RODO: Obowiązek informacyjny a MŚP

  • Wysłane przez Patrycja Szewczyk
  • Data 8 marzec 2018
RODO: Obowiązek informacyjny a MŚP
Ministerstwo Przedsiębiorczości i Technologii oraz Ministerstwo Cyfryzacji opublikowały wspólne oświadczenie, zgodnie z którym mali i średni przedsiębiorcy będą wyłączeni z części obowiązków wymaganych przez Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku o ochronie danych osobowych (dalej jako: „RODO” lub „Rozporządzenie”). Najważniejsze imperatywy będą jednak obowiązywać każdego, kto przetwarza dane osobowe.  

Obowiązek informacyjny

Norma art. 13 ust. 1 RODO zobowiązuje administratora do wypełniania obowiązku informacyjnego wobec osób, których dane dotyczą. Oznacza to, że podmiot pozyskujący dane osobowe musi poinformować powyższe osoby o swojej tożsamości oraz danych kontaktowych. Dodatkowo, zobowiązany jest do wskazania podstawy prawnej przetwarzania danych osobowych, jego celach, potencjalnych odbiorcach oraz innych informacji, jeżeli ma to zastosowanie w konkretnej sytuacji. Ponadto zgodnie z art. 13 ust. 2 RODO, administrator danych powinien informować osoby, których tożsamość jest przetwarzana o przysługujących im uprawnieniach. Należą do nich informacje o okresie, w jakim przetwarzanie będzie miało miejsce, informacje o prawie do żądania usunięcia lub sprostowania danych, wniesienia skargi do odpowiedniego urzędu, o prawie do cofnięcia zgody na przetwarzania danych w dowolnym momencie, a także innych kwestiach, jeśli znajdą one swoje uzasadnienie w danej okoliczności.  

Ograniczenie stosowania art. 13 ust. 2 RODO

Zgodnie z definicją zawartą w art. 106 pkt 1) ustawy z dnia 2 lipca 2004 roku o swobodzie działalności gospodarczej (Dz.U. z 2017 r. poz. 2168), za średnich przedsiębiorców uważa się podmioty zatrudniające mniej niż 250 pracowników. To właśnie tacy administratorzy będą zwolnieni z obowiązku stosowania części wymogów, jakie stawia art. 13 RODO. Jak wynika z oświadczenia wskazanych uprzednio resortów, mali i średni przedsiębiorcy wyłączeni będą z obowiązku stosowania art. 13 ust. 2 RODO. Tym samym administratorzy, odpowiadający powyższej definicji, nie muszą informować każdego potencjalnego klienta o przysługujących mu z tytułu Rozporządzenia prawach. Podkreślenia wymaga jednak, że powyższe wyłączenie uchyla jedynie obowiązek informacyjny, a nie uprawnienia osób, których dane dotyczą. Oznacza to, że takim osobom nadal przysługiwać będzie prawo do m.in. ograniczenia przetwarzania danych, cofnięcia zgody czy złożenia skargi do odpowiedniego organu.  
 

WARTO WIEDZIEĆ

Osobom, których dane dotyczą nadal przysługiwać będą wszelkie prawa, jakie przewiduje dla nich RODO.  
 

Porada praktyczna

Przedsiębiorcy zaczynający interesować się zmianami w prawie ochrony danych osobowych nie powinni kierować się plotkami o zwolnieniu małych i średnich przedsiębiorców ze stosowania RODO. Polski ustawodawca zapowiada ograniczenie tylko i wyłącznie art. 13 ust. 2 RODO. Co więcej, Rozporządzenie nie przewiduje możliwości stosowania szerszych wyłączeń niż powyższe. Obowiązki dotyczące m.in. profilowania danych osobowych, ich anonimizacji czy zgłaszania naruszeń do odpowiedniego organu administracji publicznej będą nadal obowiązywać. W przypadku zaistnienia jakichkolwiek wątpliwości w zakresie stosowania RODO zachęcam do skorzystania z usług eksperckich Kancelarii LTCA.  

Podsumowanie

Przedsiębiorcy zatrudniający mniej niż 250 pracowników będą wyłączeni z obowiązku informowania potencjalnych klientów o przysługujących im prawach. Osobom, których dane dotyczą, będą jednak one przysługiwać, gdyż ustawodawca nie ma możliwości ograniczenia praw tychże osób w świetle norm Rozporządzenia. Podkreślić należy jednak, że wyłączenie dotyczy tylko art. 13 ust. 2, tym samym pierwszy ustęp powyższej normy będzie obowiązywał wszystkich administratorów. Oznacza to, że przedsiębiorca nadal będzie zobowiązany do wskazania swoich danych kontaktowych i umożliwiających jego identyfikację oraz podstawy prawnej przetwarzania, jego celu, a także innych informacji, które wyszczególnia Rozporządzenie.  

Podstawa:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
  • Stosowanie przepisów RODO do MŚP – oświadczenie wspólne MC i MPiT http://www.gov.pl/cyfryzacja/stosowanie-przepisow-rodo-do-mp-oswiadczenie-wspolne-mc-i-mpit

Może Ci się spodobać

Zakup pakietów wierzytelności w kosztach podatkowych
28 styczeń 2019
Firmy dzielą się, by ich pracownicy mogli zaoszczędzić na podatkach
18 luty 2022
#KSEF budził i wciąż budzi wiele wątpliwości część z nich może być rozwiana dzięki pytaniom i odpowiedziom jakie pojawiły się na stronie MF
25 styczeń 2022
Call Now Button

Kalkulator Polski Ład

2.0

Zapisz się do newslettera