Ogólne rozporządzenie o ochronie danych osobowych (RODO) nakłada na przedsiębiorców liczne obowiązki. W związku z rozpoczęciem obowiązywania RODO zarówno duże podmioty, jak i małe rodzinne przedsiębiorstwa, podjęły aktywność, w celu wdrożenia wymagań określonych w Rozporządzeniu. RODO zasadniczo nie różnicuje obowiązków nakładanych na administratorów, w zależności od zakresu i rozmiaru prowadzonej przez nich działalności.
Od powyższej zasady istnieje jednak kilka wyjątków, zwalniających małe firmy z niektórych obciążeń w zakresie ochrony danych osobowych RODO. Znajomość tych przepisów może pozwolić na uproszczenie organizacji ochrony danych osobowych w małej firmie i obniżenie związanych z tym kosztów.
RODO zostało stworzone, jako instrument mający na celu ujednolicenie poziomu ochrony danych osobowych w całej Unii Europejskiej i wśród wszystkich podmiotów gospodarczych działających na jej obszarze. Rozporządzenie dostrzega jednak potrzebę łagodzenia związanych z tą ochroną obowiązków względem małych firm. W motywie 13 RODO zachęca państwa członkowskie, by stosując przepisy Rozporządzenia uwzględniały szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. RODO zezwala również państwom członkowskim na tworzenie regulacji, które ograniczają wymagania w zakresie ochrony danych osobowych w odniesieniu do wymienionych podmiotów. Polska skorzystała z powyższego uprawnienia jedynie w niewielkim zakresie, mimo, iż prezentowane początkowo projekty przepisów wprowadzających RODO zawierały znaczące uproszczenia dla mikroprzedsiębiorców. Dotychczas zostały uchwalone jedynie przepisy ułatwiające ww. podmiotom wykonywanie obowiązków informacyjnych wynikających z art. 13 Rozporządzenia. Przewidziane przez przepisy prawa krajowego i unijnego uproszczenia dla małych firm nie mają zatem charakteru kompleksowego. Warto jednak je znać, gdyż w wielu przypadkach pozwala to uniknąć wykonywania nieobowiązkowych czynności.
RODO w małej firmie – Złagodzenie obowiązku informacyjnego
Artykuł 13 RODO zawiera katalog informacji, jakie administrator jest zobowiązany podać osobie, której dane dotyczą podczas zbierania od niej danych osobowych. Istotną kwestią w tym zakresie jest nie tylko zakres informacji, ale także moment, kiedy należy je przekazać. Zgodnie z RODO powinno to nastąpić „podczas”, czyli w chwili pozyskiwania danych osobowych. De facto jednak administrator jest zobligowany zrealizować obowiązek informacyjny jeszcze zanim pozyska i utrwali jakiekolwiek dane osobowe. Podając swoje dane, osoby, których te dane dotyczą, powinny mieć bowiem świadomość komu, w jakim celu i na jaki czas przekazują dane osobowe RODO oraz jakie prawa w związku z tym im przysługują.
Realizacja powyższego obowiązku może wiązać się ze znacznymi uciążliwością i praktycznymi problemami. Powstaje bowiem pytanie, w jaki sposób zobowiązanie to mają wykonać np. administratorzy prowadzący małe zakłady świadczące usługi fryzjerskie lub kosmetyczne, którzy umawiają klientów telefonicznie i pozyskują od nich w ten sposób dane osobowe. Jak zostało wskazane wyżej, w świetle RODO stosowna informacja powinna zostać przekazana klientom w trakcie pozyskiwania danych, a choćby ten moment poprzedzać. Zatem, by sprostać powyższym wymogom, treść stosownej klauzuli informacyjnej musiałaby zostać odczytana w trakcie rozmowy. Podmioty bardziej zaawansowane organizacyjne i technicznie mogą ten obowiązek zrealizować np. poprzez utrwalenie treści informacji i jej automatyczne odtwarzanie (z opcją pominięcia informacji poprzez naciśnięcie tonowo określonego znaku na klawiaturze telefonu). Nie każdy administrator może sobie jednak pozwolić na takie rozwiązanie.
Biorąc pod uwagę tego rodzaju praktyczne problemy, polski ustawodawca zdecydował się wprowadzić pewne ułatwienia. Na podstawie art. 4a ustawy o prawach konsumenta mikroprzedsiębiorcy wykonują wynikający z art. 13 RODO obowiązek informacyjny w odniesieniu do umów zawieranych z konsumentami (w tym umów zawieranych poza lokalem przedsiębiorstwa lub na odległość), poprzez wywieszenie stosownej informacji w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie jej na swojej stronie internetowej.
Mikroprzedsiębiorcą, którego dotyczy przywołany wyżej przepis, zgodnie z ustawą Prawo przedsiębiorców, jest podmiot, który w co najmniej jednym roku z dwóch ostatnich lat obrotowych spełniał łącznie następujące warunki:
-
zatrudniał średniorocznie mniej niż 10 pracowników,
-
osiągnął roczny obrót netto ze sprzedaży towarów, wyrobów i usług oraz z operacji finansowych nieprzekraczający równowartości w złotych 2 milionów euro, lub sumy aktywów jego bilansu sporządzonego na koniec jednego z tych lat nie przekroczyły równowartości w złotych 2 milionów euro.
Upraszczając omawiane ułatwienie dotyczy przedsiębiorców zatrudniających średniorocznie nie więcej niż 10 pracowników oraz posiadających roczny obrót nie większy niż 2 mln euro.
-
powołany w powyższym przykładzie administrator, który świadczy usługi fryzjerskie lub kosmetyczne, może na podstawie ustawy o prawach konsumenta wykonywać obowiązek informacyjny poprzez wywieszenie w widocznym miejscu w swoim zakładzie tabliczki z odpowiednią klauzulą.
Znaczące uproszczenie dla mikroprzedsiębiorców stanowi również drugi z przewidzianych w ustawie o prawach konsumenta sposobów realizacji obowiązku informacyjnego, czyli zamieszczenie stosownej informacji na stronie internetowej. Do jego wykonania wystarczy bowiem umieścić na tej stronie politykę prywatności lub inny dokument określający, w jaki sposób będą przetwarzane dane osobowe RODO. Obowiązkiem administratora nie jest natomiast w takiej sytuacji zagwarantowanie, by konsument zapoznał się tą treścią przed podaniem swoich danych osobowych. Wystarczy, iż taka możliwość istnieje za pośrednictwem prowadzonej przez administratora strony internetowej.
Omawiane ułatwienia nie mają charakteru bezwzględnego. Po pierwsze, nie dotyczą ono sytuacji, gdy osoba, której dane dotyczą nie posiada możliwości zapoznania się z informacją administratora. Ma to miejsce przede wszystkim w przypadku, kiedy umowy są zawierane w taki sposób, iż konsument, nie pojawia się w lokalu administratora, w celu zawarcia lub realizacji umowy ani nie wykorzystuje do tego Internetu.
Uproszczenia nie dotyczą także administratorów, którzy przetwarzają dane osobowe wrażliwe lub udostępniają takie dane innym podmiotom, chyba, iż osoba, której dane dotyczą wyraziła zgodę na udostępnienie swoich danych osobowych RODO albo udostępnienie danych jest niezbędne do wypełnienia obowiązku ciążącego na administratorze. Przetwarzanie szczególnych kategorii danych osobowych wiąże się ze znacznym ryzykiem dla praw i wolności osób, których dane dotyczą. Dlatego operacje na tych danych powinny odbywać się z zachowaniem najwyższej ostrożności i przy zapewnieniu osobie, której te dane dotyczą wszelkich przewidzianych w RODO praw.
Na koniec warto zauważyć, iż ustawa o prawach konsumenta nie wprowadza uproszczeń w odniesieniu do obowiązku informacyjnego określonego w art. 14 RODO, tj. w zakresie obowiązku informacyjnego realizowanego względem osób, których dane zostały pozyskane od podmiotów trzecich. Ułatwienie nie znajduje zastosowania również przy pozyskiwaniu danych osób niebędących konsumentami. Zatem gdy administrator będący mikroprzedsiębiorcą kieruje swoją ofertę do innego przedsiębiorcy, jest zobowiązany wykonywać obowiązek informacyjny w sposób określony w art. 13 RODO, bez odwołania do art. 4a ustawy o prawach konsumenta.
Prowadzenie rejestru czynności przetwarzania danych osobowych RODO
Jak zostało wskazane wyżej, ogólne rozporządzenie o ochronie danych osobowych pozostawia państwom członkowskim możliwość łagodzenia wymagań w zakresie ochrony danych osobowych względem mikro, małych i średnich firm. Również samo RODO zawiera w art. 30 tego rodzaju uproszenie. Przepis ten dotyczy prowadzenia rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania dokonywanych w imieniu administratora, do czego zobowiązani są odpowiednio administrator i podmiot przetwarzający. Zgodnie z art. 30 ust. 5 RODO obowiązek powyższy nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób. Obowiązek prowadzenia rejestrów nie dotyczy zatem mikro-, małych i średnich przedsiębiorców. Z uwagi na uciążliwość związaną z prowadzeniem określonych w RODO rejestrów, powyższe wyłączenie należy uznać za korzystne dla małych firm, pozwalające zaoszczędzić czas, a co za tym idzie nierzadko również pieniądze.
Zwolnienie pracodawców zatrudniających mniej niż 250 osób z obowiązków związanych z prowadzeniem rejestru czynności przetwarzania w wielu przypadkach ma jednak charakter iluzoryczny. Zgodnie bowiem z dalszą częścią przepisu art. 30 ust. 5 RODO, wyłączenie nie dotyczy sytuacji, gdy przetwarzanie, którego dokonuje administrator lub podmiot przetwarzający spełnia jedno z poniższych kryteriów:
-
może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
-
nie ma charakteru sporadycznego,
-
obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 (dane wrażliwe) lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.
Wskazane powyżej wyjątki zostały określone na tyle szeroko, iż trudno w praktyce wskazać sytuację, gdy nie będzie zachodził żaden w tych przypadków. Administrator zatrudniający pracowników zawsze będzie bowiem zobowiązany do przetwarzania danych osobowych wrażliwych, chociażby w zakresie objętym przedstawianym przez pracowników zaświadczeniem o braku przeciwwskazań do pracy na danym stanowisku. Realizowane przez taki podmiot przetwarzanie nie będzie również sporadyczne, gdyż przetwarzanie danych pracowników ma charakter stały. Wreszcie, zawsze, gdy dochodzi do przetwarzania danych osobowych RODO (a w przypadku zatrudniania pracowników, czy obsługi klientów jest to nieuniknione) zachodzi pewne ryzyko naruszenia praw lub wolności osób, których dane dotyczą. Tym samym wyłączenie obowiązku prowadzenia określonych w art. 30 RODO rejestrów dotyczy sytuacji absolutnie wyjątkowych i niewielu administratorów może z całą stanowczością stwierdzić, iż przedmiotowy wyjątek ich dotyczy.
Biorąc pod uwagę sankcję przewidzianą za nieprzestrzeganie obowiązku prowadzenia rejestrów, tj. możliwość nałożenia kary w wysokości do 10 mln euro lub 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, należy uznać, iż w większości przypadków rezygnacja z prowadzenia rejestrów czynności przetwarzania danych osobowych może być ryzykowna.
Indywidualizacja stosowanych zabezpieczeń
Na koniec warto wspomnieć o aspekcie często pomijanym przy omawianiu ułatwień w zakresie ochrony danych przewidzianych przez RODO dla małych firm, czyli o zabezpieczeniu danych. Zgodnie z art. 32 ust. 1 Rozporządzenia, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania danych osobowych oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. W świetle RODO dobór adekwatnych środków ochrony danych osobowych powinien zatem opierać się na ocenie ryzyka istniejącego u danego administratora lub podmiotu przetwarzającego. Działalność na niewielką skalę, jak to ma miejsce w odniesieniu do mikroprzedsiębiorców, zwykle nie łączy się z istotnym niebezpieczeństwem dla praw lub wolności osób fizycznych. Zatem w świetle obowiązującej zasady proporcjonalności projektując zabezpieczenia administrator i podmiot przetwarzający powinni uwzględniać stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania. Zasada ta pozwala na indywidualizowanie dobieranych zabezpieczeń do rozmiaru i rodzaju prowadzonej działalności. W przeciwieństwie do dotychczasowych przepisów, RODO nie określa konkretnych obowiązków spoczywających na administratorze i podmiocie przetwarzającym w zakresie zabezpieczenia danych osobowych. Rozporządzenie kładzie natomiast nacisk na szacowanie ryzyka i stosowanie rozwiązań dostosowanych do indywidualnych warunków i potrzeb administratora lub podmiotu przetwarzającego. Jednocześnie RODO nakłada na te podmioty odpowiedzialność za zapewnienie, iż wdrożone środki będą wystarczające. Zatem administratorzy prowadzący działalność na niewielką skalę i przetwarzający dane osobowe sporadycznie lub w niewielkim zakresie, mogą stosowane zabezpieczenia ograniczyć do niezbędnego minimum.
Na marginesie należy wskazać, iż małe firmy nie są automatycznie zwolnione z obowiązku powołania inspektora ochrony danych. RODO określa warunki, których wystąpienie obliguje administratora do powołania IOD. Przesłanki te zasadniczo nie są związane z rozmiarem prowadzonej działalności gospodarczej, ale ze skalą przetwarzania danych osobowych. O tym, które podmioty i w jakich przypadkach są zobowiązane do powołania inspektora ochrony danych pisaliśmy w artykule „Inspektor ochrony danych – kto ma obowiązek powołania inspektora ochrony danych?”
Komentarz Capital Legal
Jednym z celów RODO było uproszczenie formalności związanych z ochroną danych osobowych w odniesieniu do niewielkich podmiotów. Rozporządzenie zachęca również państwa członkowskie do uwzględniania potrzeb małych firm przy tworzeniu regulacji w tym zakresie. Jak jednak okazuje się po kompleksowej analizie RODO, określone w obowiązujących przepisach ułatwienia dotyczą jedynie wąskiego kręgu podmiotów (wyłącznie niektórych mikroprzedsiębiorców) oraz niewielkiej kategorii wyjątkowych sytuacji. W praktyce największe znaczenie dla małych firm ma możliwość stosowania zabezpieczeń danych osobowych RODO w oparciu o dokonaną ocenę ryzyka i przy zachowaniu środków proporcjonalnych do charakteru, zakresu, kontekstu i celów przetwarzania danych osobowych RODO. Z uwagi na związaną z tym odpowiedzialność finansową administratora, warto dokonanie takiej oceny powierzyć profesjonaliście.
Prowadzisz małą firmę i potrzebujesz pomocy prawnej w zakresie RODO dla mikroprzedsiębiorców?
Jedną ze specjalizacji naszej Kancelarii Prawnej jest ochrona danych osobowych. o ile masz pytania dotyczące RODO, zapraszamy do kontaktu. Z chęcią na nie odpowiemy.