie Unia tymi wyjątkami pokazuje, że są w stanie się dostosować do potrzeb poszczególnych krajów jeśli tylko rząd potrafi rozmawiać i uzasadnić swoją rację/potrzebę.

    • pryk 2018.02.23 09:09
      Dlatego struktury UE są tak bardzo niebezpieczne bo mogą dowolnie kształtować rzeczywistość , lobbować określone rozwiązania danej firmy , niszcząc rynki innych państw. Pewnie za 20 lat Polski już nie bęðzie tylko coś na zasadach stanów zjednoczonych , z wspólnym językiem walutom, historią .

      UE to taki nowy związek radziecki – gdzie jak jakieś państwo się nie dostosuje to pałuje się je finansowo , nakładając sankcje.

      Świętowanie dnia niepodległości to robienie z ludzi idiotów , bo państwo , które musi przestrzegać zapisów traktatów UE, wdrażać określone zapisy, ustawy narzucone odgórnie wolnym państwem nie ma prawa się nazywać.

    • Czepiacie się Unii, a ostatnio polski sąd uznał, że picie denaturatu w miejscu publicznym nie narusza Ustawy o Wychowaniu w Trzeźwości, bo denaturat nie jest alkoholem spożywczym, więc wyżej wymieniona Ustawa go nie dotyczy. Można? Można. Teraz jak na tej samej ławce będzie siedział japiszon z piwkiem i żul z denaturatem, to ten pierwszy Dostanie mandat, bo piwo jest alkoholem spożywczym i Ustawa go dotyczy, a drugi usłyszy od policjantów “na zdrowie”.

    • @ mariusz_stronikeiwicz – na lekcję biologii!!! Podstawówka i gimnazjum do powtórki. Pomidor i inne wymienione przez Ciebie “warzywa” to owoce. W owocu znajdują się pestki, które są nasionami i miejsce gdzie występują nasiona nazywa się OWOCEM. Tak więc z biologicznego punktu widzenie POMIDOR, OGÓREK i PAPRYKA to OWOCE. Nie wierzysz poszukaj chociaż na Wikipedii. Nie ma wprost? To poszukaj definicji czym jest owoc.

      Zdanie z wikipedii do rozjaśnienia umysłu choć myślę, że tu potrzebne byłoby rozjaśnienie zapałkami – “Opryskiwanie auksynami pozwala uzyskać owoce u gatunków takich jak ogórek, pomidor, tytoń, fasola, truskawka, papryka.”. To Polska była chora i źle to w sklepach nazywano, zaś marchew podciągnęli pod owoc, aby można było legalnie produkować dżem, który jest barwiony marchwią (dokładniej karotenem), bo z definicji dżem ma być w 100% owocowy.

    • Kraina Grzybów TV 2018.03.06 10:54 | # |
      To grzyby, czosnek , cebula oraz sperma też są owocami ? No sorry ,ale bredzisz …

    • Kraina Grzybów TV 2018.03.06 10:54
      Aż nie mogłeś się powstrzymać z wrażenia pobiegłem do lodówki przeciąłem marchewkę definiowaną przez UE jako owoc i ku mojemu zdziwieniu nie było wewnątrz niej żadnego gniazda z nasionami.

      Dziecinko proponuję ci sprawdzić w Wikipedii co to jest “gniazdo ” oraz jakie musi spełniać założenia .

    • Kraina Grzybów TV 2018.03.06 10:54
      Marchewka to korzeń ,a nie owoc także do edukuj się ,a nie trolluj . Proponuję na początek zacząć od przedszkola …

      Cytat z Wikipedii
      Marchewka gatunek rośliny z rodziny selerowatych ,są uprawiane jako warzywo lub roślina pastewna. Jadalny korzeń ma wiele zastosowań w kuchni.

  2. A tak w ogóle to liczba “zatrudnionych” dotyczy tylko umów o pracę czy śmieciówki o dzieło też są liczone?

    • śmieciówki od 2018 roku – zarówno umowy zlecenie jak i umowy o dzieło będą zlikwidowane. FREELANCERZY BĘDĄ MIELI PRZESRANE o głupie pomysły rządu i chwytanie problemu nie od tej strony co potrzeba. Zacznie się robota na czarno.

  3. tl;dr, ale śmiechłem po przeczytaniu wstępu – duże firmy się podzielą tylko po to, aby nie informować o (potencjalnym) wycieku danych swoich klientów? :D

    • Duże czyli np zatrudniające 300 osób firmy typu “gówno marketing sp z o o”. A nie bank.

    • Duże firmy od dawna dzielą się i tworzą sieć powiązanych spółek matek-córek (tzw. wehikuły korporacyjne). Zazwyczaj robią to w celu optymalizacji podatkowej lub ochrony majątku przed egzekucją. Np. firma A wykonuje właściwą działalność a firma B “zajmuje się” posiadaniem majątku, który dzierżawi firmie A. To dojdzie kolejny powód i nowa firma C “zajmująca się” utrzymywaniem pracowników! :)

    • Zgadza się, optymalizacja podatkowa (pieniądze) to jest powód, aby się dzielić. Ale w tym wypadku powód do podziału jest zbyt błachy i stwarzał by dodatkowe problemy – np. samo udostępnianie danych powiązanym spółkom wymaga dodatkowych zgód klienta i zwiększa koszty obsługi prawnej. W dodatku spółka i tak musi powiadomić odpowiednie organa o wycieku, ponieważ tutaj chodzi tylko o brak obowiązku powiadamiania *osób*, których dane wyciekły.

    • @ondy:
      To czy będzie się to opłacało, zależy przede wszystkim od analizy ryzyka. Na nieszczęście dla nas i twojej “błachej” (sic!) argumentacji – to właśnie w firmach których działalność jest oparta o przetwarzanie dużej ilości danych osobowych to ryzyko będzie najwyższe – konieczność poinformowania (de facto) opinii publicznej o wpadce to pewna śmierć takiej firmy. I bardzo dobrze: jeśli ktoś nie potrafi bezpiecznie przetwarzać danych osobowych to nie powinien robić tego wcale.

    • Tak, zrobią tak. Art. 34 nakazuje firmom informować o wycieku danych każdą osobę której wyciekł mógł zaszkodzić. Jeżeli masz wyciek z bazy 50 000 osób, to musisz dotrzeć do każdej z tych osób z informacją na ten temat w ciągu 72h. Inaczej podlegasz karze, które w RODO idą w setki milionów.
      Taniej jest stworzyć spółkę-córkę w której będą pracownicy obsługujący całą działalność. Na przesłanie danych do takiej formy nie potrzebujesz zgody klienta bo nie dajesz jej danych a tylko powierzasz, co regulujesz umową.
      Minimalizujesz koszty informowania (50 000 telefonów w 72h) i ryzyko kary (masz mniejsze obowiązki, więc mniejszą szansę na naruszenie przepisów).

    • @Darkos – gdyby firma miała paść z tak błahego powodu, jak wyciek danych jej klientów, to tej firmy już nie ma. Bo wbrew temu, co sądzicie o SWOICH danych, to z punktu widzenia przeciętnego konsumenta jest to sprawa niegodna zainteresowania. Mało kto szanuje swoje dane, więc żeby firma padła, to jej klientami musi być bardzo konkretna grupa ludzi. A mając taką klientelę, nikt nie będzie robił zasłon dymnych z podziałami spółek.

    • Tak. Kara za naruszenie przepisów wynosi do 4% światowego obrotu (nie krajowego i nie zysku, tylko obrotu). To są ogromne kary – w przypadku typowych polskich kar wiele.firm je normalnie przewiduje w budżecie. Kara tej wielkości jest za duża

  4. Panoptykon rozmawia o tych problemach bezpośrednio z Kaweckim: https://panoptykon.org/wiadomosc/nie-widzimy-zagrozen-dr-maciej-kawecki-o-watpliwosciach-co-do-nowego-projektu-uodo

    • Czasami zastanawiam sie ile chromosomow ma ten czlowiek… Tworzy chyba prawo dla przestepcow, tak by obywatel Polski musial sie ich bac.

  5. Pytanie w sprawie RODO. Czy prywatne fora internetowe, na które trzeba dostać zaproszenie, muszą również się do RODO dostosować, czyli mieć Administratora Danych Osobowych?

    • Na forach raczej nie musisz podawać swoich danych osobowych? Podajesz pseudonim, hasło, email i tyle, a to nie są dane osobowe. Nawet samo imię i nazwisko nie są jeszcze danymi osobowymi.
      No chyba, że to jakieś specyficzne forum, które wymaga imienia, nazwiska, adresu i całej listy, czyli w komplecie danych osobowych, wtedy trzeba będzie obsłużyć RODO.

    • @Kenjiro wg. RODO imię i nazwisko będzie już dana osobowa, rozporządzenie zmienia definicje z obowiązującej ustawy

      @Tiral moim zdaniem zamknięty charakter forum nie ma tu nic do rzeczy, ale tak jak pisał Kenjiro może warto ograniczyć zakres przetwarzanych danych? Musisz tylko zwrócić uwagę ze informacje z profili użytkownika to jedno, ale dane osobowe mogą pojawiać się również w treści postów, załącznikach itp i one również będą podlegały ochronie

    • Co jest dana osobową a co nie ustawa precyzyjnie nie definiuje. Do tego służą wskazówki odpowiednich organów (np GiODO) a on definiuje Nazwisko Imię oraz adres email za dane osobowe.Daną osobową jest każda informacja pozwalająca rozsądnym nakładem czasu i pieniędzy zlokalizować użytkownika – tutaj pytanie co to jest rozsądna ilość czasu i kasy?

    • Więc jak, forum przechowuje między innymi adresy mailowe to znaczy, że musimy mieć jakiegoś oficjalnego administratora danych osobowych? Czy wyznaczenie wystarczy, czy trzeba coś robić, wysyłać raporty itd.?

    • @Kamil: @Kenjiro wg. RODO imię i nazwisko będzie już dana osobowa, rozporządzenie zmienia definicje z obowiązującej ustawy

      nie prawda, samo imię i nazwisko MOŻE być daną osobowa (z definicji: dana osobowa jest to taka informacja która JEDNOZNACZNIE identyfikuję osobę czyli Jan Kowalski nie jest daną osobową ale już Jan Kowalski z miasta Bobrzec z ulicy Ptasiej zdecydowanie już może być, bo łatwiej takiego Jana znaleźć – niż wszytkich Kowalskich na świecie.)

    • “tutaj pytanie co to jest rozsądna ilość czasu i kasy?”

      Jeżeli możesz to zrobić w domu lub firmie w przeciągu tygodnia używając facedeals i innych dostępnych aplikacji to masz ten przypadek. Mając imię i nazwisko lub zdjęcie czy PESEL pójdzie Ci zdecydowanie krócej.

      Metoda rozpytywania na fb też działa, a jak ktoś jest na fb czy g+ to sprawa jest już bezdyskusyjna.

  6. 1/2 [ jak nie wiecej ] spamu na swiecie jest spowodowane wyciekiem danych wlasnie z MSP, wiekszego kretynizmu ostatnio nie slyszalem jak to co proponuja wlasnie

    • ta?
      SONY (100mln), Republikanie w USA (200mln), rząd Turcji (50mln), z Chin (20mln), T-Mobile .de (17mln), Facebook (171mln), Epsilon (“kilkaset” mln) itd.

      Weź mi proszę wskaż palcem który z tych największych wycieków to MŚP bo nie wierzę…

    • Polskie MŚP łącznie wzięte: 40 mld.

  7. W demokracji, takiej jaką mamy, wyborcy wcale nie są równi. Najwyraźniej ci powiązani z MSP są ważniejsi od ciemnego ludu. To sól ziemi, sponsorzy partii, aktywni jej członkowie, myśliwii! A nie ci kretyni, którzy i tak zagłosują na ładniejszy krawat kandydata i spot w TV.

    • A co powiesz o urzędach państwowych? Ci są jeszcze ważniejsi niż MŚP bo ich RODO w ogóle nie dotyczy! Właśnie był tutaj niedawno wpis o MF a wcześniej ZUS, którzy ochronę danych osobowych i tajemnicę skarbową mają w głębokim poważaniu!

  8. Obowiązek poinformowania o wycieku powinien dotyczyć wszystkich firm. Jak firma ma mało użytkowników to i koszt poinformowania będzie mały. A jak ma dużo to jest dużą firmą choćby zatrudniała jedną osobę.
    Niestety inne nowości RODO to niestety tylko dodawanie kolejnych obowiązków biurokratycznych dla firm bez większego wpływu na dobro klientów.
    A co z osobami fizycznymi, które instalują aplikacje zasysające całą książkę telefoniczną?

    • “A co z osobami fizycznymi, które instalują aplikacje zasysające całą książkę telefoniczną?”

      Może trzeba mieć więcej niż 250 kontaktów ;-P

    • Co ty za brednie opowiadasz? RODO właśnie zabrało wszystkie istniejące obowiązki formalne. Obecny jeszcze system wymaga zgłaszań, rejestracji itd.
      Ten nowy system nie wymaga zgłaszania ani jednego dokumentu do urzędów w normalnej eksploatacji systemu. Nie zawiera również żadnych konkretnych nakazów.
      Jedynie zawiera potrzebne cechy systemu i podejście.

  9. E-mail nie jest daną osobową? Od kiedy?
    Dla adresu e-mail, tak jak dla IP, są wyroki stwierdzające, że są to dane osobowe.
    Cytat dot. adresu IT z wyroku sygn. C-582/14 z dnia 19.10.2016 w spr. Patrick Breyer vs BRD:
    “Jeśli istnieją środki, których zastosowanie przez administratora w celu identyfikacji osoby kryjącej się za danym adresem IP jest racjonalnie prawdopodobne, adresy IP należy – zdaniem Trybunału – uznać za dane osobowe.”

    • dupadupa@gmail.com nie będzie daną osobową, ale jan.kowalski@firma.pl już może być.

    • Bzdura.
      Adres IP nie jest daną osobową, nie jest przypisany do osoby tylko do urządzenia (a i to za dużo powiedziane). Bzdura. Bzdura. Bzdura.

    • @Monter – ale jako administrator zbierający (np od klientów) adresy email musisz je traktować jako dane osobowe.

  10. RODO jasno mówi, że Imię i Nazwisko to dane osobowe jeśli w przetwarzanym zbiorze danych jesteśmy w stanie określić konkretnie tą osobę.

  11. w tytule chyba jest błąd. Chodzi o małe firmy.

    • Duża firma po podziale = 10x mała firma córka. Poza tym jak zatrudnia nawet 50 osób to nie jest to taka mała firma, a może być nawet firmą zbierającą dane z całego kraju.

  12. “Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ”

    Tylko ze ryzyko jest niskie, jezeli wplyw jest niski, wiec jesli administrator zdecyduje, ze co prawda wyciekna Twoje dane, ale nie zaszkodzi Ci to, to ryzyko wynikajace z tego nie jest wysokie i to jest wlasciwy klopot. Jakis nieogar to pisal.

  13. @mariusz_stronikeiwicz “Moim zdaniem należałoby by się poważnie zastanowić nad stanem psychicznym urzędników UE ” – moim zdaniem nad pańskim stanem psychicznym nie ma co się zastanawiać. Napisałeś pan kolejny komentarz pokazujący, że takim pacjentom nie wolno dawać dostępu do internetu.

    • Dlaczego moderator puścił komentarz “ad personam” i to chamski?

      A tak bardziej w temacie: biurokratyczna ochrona danych osobowych to czystej wody głupota. Nie da się tego załatwić ustawowo. Można spróbować wspomóc, ale ten projekt to raczej tylko obciążenie firm, praktycznie bez realnych zysków dla klientów (w rodzaju zwiększonej ochrony). Ot kolejny mechanizm eliminowania konkurencji z rynku przez duże korporacje (jak ktoś będzie miał motywację, to “zrobienie” wycieku danych osobowych jest banalne, zwłaszcza w małych firmach).

    • stanpsychiczny 2018.02.22 15:05
      Czyli według ciebie to normalne jak UE narzuca takie przepisy jak tu wyżej opisane w artykule ? albo uznaje marchewkę za owoc ?
      No sorry albo jesteś z tych “kodowanych” albo z nieformowanych .
      Na przyszłość jednak proszę o argumenty ,a jeżeli pojawi się kolejny komentarz obrażający mnie ( bo jak widzisz podpisuję się z imienia i nazwiska ) to zgłoszę sprawę na policję za publiczne obrażanie mojej osoby .

    • Chyba właśnie chodzi o to, żeby takiego wycieku nie dało się łatwo zrobić i dobre prawo na pewno pomoże w poważniejszym traktowaniu przez przedsiębiorstwa tej kwestii, chociaż kwestia np. for internetowych jest ciekawa.

      Niestety wariacje naszego rządu na temat GDPR są śmieszno-straszne.

      @mariusz_stronikeiwicz – Ciebie nikt nie obraził, natomiast Ty razisz trollingiem. Przecież jasno jest w artykule napisane, że UE daje możliwość “lokalnej modyfikacji” GDPR i nasz rząd wykorzystuje tę możliwość w dość nieprzemyślany (albo o zgrozo przemyślany i celowy) sposób, robiąc z niego bubel prawny. Nie feeduj nieprawdy :)

    • Micihol 2018.02.23 09:21 | # |
      Jak ty sobie wyobrażasz wprowadzenie wytycznych UE nie uwzględniając przy tym obecnie obowiązujących przepisów prawa, czy polskiej konstytucji ?
      To chyba logiczne ,że muszą wprowadzić delikatne modyfikacje by to było zgodne z prawem Polskim niemniej to UE narzuciła odgórnie prawo , określone instrukcje , wytyczne .

      GDYBY UE nie narzucała ustawy to by nie było potrzeby jej opracowywania , wdrażania.
      Nie siej więc propagandy i ustal sobie jeden nick dobra ?

    • @mariusz_stronikeiwicz, czytałeś GDPR? Znalazłeś tam zapis o tym, że powinno się z niej wyłączyć małych i średnich przedsiębiorców, tudzież za kryterium wyłączenia przyjąć ilość zatrudnianych osób? I gdzie tu konstytucja (którą swoją drogą rząd się zbytnio nie przejmuje), która gwarantuje równość wobec prawa? Dajże już spokój z tym ślepym hejtem.

      Zastanawiam się, czy nie jesteś botem albo jakimś Niebezpiecznikowym proof of concept maszynki trollującej. ;-) Występuje tu pod jednym nickiem i kończę Cię karmić.

    • Micihol 2018.02.23 21:00 | #
      Oczywiście ,że tak i jak byk masz napisane
      “Przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości” . Pod pojęciem ludzkości może kryć się wszystko w tym ochrona interesu firmy . Coś jeszcze mam wyjaśnić czy dalej będziesz trollował , ośmieszają się w ten sposób ?

      Jak masz dowody ,że rząd łamie konstytucje to masz obowiązek donieść do prokuratury ,a ta oceni czy masz racje czy też nie . W tej chwili nie ma żadnego wyroku sądu , który stwierdziłby łamanie konstytucji – czyli dopuszczasz się pomówienia, oszczerstwa ,a to już jest karalne.

      Mówisz ,że konstytucja zapewnia równość , wolność ? Skoro tak to dlaczego zagraniczne korporacje nie płacą w Polsce podatków,a Polski rolnik otrzymuje niższe dotacje ?

    • @up – skoro już zboczyłeś z tematu, to przynajmniej nie bredź. Łamania konstytucji nie zgłasza się do żadnej prokuratury xD
      Zgłasza się do TK (który jest w rękach ludzi z nadania PiS) i jeszcze trzeba wykazać, że aktualnie przez to prawo powstał wyrok sądowy, który jest zgodny z tym niekonstytucyjnym prawem i cię krzywdzi. Bez tego interesu mogą zgłaszać jedynie posłowie i senatorowie, ale też tylko do TK.

    • Aha 2018.03.06 18:46 | # |
      Było by ścigane z artykułu 127 kodeksu karnego jako podejmowanie próby zmiany przemocą konstytucyj ustroju Rzeczypospolitej Polskiej, w porozumieniu z innymi osobami.

      TK nie jest z nadania PIS bo ci ludzie zostali wybrani zgodnie z prawem , które to prawo umożliwiało wstawianie swoich ludzi :)

  14. Przypomina mi się “wzór lisaka” – gdzie cinquecento jest samochodem ciężarowym.

  15. Właśnie dlatego nie chcę brać udział w żadnych szkoleniach z “wdrażania RODO”. Czy ktoś jest mi w stanie odpowiedzieć czy lekarz specjalista prowadzący prywatną praktykę lekarską powinien posiadać IOD? Jak ta kwestia wygląda w przypadku praktyki lekarza rodzinnego? a jak w przypadku przychodni rodzinnych (2-3 lekarzy + pielęgniarki i położne)?

    Poniżej fragment opracowania z Ministerstwa Przedsiębiorczości i Technologii

    “Nie jest możliwe wskazanie konkretnej wartości, czy to rozmiaru zbioru danych, czy liczby osób, których dane dotyczą,
    która determinowałaby dużą skalę. Zaleca się jednak, aby za przetwarzanie na dużą skalę uznawać np.:
    • przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności,
    • przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności,
    • przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki.
    Przewodnik po RODO

    Jednocześnie przywołuje się następujące przykłady przetwarzania danych niemieszczącego się w zakresie dużej skali:
    • przetwarzanie danych pacjentów, dokonywane przez pojedynczego lekarza,
    • przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokata lub radcę
    prawnego.
    Podstawa prawna – art. 37 RODO.”

    Wszystko co widziałem to są opracowania, zalecenia i przykłady, w których notabene nie ma uwzględnionych tych konkretnych sytuacji.
    Skoro nie ma nigdzie podanych konkretnych wartości, które determinowałyby konieczność posiadania IOD to co, kto i na podstawie jakiego konkretnie przepisu może zrobić niedużej przychodni jeżeli takiego IOD posiadać nie będzie?

  16. Pozostaje zadac pytanie – jak rzyc… O stan glowy popierajacych RODO nie pytam.

    Zalozmy ze mam konto na jakims Goldenlinie albo innym LinkedInie. Tam z czasem sie porobilo z 1000 ‘znajomych’. I w zwiazku z tymi osobami przysyla mi maile. A w mailach sa ich dane osobowe. Maile sie skladuja na dysku (zalozmy ze nie uzywam webmaila tylko po staremu – klient poczty itd).
    Zalozmy tez ze mam ‘jednoosobowa dzialalnosc gospodarcza’.
    Rozumiem iz wedle wielce szanownej redakcji jesli jakis pacjent wlamie sie do domu i zwinie mi kompa to ja pojde siedziec bo:
    – wczesniej nie zatrudnilem zadnego post-UBeka ani WSIoka jako ABI
    – nie poinformowalem w ciagu 72h wszystkich na calu swiecie ze mi kompa zwineli
    – nie zlozylem stosownych informacji do ABWery czy innych stosownych urzedow?

    Teraz drugi latwiejszy przyklad:
    – Jest firma i robi mail harwesting i pozniej targetowany spaMing. Sprzedaje tez jakze popularne ‘bazy firm’ z milionami dziadkow i babc ktorzy maja maila do kontaktu z wnukami.
    Firma jest zarejestrowana na ‘przykladowych’ wyspach HulaGula ale serwer ma w Warszawie (bo kto jej zabroni go tam wynajac), do tego ma mala firme ktora ma wszytskich na smieciowkach i ktora to firma trzyma to wszystko w ruchu.
    Kto zmusi ta firme do czegokolwiek (oprocz placenia VAT jesli nie maja ‘optymalizujacego’ ksiegowego)? Jakie RODO ja scignie?

    To RODO ma usunac z rynku co najmniej na jedno pokolenie male firmy lokalne aby spowodowac zinstytucjonalizowana ‘luke technologiczna’ – ta sama z ktora np. teraz boryka sie wiele krajow ktore uwazaly ze wyrzucenie produkcji i kupowanie polproduktow to doskonaly pomysl…

    • Czy ktos sie zastanowil co z bazami danych adresowych (w postaci list dyskusyjnych) – np. malych grup zainteresowan (np. tysiac osob – milosnikow znaczkow z urwanymi rogami). Oni maja tez zrobic sobie te same warunki co spamlisty (wiekszosc i tak jadace z ‘dziwnych krajow’)? No i ich dotyczyly by obostrzenia ktore nie obowiazuja np. duzych firm ktore trzymaja dane fakturowe swoich klientow (przykladowo – Makro – teoretycznie same firmy – praktycznie 90% to osoby)

  17. Myślę, że Państwo z Cyfryzacji mogliby się jeszcze wiele nauczyć w kwestii bezpieczeństwa informacji. Może na którymś z Waszych szkoleń!

  18. Informowałam już o tym w komentarzach Panoptykonu. Też przewidziałam podział firm i fakt, że ilość pracowników nie oznacza ogromu przetwarzanych danych (przedsiębiorstwo reklamowe) – oni te dane żarli by całymi garami. To wylewanie PUODO i RODO razem z kąpielą.

    **PS. dlaczego nie piszecie o art. 2 – literatach, dziennikarzach i artystach, którzy w ramach swoich wypowiedzi WYJĘCI SA W CAŁOŚCI Z TEJ USTAWY, bo danych zgodnie z art. 5 (z którego są zwolnieni) nie muszą przetwarzać zgodnie z prawem, oraz art. 7 – nie muszą nawet o tym informować? Skoro są zwolnieni z art. 5, oznacza to automatyczne zwolnienie też z art. 34.**

    PS. Dlaczego art tak późno?

  19. @BloodMan
    zażalenia do Trybunału Sprawiedliwości…

    @Monter
    No tak, oczywiście. Nie zmienia to faktu, ze nie można powiedzieć, że adres e-mail nie jest daną osobową, bo może nią być. Jak prawie wszystko – może być daną osobową w odpowiednich okolicznościach.

  20. A który art. rodo pozwala na wyłączenie art. 34 w prawie krajowym? Bo mówi o tym motyw 73, ale odpowiedniego artykułu nie znalazłem…

    • Ok. znalazłem – art. 23. Ale nawet jeżeli uznamy, że ograniczenie to odpowiada „ważnemu interesowi gospodarczemu”, o którym mowa w lit. f), to jednak jakoś nie widzę przepisów o których mowa w ust. 2. Np. w jaki sposób osoby dowiedzą się o zastosowanym ograniczeniu.

  21. większość komentując dostrzega problem tylko z jednej strony. oczywiście tylko z tej strony, która “boli”. prawda jednak jak to zwykle bywa znajduje się gdzieś pomiędzy. Jako obywatel, muszę się ciągle gdzieś rejestrować i zostawiać swoje dane. w zasadzie anonimizacja możliwa jest tylko do pewnego stopnia. chcę więc aby moje dane były traktowane z szacunkiem i w d..e mam ile to będzie kosztowało instytucję X. skoro instytucja X przetwarza moje dane, jestem w jakimś stopniu jej klientem to oczekuję poważnego traktowania moich danych, czyli ostatecznie mnie samego. bardzo dobrze, że temat jest drążony bo do tej pory sporo instytucji te kwestie miała głęboko w poważaniu. tak samo jak oni mieli to w poważaniu tak samo ja mam w poważaniu ile teraz muszą zainwestować, żeby chronić moje dane. Jednak dostrzegam, że “oni” maja nowy problem. rozumiem skąd płacz. Gdybym był przedsiębiorcą, być może też byłbym przerażony. Zwłaszcza gdybym był małym przedsiębiorcą, dopiero rozkręcającym interes. Natomiast wszyscy muszą zrozumieć, że rozwiązaniem nie jest zrezygnowanie z RODO tylko określenie właściwej odpowiedzialności / kary za niedostosowanie się do słusznej idei ochrony danych (osobowych/wrażliwych/etc..). Kara ma spełniać pewne cechy. Jej dotkliwość ma pełnić funkcję naprawczą pro publico bono a nie demoralizującą. Oczywiście zniszczenie młodej czy starej firmy za pomocą rodo nie powinno mieć miejsca. Z drugiej strony wysokość kar może uwrażliwi wszystkich na te kwestie i pomoże zrozumieć paniom zosiom i dżesikom, że kurna tutaj nie ma żartów.
    Prawdopodobnie RODO nie uwzględni wielu poruszanych przez Was problemów, prawdopodobnie wiele przepisów jest napisanych źle, “na kolanie” lub przez laików. Z tym należy walczyć a nie z ochroną danych. Moim zdaniem problem leży w tym, że wielu mających wpływ na przepisy nie szuka dobrych rozwiązań dla dobra ogółu, tylko dobrych rozwiązań dla reprezentowanych przez siebie środowisk. I tak, jedni z drugimi przerzucają się szambem i rezultatem będzie ogólnie panujący smród.
    Lobbystów w stosunku do tych szukających prawdziwego dobra jest zbyt wielu.

  22. Już widzę jak to przejdzie w Strasburgu ;) powodzenia

    • A w jakim polskim (!) województwie leży Strasburg?

  23. Nie da się podzielić firmy, z punktu widzenia RODO to nadal jeden kołchoz:

    “(37) Grupa przedsiębiorstw powinna obejmować przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa kontrolowane, przy czym przedsiębiorstwo sprawujące kontrolę powinno być przedsiębiorstwem, które może wywierać dominujący wpływ na pozostałe przedsiębiorstwa ze względu na przykład na strukturę właścicielską, udział finansowy lub przepisy regulujące jego działalność, lub też uprawnienia do nakazywania wdrożenia przepisów o ochronie danych osobowych. Za grupę przedsiębiorstw należy uznać przedsiębiorstwo kontrolujące przetwarzanie danych osobowych w przedsiębiorstwach powiązanych z nim, wraz z tymi przedsiębiorstwami.”

  24. Tyle czytam o danych wrażliwych i w ogóle o danych, ich wyciekach, kradzieżach i co tam jeszcze sobie wymyślicie. Tylko pytanie jedno się nasuwa: czemu te dane są wrażliwe? Ok adres zamieszkania, może numer telefonu też,, ale PESEL? Numer dowodu? Żyjemy w XXI wieku i posiadanie czegoś na kształt “konta obywatela” (czy “profilu zaufanego” ;) ) gdzie wszystkie takie rzeczy jak wzięcie kredytu, podpisanie umowy czy cokolwiek innego gdzie trzeba się wylegitymować, można by było uwierzytelnić przez proste zalogowanie się i kliknięcie “Tak chcę to zrobić!” rozwiązałoby większość powyższych problemów.

    Pytam się czemu nikt nie wpadł na podobny pomysł? Gdzie tu jest błąd logiczny?

  25. “Duży może więcej”, “kto bogatemu zabroni”, “co wolno wojewodzie”, itp. itd. …?

  26. Jasne, teraz już wszystkie korpo będą się dzieliły na mikrofirmy, najlepiej na jednoosobowe działalności gospodarcze albo spółki cywilne z 2 tysiącami wspólników, żeby nie musieć wypełniać obowiązków RODO! Co więcej – nie będą musiały prowadzić pełnej księgowości, rejestrować się w KRS, sporządzać sprawozdań finansowych! Odpadną obowiązki związane z zatrudnianiem osób niepełnosprawnych, utrzymywaniem związków zawodowych (kopalnie już się dzielą!) – to wszystko dzięki RODO, które przelało czarę goryczy!

    Serio – takie brednie może pisać tylko ktoś, kto nigdy nie widział przedsiębiorstwa większego jak osiedlowy sklep… Z punktu widzenia korpo takie dodatkowe obowiązki oznaczają koszt dodatkowego etatu – podział spółki na mniejsze to koszt dodatkowej księgowości, biegłego rewidenta, kadr, licencji na oprogramowanie i setek innych drobnych spraw. Nikt rozsądny nie podzieli firmy tylko dlatego, żeby nie musieć informować klientów o wycieku danych. Autor artykułu cierpi na “syndrom uczelnianego profesora” – ale wbrew jego urojeniom, nie każdy budzi się z wypiekami na twarzy, gdy pojawia się coś nowego w temacie tej dziedziny.

    • Kolejny, który wali grzywą o beton – aż dudni. Przedsiębiorstwo 2000 osobowe (licząc zatrudnionych) wystarczy podzielić na 9 MŚP. Nie ryzykują przynajmniej pozornie wielkich kar, a licencje to nie problem – kupuje się licencje zbiorowe na przedsiębiorstwo – kadry? Może nimi być jedna z tych spółek córek.

      Jednak tu wskażę na pewien drobny szczegół, o którym jest pisane na panoptykonie i lepiej aby nasz (nie)rząd tego nie zaważył. KAŻDY KTO ZATRUDNIA OSOBĘ na UoP – musi przeprowadzić badania okresowe pracowników – UDOSTĘPNIA WIĘC DANE – jeżeli będzie mieć wewnętrznego lekarza – przetwarza dane szczególnie chronione, a więc też nie będzie zwolniony. Tak samo będzie w przypadku kadr zewnętrznych – przekazuje dane trzeciej osobie/firmie. Tak na prawdę poza działalnościami nie zatrudniającymi pracowników (śmieciówki mają wylecieć), a B2B to udostępnienie danych na zewnątrz) nikt zwolniony nie będzie.

      Oczywiście zaraz się pojawi w sądach, że “ustawodawca miał na myśli” i będziemy się sądzić przez sąd najwyższy włącznie, aż do trybunału sprawiedliwości Unii Europejskiej.

      Tam nie przewidywano (w oryginale: GDPR, a nie jakimś świeżo urodzonym i poronionym RODO), że wyłączeń, dla art. 15 i 34 nie będzie – będzie więc więcej pieniędzy szło do unii i pogłębi się tylko dziura (nie otwór) budżetowa.

    • @Maciej Maj: Czy “kolega” gotar przypadkiem nie popełnił przestępstwa sugerowania publicznie choroby psychicznej (określenia: “urojenia”, syndrom jakiś tam) i nie doszło do publicznego poniżenia?

      Czy nie powinien teraz wyświetlić publicznie znanego z Firefoxa ekranu?

    • @Kraina Grzybów TV – “wystarczy podzielić na 9 MŚP”?! Szkoda tego komentować – widać, że nie znasz realiów prowadzenia biznesu. Już do otwarcia DRUGIEJ spółki trzeba mieć sporo poważniejsze powody, już jakieś durne RODO (czytaj: powody finansowe – typu niższa stawka VAT dla firmy zarejestrowanej za granicą przy sprzedaży konsumenckiej, kwestie podwójnego opodatkowania CIT/PIT, występowanie osoby w funkcji komendytariusza itp.), bo każda spółka to odrębne koszty jej prowadzenia. Nie, nie 50 zł za prowadzenie rachunku firmowego (bo gdzieś tyle trzeba zwykle za funkcje korpo, czasem nawet do samego MT-940 się tyle dopłaca), ale koszty pracy związane z biurokracją i koszty organizacyjne. Kiedyś dorośniesz, może założysz firmę to zrozumiesz, teraz po prostu uwierz na słowo.

  27. Pomysł zmniejszenia obciążeń dla MŚP jest chwalebny, bo takie firmy nie dysponują tak dużym budżetem, jak międzynarodowe korporacje. Kto jak kto, ale czytelnicy niebezpiecznika najlepiej wiedzą, jak wysokie należy ponieść koszty, żeby ograniczyć ryzyko wycieku danych (zatrudnienie osób o odpowiednich kwalifikacjach, zakup sprzętu i oprogramowania, szkolenia, stałe wsparcie, itp.). W GDPR powinno być rozgraniczenie nie ze względu na ilość zatrudnionych osób, ale ze względu na wypracowany roczny zysk firmy. Oczywiście zawsze znajdą się cwaniacy, którzy będą chcieli ominąć przepisy i kilku “upadłych prawników” oraz doradców podatkowych w tym pomoże ale tak było, jest i będzie.

    • To nie jest żadne uzasadnienie. Nie maja pieniędzy na zabezpieczenie komputerów w sposób skuteczny – niech dane przetwarzają papierowo, a w systemach tylko nic nie mówiące pseudonimy i identyfikatory. Przez lata papier nie wyciekał. Nie ma podstaw do zwalniania ich z podania w formularzach przyczyn, czy informowaniu np. o nagrywaniu rozmów. To się robi RAZ. Skoro mnie jako osobę prywatna na to stać, to tym bardziej MŚP (a dodam – osoby prywatne nie będą zwolnione hi hi). Miło Ci będzie jak skserują (wiem że to nielegalne) Ci dowód, ten zostanie wykradnięty przez hakera a ktoś wyrobi sobie “dowód kolekcjonerski” i weźmie pożyczkę? Też będziesz bronić tego MŚP które wie o włamie a nawet cię nie poinformowało i kredyt rośnie?

      A szkolenia z bezpieczeństwa powinny być OBOWIĄZKOWE w każdej firmie.

      Jeżeli ktoś z tak prostym problemem nie może sobie poradzić, to sorry, ale powinien zamknąć swoje przedsiębiorstwo.

    • Widzę, że “ekspertów”, miłośników papieru i malkontentów przybywa jak Grzybów po deszczu :-)

    • @Kraina Grzybów TV – “Przez lata papier nie wyciekał” – poważnie? Hahah, przez lata po prostu o tym nikt nie mówił, bo znajdowanie na wysypisku całych szaf wypełnionych dokumentami było NORMĄ. Widocznie jesteś bardzo młody, choć ja jeszcze rok temu brodziłem wśród segregatorów jakiejś firmy.

    • Ale masz świadomość, że wyłączenia o których mowa dotyczą tylko obowiązku informacyjnego przy zbieraniu danych i później w przypadku ich wycieku? Bo ochronę danych muszą zapewnić tak czy siak na tym samym poziomie. Więc Twój komentarz wydaje się lekko nie w temacie.

    • Zwolnienie kogokolwiek z obowiązku informowania o wycieku to najgorsze rozwiązanie z możliwych. Tylko taki obowiązek spowoduje, że firmy małe i duże będą traktować dane osobowe poważnie.

    • Do wszystkich powyżej. 1) KE stwierdziła, że nie będzie wyłączenia dla MŚP – wykreślili to komisyjnie. Będą jeszcze nad tym głosowania i całość przepełniła szalę goryczy i mamy tzw. Artykuł 7.

      Co do wyłączeń – wyłączenie kogokolwiek będzie powodowało – to nie od nas wyciekło i zamiatanie wszystkiego pod dywan, nieinformowania o szpiegowaniu i innych formach zbierania danych. Oni też mieli być wyłączeni z dawania odpisw danych, więc twoja kontrola nad tym byłaby żadna.

      Co do papieru – teraz wiadomo jak z nim postępować – świadomie papier nie wycieknie, a dane elektroniczne owszem. Na działania celowe lub brak procedur ochrony danych już nie poradzisz. A co do malkontentów to myślę, że autor komentarza może poszukać go przed lustrem.

    • KE sobie może. Jak na razie to w Warszawie obradują, bardzo chętnie zobaczę, jak się ponadnarodowym führerom stawiają. Pragnę, by prawo obowiązujące w PL było ustalane w PL, a nie gdzieś na świecie.

  28. @AlAraf: “Pomysł zmniejszenia obciążeń dla MŚP jest chwalebny, bo takie firmy nie dysponują tak dużym budżetem, jak międzynarodowe korporacje.”

    Na prawde ???? Ty chyba masz lekko blade pojecie o rynku firm. Niektore startupy majace do 50 ludzi maja taki budzet ze niejedna wieksza firma produkcyjna taki chciala by miec. Male firmy przetwarzaja duzo danych osobowych (np. Whatapp mial 50 osob jak zastal kupiony).

    Po drugie tu nie trzeba duzego budzetu tylko inteligetnych ludzi.

    • Gerwazy, właśnie potwierdziłeś słuszność mojej propozycji, że decydujący powinien być aspekt finansowy, a nie ilość zatrudnionych osób :-)

      Inteligentni ludzie nie pracują za darmo.

Odpowiadasz na komentarz Marcin Maziarz

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: