To właśnie te firmy najbardziej obawiają się dziś nowych obowiązków i zmian związanych ze zbliżającym się dniem, w którym zacznie być stosowane unijne rozporządzenie RODO (nastąpi to 25 maja tego roku). Brukseli zależy więc na przekonaniu przedsiębiorców, że regulacje mogą przynieść im korzyści, a także wcale nie pociągną za sobą niepotrzebnych obciążeń biurokratycznych.

Dla wszystkich, ale są wyjątki

Komisja Europejska postanowiła więc w przejrzysty sposób objaśnić kluczowe dla sektora MŚP kwestie związane z praktyczną aplikacją zasad ochrony danych osobowych wynikających z europejskiego rozporządzenia, takie jak: obowiązki inspektora danych, sposób załatwiania skarg i wniosków od konsumentów, tryb postępowania z danymi wrażliwymi czy lista informacji, jakie należy podawać przy zbieraniu zgód na przetwarzanie danych. I co ważne w kontekście planowanego przez resort cyfryzacji zwolnienia mniejszych z firm z niektórych obowiązków informacyjnych, Bruksela jednoznacznie podkreśla, że stosowanie nowych przepisów nie zależy od wielkości przedsiębiorstwa i liczby zatrudnianych osób. Kluczowe jest to, czy profil ich biznesu może powodować ryzyko naruszenia indywidualnych praw lub wolności.

– Moim zdaniem stanowisko KE nie przekreśla jednak możliwości wyłączenia niektórych obowiązków wobec MŚP przez poszczególne państwa – podkreśla dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński. Komisja sama podaje przykłady przewidzianych wyjątków. Jeden dotyczy zwolnienia małych i średnich firm z obowiązku prowadzenia rejestru wszystkich operacji przetwarzania danych. Natomiast drugi odnosi się do powoływania inspektorów ochrony danych (IOD). Komisja wyraźnie stwierdza, że konieczność wyznaczenia takiego specjalisty obejmie te MŚP, dla których przetwarzanie danych – zwłaszcza na masową skalę – stanowi trzon ich działalności (chodzi np. o monitorowanie, profilowanie czy wykorzystywanie danych wrażliwych).

Kwestia starych i nowych zgód

Do najważniejszych zagadnień, które naświetlają brukselscy urzędnicy, należy sprawa przetwarzania danych swojego personelu przez pracodawcę. – KE dopuszcza to na podstawie zgody pracownika, inaczej niż polski GIODO. Choć uważa też, że będą to sytuacje wyjątkowe – tłumaczy dr Litwiński.

Nie ma natomiast jednoznacznego rozstrzygnięcia statusu zgód na przetwarzanie danych uzyskanych na podstawie starych przepisów. Według niektórych interpretacji przepisów RODO stają się one nieważne lub przynajmniej należy poinformować tych, którzy ich udzielili, o prawie do ich wycofania. Sam generalny inspektor ochrony danych osobowych skłonił się jednak ku stanowisku, że stare zgody nie stracą ważności. Natomiast Komisja sugeruje, że nie jest to takie proste. – I podaje ciekawy przykład zgód, które jej zdaniem nie zachowają ważności: zgody zebrane w internecie przy pomocy domyślnie zaznaczonych na „tak” checkboxów. Nawet dzisiaj jest to bardzo popularna w Polsce praktyka – podkreśla dr Litwiński.

W swoich wskazówkach KE precyzuje również listę informacji, jakie powinna podać firma przy zbieraniu zgód. Oprócz nazwy organizacji i celu przetwarzania wśród nich są także rodzaje wykorzystywanych danych, możliwość cofnięcia zgody, stosowanie profilowania oraz przekazywanie danych do krajów trzecich (o ile do tego faktycznie dochodzi).

Ponadto Komisja tłumaczy, że odpowiedź na żądanie przez osobę zainteresowaną usunięcia jej danych (czyli tzw. prawo do bycia zapomnianym) powinna być udzielona w ciągu miesiąca. Zakazane jest też pobieranie za to jakiejkolwiek opłaty, chyba że wnioski o skasowanie danych byłyby nieuzasadnione bądź uporczywe. To samo odnosi się do udostępniania danych osobowych.

Wskazówki Komisji Europejskiej dla firm można znaleźć pod adresem: https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations_en.

23 proc. Polaków uważa, że ma kontrolę nad danymi osobowymi, które zamieszcza w internecie

2 mln euro przeznaczy Komisja Europejska na wsparcie krajowych władz w przygotowaniu firm do RODO

2,3 mld euro oszczędności dla europejskich firm mają przynieść jednolite unijne zasady przetwarzania danych