Slajd nr 1 Slajd nr 1
Tło strzałki Strzałka
Header na wersje mobilna
Header na wersje tabletową Header na wersje laptopową
przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Prawny
  3. Ochrona danych
  4. Które przepisy RODO nie obowiązują przedsiębiorców?

Które przepisy RODO nie obowiązują przedsiębiorców?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Przepisy rozporządzenia RODO obejmują swoim działaniem wszystkie podmioty przechowujące oraz przetwarzające dane osobowe osób fizycznych. Rozmiar przedsiębiorstwa – poza jednym wyjątkiem wskazanym poniżej – nie ma znaczenia dla zasad, według których obowiązują przepisy RODO.

Początkowe plany zostały zmienione

Przepis art. 2 rozporządzenia RODO wskazuje materialne wyłączenia ze stosowania przepisów, dotyczące działalności nieobjętej prawem UE, określonych działań państw członkowskich, działalności organów powołanych do zapobiegania przestępczości, prowadzenia postępowań karnych oraz wykonywania kar, a także działań osób fizycznych w ramach czynności osobistych i domowych. Przykładowo spod działania RODO wyłączone jest posiadanie przez osobę fizyczną notesu z numerami telefonów przyjaciół i bliskich – o ile nie są one wykorzystywane w związku z prowadzoną przez tę osobę działalnością gospodarczą.

Rozporządzenie RODO przyznaje państwom członkowskim dużą elastyczność w kształtowaniu zasad ochrony danych osobowych w poszczególnych krajach. Początkowo w projekcie polskiej ustawy dotyczącej ochrony danych osobowych przewidziano kilka wyjątków obejmujących swoim działaniem tzw. małych i średnich przedsiębiorców (tj. przedsiębiorców zatrudniających mniej niż 250 osób). Założenia obejmowały zwolnienie małych i średnich przedsiębiorców z:

  1. obowiązku prowadzenia rejestru czynności przetwarzania danych;

  2. obowiązku informacyjnego dotyczącego okresu przetwarzania danych;

  3. obowiązku informacyjnego dotyczącego prawa żądania dostępu do przechowywanych przez przedsiębiorcę danych osobowych, prawie do ich sprostowania, usunięcia lub ograniczenia przetwarzania;

  4. obowiązku informacyjnego dotyczącego prawa osoby fizycznej do wniesienia sprzeciwu na przetwarzanie danych;

  5. obowiązku powoływania inspektora danych osobowych.

Ze wskazanych powyżej wyjątków został tylko jeden – zwolnienie z obowiązku prowadzenia rejestru czynności przetwarzania danych po spełnieniu określonych warunków, o czym poniżej.

Ważne!
Przepisy RODO obowiązują wszystkich przedsiębiorców, niezależnie od rodzaju prowadzonej działalności i rozmiaru przedsiębiorstwa, w takim samym stopniu.
Jedyny wyjątek dotyczący przedsiębiorców zatrudniających poniżej 250 pracowników obejmuje zwolnienie z obowiązku prowadzenia rejestru czynności przetwarzania danych.

Wyjątek dotyczący rejestru czynności przetwarzania danych wynika z przepisu art. 30 rozporządzenia RODO. Polska ustawa o ochronie danych osobowych nie przewiduje żadnych odrębnych wyjątków dla sektora małych i średnich przedsiębiorstw, podobnie jak ustawy obowiązujące w pozostałych państwach członkowskich.

Zalecenia RODO względem małych i średnich przedsiębiorców

Choć rozmiar przedsiębiorstwa nie ma znaczenia dla zakresu i zasad stosowania przepisów RODO, europejski ustawodawca wskazał na specjalne położenie mikroprzedsiębiorców, małych i średnich przedsiębiorców w motywie 13 rozporządzenia.

Fragment motywu 13 rozporządzenia RODO
"(...) Z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw niniejsze rozporządzenie przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników. Ponadto zachęca się instytucje i organy Unii, państwa członkowskie i ich organy nadzorcze, by stosując niniejsze rozporządzenie, uwzględniały szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. Rozumienie pojęcia mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw powinno opierać się na art. 2 załącznika do zalecenia Komisji 2003/361/WE."

Celem wyjaśnienia warto wskazać, że mikro-, małymi i średnimi przedsiębiorstwami (tzw. MŚP) są podmioty, które zatrudniają mniej niż 250 osób i których obroty roczne nie przekraczają 50 milionów euro lub których roczna suma bilansowa nie przekracza 43 milionów euro.

RODO zaleca państwom członkowskim uwzględnienie potrzeb małych i średnich przedsiębiorców przy stosowaniu przepisów rozporządzenia – przykładowo ewentualny wymiar kary za nieprzestrzeganie przepisów RODO za to samo przewinienie powinien być proporcjonalnie mniejszy względem przedsiębiorcy zatrudniającego kilku pracowników i przetwarzającego dane kilkudziesięciu klientów niż wobec ogromnej korporacji z tysiącami klientów.

