Zamieszanie wokół RODO na ostatniej prostej, czyli o tym jak ostatecznie nowe przepisy wpłyną na małe i średnie przedsiębiorstwa.

Po ostatniej konferencji prasowej organizowanej przez zespół działający w Ministerstwie Cyfryzacji, a odpowiedzialny za wdrożenie nowych przepisów o ochronie danych osobowych do polskiego porządku prawnego, zawrzało. W mediach pojawiły się głosy jakoby Ogólne rozporządzenie o ochronie danych osobowych (RODO) miało nie dotyczyć małych i średnich przedsiębiorstw (MŚP). Powyższe spowodowane było dość rewolucyjną zapowiedzią, o ograniczeniu części obowiązków nakładanych na przedsiębiorców przez nowe przepisy o ochronie danych osobowych. O ile głosy o wyłączeniu stosowania RODO wobec małych i średnich przedsiębiorstw były mocno przesadzone, o tyle zaproponowane zmiany były na tyle kontrowersyjne, że wbrew pozorom mogłyby narazić przedsiębiorców na więcej strat niż korzyści.

Przede wszystkim trzeba jasno podkreślić, RODO będzie dotyczyło małych i średnich przedsiębiorstw i żaden polski urząd nie ma mocy prawnej do wyłączenia jego obowiązywania w tak szerokim zakresie. RODO jest rozporządzeniem i w przeciwieństwie do dyrektywy, nie wymaga dodatkowej implementacji do polskich przepisów, aby mieć charakter wiążący. W praktyce oznacza to, że niezależnie od tego czy polskie przepisy powstaną czy nie, nowe zasady wynikające z rozporządzenia zaczną obowiązywać w Polsce od 25 maja 2018 r.

Jednocześnie RODO jest na tyle ogólne, że pozostawia w wielu kwestiach możliwość doprecyzowania przepisów o ochronie danych osobowych przez poszczególne państwa członkowskie. Właśnie w tym celu Ministerstwo Cyfryzacji tworzy ustawę o ochronie danych osobowych. Obecnie (stan na 31 stycznia 2018 r.) projekt dwóch ustaw, dotyczących bezpośrednio RODO jest po konsultacjach społecznych, a Ministerstwo Cyfryzacji ustosunkowało się do tych konsultacji organizując 15 stycznia 2018 r. konferencję. Podczas wspomnianej konferencji padła dość kontrowersyjna deklaracja, że dla przedsiębiorców, którzy zatrudniają do 250 pracowników, nie przetwarzają danych wrażliwych, a jednocześnie nie udostępniają danych osobowych innym podmiotom, zostanie praktycznie całkowicie wyłączony obowiązek informacyjny o którym mowa w art. 13 RODO. Dodatkowo przedsiębiorcy o których mowa powyżej, m.in. nie będą musieli zawiadamiać osób, których dane dotyczą, o naruszeniu ochrony danych osobowych (wyłączenie art. 34 RODO).

W przypadku e-commerce obowiązek informacyjny o którym mowa powyżej sprowadzał się w dużej mierze do stosowania polityki prywatności w której to dotychczas przedsiębiorcy informowali o podmiocie odpowiedzialnym za przetwarzanie danych osobowych, celu w jakim dane są przetwarzane, zakresie tych danych, czy prawach i obowiązkach osób, których dane dotyczą, a które to wynikają z obecnie obowiązującej ustawy o ochronie danych  osobowych. Z początkowej propozycji Ministerstwa Cyfryzacji wynikało, że w przypadku e-commerce, które spełni przesłanki odpowiedniej wielkości, nie będzie przetwarzać danych wrażliwych czy nie będzie udostępniać danych osobowych podmiotom trzecim, nie będzie koniecznym stosowanie polityki prywatności w ogóle. Tłumaczenie się przez przedstawicieli Ministerstwa Cyfryzacji interesem ekonomicznym w tym przypadku było  argumentacją dość dziwną. Skoro dotychczas polityka prywatności była wymagana i powszechna wśród przedsiębiorców związanych z e-commerce, to trudno było znaleźć oszczędność w działaniu związanym chociażby z koniecznością wprowadzenia zmian w sklepach i usuwaniem dotychczasowych polityk. Jednocześnie kontrowersje wzbudził fakt, co zrobić w sytuacji, jeżeli w naszym sklepie będzie kupował klient spoza Polski, wobec którego wspomniany obowiązek informacyjny będzie trzeba spełnić?

Finalnie, w kilka dni po konferencji, Ministerstwo Cyfryzacji wraz z Ministerstwem Przedsiębiorczości i Technologii (dawne Ministerstwo Rozwoju) wydało wspólne oświadczenie w ramach którego poinformowano, że obowiązek informacyjny małe i średnie przedsiębiorstwa będą musiały spełniać ale w niepełnym zakresie opisanym w RODO. Zostanie wyłączony ust. 2 art. 13 RODO. Tak więc MŚP będą musiały informować o swojej tożsamości i danych kontaktowych, osobie Inspektora ochrony danych osobowych (jeżeli takowy będzie w firmie), celach przetwarzania danych osobowych, informacji o kategoriach odbiorców danych osobowych (o ile tacy występują), informacji o zamiarze przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony przez ww.

Realnie wszystko pozostanie bez zmian, a przedsiębiorcy działający w e-commerce będą musieli posługiwać się politykami prywatności o treści bardzo zbliżonej, do tych jakie trzeba posiadać w tym momencie. Co bardzo istotne  wyłączenie to nie będzie obowiązywało, jeżeli zbierane i przetwarzane przez nas dane udostępniamy podmiotom trzecim, chociażby serwisom opiniującym sklepy internetowe, porównywarkom cenowym, czy operatorom płatności, w  takim przypadku będziemy zobowiązani do wypełnienia pełnego obowiązku informacyjnego wynikającego z RODO, a więc poza powyższym, będziemy  musieli poinformować o okresie przez który dane osobowe będą przechowywane, informacji o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych, informacji o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na  podstawie zgody przed jej cofnięciem, informacji o prawie wniesienia skargi do organu nadzorczego, informacji o podstawie prawnej przetwarzania danych osobowych oraz o profilowaniu, jeżeli do takiego dochodzi.

Jak widać obowiązek informacyjny w pełnym zakresie jest dużo szerszy niż wynikało to z dotychczas obowiązujących przepisów. Warto również podkreślić, że obowiązek informacyjny, czy obowiązek zawiadomienia osób których dane dotyczą o naruszeniu ochrony danych osobowych, to zaledwie dwa z wielu jakie RODO nakłada na administratorów danych osobowych i nawet w przypadku ich całkowitego wyłączenia nie można byłoby mówić o tym, że RODO nie będzie dotyczyło firm z sektora MŚP.

Jakub Szajdziński
Partner Zarządzający
ENSIS Kancelaria Prawna
Cioczek & Szajdziński Spółka Jawna

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *