1. /
  2. Firma
  3. /
  4. Krótki przewodnik po RODO dla MŚP

Krótki przewodnik po RODO dla MŚP

|
Grupa Doradcza KDRC

Dla małych i średnich przedsiębiorców przygotowano prosty i przyjazny przewodnik. Pomoże on sprawnie poruszać się po meandrach nowego prawa ochrony danych osobowych, które będzie obowiązywać już od 25 maja 2018 roku.

Przewodnik po RODO

Można dowiedzieć się z niego:

  • jakie obowiązki będą mieli przedsiębiorcy,
  • co zmieni się w sposobie ochrony danych osobowych,
  • jak przygotować firmę do stosowania nowych przepisów.

Atutem przewodnika są krótkie podrozdziały, podsumowująca sekcja pytań i odpowiedzi oraz wiele praktycznych przykładów mówiących o tym, jak w praktyce dostosować firmę do nowych przepisów. Autorem poradnika jest ekspert w tej dziedzinie, dr Paweł Litwiński. Przewodnik nie powinien więc być traktowany jako oficjalna wykładnia Ministerstwa Przedsiębiorczości i Technologi w zakresie przepisów o ochronie danych osobowych.

Do pobrania: Przewodnik po RODO dla małych i średnich przedsiębiorców

Stosowanie przepisów RODO do MŚP – oświadczenie wspólne Ministerstwa Cyfryzacji oraz Ministerstwa Przedsiębiorczości i Technologii.

Ograniczenie stosowania RODO dla małych i średnich przedsiębiorców ma przede wszystkim ułatwić im prowadzenie biznesu. Nie oznacza to jednak, że MŚP zostaną całkowicie wyłączone z obowiązków informowania konsumentów o tym, że przetwarzają ich dane.

W dużej części przypadków, realizowanie rozbudowanego obowiązku informacyjnego, o którym mowa w art. 13 RODO jest bardzo trudne. Dotyczy to zwłaszcza przypadków, gdy pierwszy kontakt klienta z przedsiębiorcą następuje drogą telefoniczną, która utrudnia kilkuminutowe odczytywanie długich komunikatów i treści prawnych.

Dlatego zgodnie z propozycją Ministerstwa Cyfryzacji uzgodnioną z Ministerstwem Przedsiębiorczości i Technologii, MŚP – firmy zatrudniające mniej niż 250 osób, nie przetwarzające danych wrażliwych oraz nie udostępniające danych innym podmiotom – mają być wyłączone ze stosowania art. 13 ust. 2 RODO MŚP nie będą więc musiały informować swoich klientów m.in. o prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania. Które to jednak prawa będą obywatelom przysługiwały.

Każdy przedsiębiorca będzie natomiast zobowiązany do poinformowania osób których dane będą przetwarzane (na etapie ich gromadzenia), o swoich danych, celu i podstawie prawnej przetwarzania danych oraz danych kontaktowych inspektora ochrony danych (o ile takiego posiada).

Co więcej, pełne zastosowanie znajdzie art. 33 RODO. Przedsiębiorca będzie zobowiązany do poinformowania o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych, a tym samym nie uniknie odpowiedzialności za naruszenie prawa.

Podstawą prawną dla wprowadzenia tych ograniczeń jest art. 23 ust. 1 RODO „ważny interes gospodarczy oraz finansowy państwa członkowskiego”. Jednocześnie w przepisach RODO nie dokonano wykładni pojęcia „interesu gospodarczego”, a ponieważ jest ono klauzulą generalną, to jej znaczenie powinno się rozważać w odniesieniu do konkretnej sprawy. W ocenie projektodawcy, w ochronę „interesu gospodarczego” wpisuje się ochrona sektora MŚP, będącego motorem polskiej gospodarki, poprzez nienakładanie zbędnych obciążeń regulacyjnych, nieproporcjonalnych do skali prowadzonej działalności.

W pracach nad wdrożeniem rozporządzenia o ochronie danych osobowych (RODO), rząd kładzie nacisk na pełną transparentność procesu legislacyjnego. W proces tworzenia przepisów silnie zaangażowały się organizacje społeczne, izby gospodarcze i obywatele.

Co to jest RODO?

Pisząc i mówiąc „RODO” mamy na myśli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Jest to akt prawny przyjęty przez Unię Europejską regulujący zasady ochrony danych osobowych – zastępuje dyrektywę 95/46/WE z 1995 r.

RODO tym się różni od dyrektywy 95/46/WE, że nie będzie implementowane, czyli nie będzie trzeba przepisów RODO przyjąć w polskiej ustawie, jak to się dzieje w przypadku dyrektyw. RODO będzie bezpośrednio obowiązywać, będzie bezpośrednio stosowane i bezpośrednio skuteczne. To oznacza, że – z bardzo niewielkimi wyjątkami – całe prawo ochrony danych osobowych znajdziemy bezpośrednio w tekście RODO. Ten tekst można znaleźć w Dzienniku Urzędowym Unii Europejskiej L z 2016 r. nr 119, str. 1.

Kto podlega RODO?

RODO podlega każdy przedsiębiorca, który prowadzi działalność w Unii Europejskiej. Może to być działalność w jakiejkolwiek formie prawnej: spółka, jednoosobowa działalność gospodarcza, czy nawet oddział w Unii Europejskiej przedsię- biorcy mającego siedzibę poza Unią. Nie ma znaczenia narodowość osób, których dane osobowe są przetwarzane. Nie ma znaczenia to, gdzie są przetwarzane dane osobowe (gdzie znajdują się serwery).

Przykłady:

  • korzystanie przez polską spółkę z o. o. z usług przetwarzania danych w chmurze nie zwalnia tej spółki z konieczności stosowania RODO,
  • polski podmiot oferujący swoje usługi obywatelom Ukrainy podlega przepisom RODO,
  • oddział w Polsce przedsiębiorcy z USA podlega przepisom RODO.

RODO znajdzie zastosowanie nawet wtedy, gdy podmioty spoza Unii Europejskiej oferują swoje towary i usług osobom przebywający w Unii. RODO nie znajduje zastosowania do działalności osobistej lub domowej. To oznacza, że osoba fizyczna prowadząca działalność gospodarczą musi stosować RODO do danych osobowych swoich klientów, czy pracowników, ale nie stosuje RODO do danych przetwarzanych w celach czysto prywatnych, np. do danych adresatów wysyłanych corocznie kartek świątecznych. Podstawa prawna – art. 3 RODO

Jakie czynności podlegają RODO?

RODO stosuje się do przetwarzania danych osobowych. Przetwarzaniem danych osobowych są jakiekolwiek operacje wykonywane na danych osobowych, takie jak:

  • zbieranie danych,
  • przechowywanie danych,
  • usuwanie danych,
  • opracowywanie danych,
  • udostępnianie danych.

Co bardzo ważne, RODO obejmuje wszelkie czynności, które mają za przedmiot dane osobowe – czyli nie tylko np. usługę archiwizowania dokumentów, ale wszelkie usługi, w których dochodzi do zbierania danych osobowych. RODO powinni więc stosować:

  • przedsiębiorcy zajmujący się przetwarzaniem danych – archiwizowanie danych, niszczenie dokumentów, usługi kurierskie itp.,
  • przedsiębiorcy, którzy przetwarzają dane osobowe przy okazji świadczenia innych usług, np. pośrednicy ubezpieczeniowi, agenci biur podróży, księgowi, sklepy internetowe, zarządcy nieruchomości itp.

Podstawa prawna – art. 3, 4 pkt 2 RODO.