Jednocześnie RODO wskazuje, że konieczność jednolitego traktowania przedsiębiorców względem nałożonych na nich na mocy rozporządzenia obowiązków wynika z potrzeby zapewnienia wszystkim przedsiębiorcom, niezależnie od rozmiaru przedsiębiorstwa, pewności prawa i jego przejrzystości oraz z konieczności zagwarantowania osobom fizycznym, których dane podlegają ochronie, tego samego poziomu praw.

Przepisy RODO - jaki wyjątek dla małych i średnich przedsiębiorców?

Wspomniany powyżej wyjątek, który obejmuje małych i średnich przedsiębiorców, dotyczy prowadzenia rejestru czynności przetwarzania danych. Raz jeszcze należy podkreślić, że to jedyny przepis, który odnosi się do tej grupy przedsiębiorców.

Zgodnie z zasadami wprowadzonymi przez RODO, każdy administrator danych ma obowiązek pisemnego (lub elektronicznego) prowadzenia rejestru czynności przetwarzania danych, w którym zamieszcza się następujące informacje:

  • dane administratora danych (imię, nazwisko, nazwa, dane kontaktowe);

  • dane inspektora ochrony danych osobowych;

  • cel przetwarzania danych;

  • opisy kategorii osób fizycznych, których dane dotyczą;

  • kategorie przetwarzanych danych osobowych;

  • kategorie odbiorców danych osobowych;

  • informacje o przekazaniu danych osobowych do państw trzecich lub organizacji międzynarodowych wraz ze wskazaniem stosowanych zabezpieczeń;

  • planowane terminy usunięcia poszczególnych kategorii danych osobowych;

  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Analogiczny obowiązek został nałożony również na podmiot przetwarzający dane osobowe oraz przedstawicieli podmiotu przetwarzającego (tj. osoby, które przetwarzają dane osobowe w imieniu administratora danych).

Przepis art. 30 ust. 5 rozporządzenia RODO
"Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10."

Zwolnienie dotyczące małych i średnich przedsiębiorców nie ma charakteru bezwzględnego, co oznacza, że aby skorzystać ze zwolnienia z obowiązku prowadzenia rejestru, przedsiębiorca musi spełnić określone warunki.

Niezależnie od rozmiaru przedsiębiorstwa, tj. nawet wówczas, gdy przedsiębiorca zatrudnia mniej niż 250 pracowników, przedsiębiorca musi prowadzić rejestr czynności przetwarzania danych, jeśli:

1. przetwarzanie danych może powodować ryzyko naruszenia praw lub wolności osób fizycznych, których dane dotyczą (przykładowo, jeśli z uwagi na charakter przetwarzanych danych czynność ta grozi popełnieniem przestępstwa na szkodę osoby fizycznej)
lub
2. przetwarzanie danych nie ma charakteru sporadycznego (tj. jest dokonywane w sposób ciągły, a nie incydentalny)
lub
3.przetwarzanie obejmuje szczególne kategorie danych (tj. dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby fizycznej).

Spełnienie jednego z tych warunków będzie oznaczało, że przedsiębiorca ma obowiązek prowadzenia rejestru.

W praktyce skorzystanie ze zwolnienia dla większości przedsiębiorców będzie niemal niemożliwe – przykładowo, przedsiębiorca zatrudniający pracowników przetwarza ich dane osobowe w sposób stały ciągły, a nie sporadyczny.

W takim przypadku przedsiębiorca będzie miał obowiązek prowadzenia rejestru w odniesieniu do tych kategorii danych, które wyczerpują wskazane powyżej warunki (tj. rejestr obejmujący czynności przetwarzania dotyczące danych pracowników). Przedsiębiorca nie będzie musiał ujmować w rejestrze przetwarzania innych danych, które nie są przetwarzane sporadycznie i nie obejmują przesłanek wymienionych powyżej.

Polecamy:

Najważniejsze zmiany w wynagrodzeniach i Kodeksie pracy od 2023 r.!

Dane biometryczne i ich przetwarzanie wg RODO
Polityka bezpieczeństwa danych osobowych – co powi...
Podobne
Kwiecień 2024
16
Wtorek
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT 7K
  • VAT UE (elektroniczna)
  • PIT 28
  • PIT 36
  • PIT 36L
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  3. Wymeldowanie z pobytu stałego - jak wymeldować siebie lub inną osobę?
  4. Profil zaufany a podpis elektroniczny. Czym się różnią?
  5. 7 zasad, które warto znać, jak zaliczyć wpłatę otrzymaną od kontrahenta
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Dostęp do danych i ich wykorzystywania - nowe rozporządzenie UE

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

XVIII Kongres ICV POLSKA (Controlling Intelligence Adventure 2024)
Open Source Day już 18 kwietnia w Warszawie!
Świat nieruchomości na wysokich obcasach: Jubileuszowe Forum Inwestorek 2024
SEO Vibes Poland - największa konferencja WhitePress z międzynarodowymi ekspertami
III Akademia Inwestora – Łączymy biznes z kapitałem Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów