Przepisy rozporządzenia RODO obejmują swoim działaniem wszystkie podmioty przechowujące oraz przetwarzające dane osobowe osób fizycznych. Rozmiar przedsiębiorstwa – poza jednym wyjątkiem wskazanym poniżej – nie ma znaczenia dla zasad, według których obowiązują przepisy RODO.
Początkowe plany zostały zmienione
Przepis art. 2 rozporządzenia RODO wskazuje materialne wyłączenia ze stosowania przepisów, dotyczące działalności nieobjętej prawem UE, określonych działań państw członkowskich, działalności organów powołanych do zapobiegania przestępczości, prowadzenia postępowań karnych oraz wykonywania kar, a także działań osób fizycznych w ramach czynności osobistych i domowych. Przykładowo spod działania RODO wyłączone jest posiadanie przez osobę fizyczną notesu z numerami telefonów przyjaciół i bliskich – o ile nie są one wykorzystywane w związku z prowadzoną przez tę osobę działalnością gospodarczą.
Rozporządzenie RODO przyznaje państwom członkowskim dużą elastyczność w kształtowaniu zasad ochrony danych osobowych w poszczególnych krajach. Początkowo w projekcie polskiej ustawy dotyczącej ochrony danych osobowych przewidziano kilka wyjątków obejmujących swoim działaniem tzw. małych i średnich przedsiębiorców (tj. przedsiębiorców zatrudniających mniej niż 250 osób). Założenia obejmowały zwolnienie małych i średnich przedsiębiorców z:
-
obowiązku prowadzenia rejestru czynności przetwarzania danych;
-
obowiązku informacyjnego dotyczącego okresu przetwarzania danych;
-
obowiązku informacyjnego dotyczącego prawa żądania dostępu do przechowywanych przez przedsiębiorcę danych osobowych, prawie do ich sprostowania, usunięcia lub ograniczenia przetwarzania;
-
obowiązku informacyjnego dotyczącego prawa osoby fizycznej do wniesienia sprzeciwu na przetwarzanie danych;
-
obowiązku powoływania inspektora danych osobowych.
Ze wskazanych powyżej wyjątków został tylko jeden – zwolnienie z obowiązku prowadzenia rejestru czynności przetwarzania danych po spełnieniu określonych warunków, o czym poniżej.
Przepisy RODO obowiązują wszystkich przedsiębiorców, niezależnie od rodzaju prowadzonej działalności i rozmiaru przedsiębiorstwa, w takim samym stopniu.
Jedyny wyjątek dotyczący przedsiębiorców zatrudniających poniżej 250 pracowników obejmuje zwolnienie z obowiązku prowadzenia rejestru czynności przetwarzania danych.
Wyjątek dotyczący rejestru czynności przetwarzania danych wynika z przepisu art. 30 rozporządzenia RODO. Polska ustawa o ochronie danych osobowych nie przewiduje żadnych odrębnych wyjątków dla sektora małych i średnich przedsiębiorstw, podobnie jak ustawy obowiązujące w pozostałych państwach członkowskich.
Zalecenia RODO względem małych i średnich przedsiębiorców
Choć rozmiar przedsiębiorstwa nie ma znaczenia dla zakresu i zasad stosowania przepisów RODO, europejski ustawodawca wskazał na specjalne położenie mikroprzedsiębiorców, małych i średnich przedsiębiorców w motywie 13 rozporządzenia.
"(...) Z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw niniejsze rozporządzenie przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników. Ponadto zachęca się instytucje i organy Unii, państwa członkowskie i ich organy nadzorcze, by stosując niniejsze rozporządzenie, uwzględniały szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. Rozumienie pojęcia mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw powinno opierać się na art. 2 załącznika do zalecenia Komisji 2003/361/WE."
Celem wyjaśnienia warto wskazać, że mikro-, małymi i średnimi przedsiębiorstwami (tzw. MŚP) są podmioty, które zatrudniają mniej niż 250 osób i których obroty roczne nie przekraczają 50 milionów euro lub których roczna suma bilansowa nie przekracza 43 milionów euro.
RODO zaleca państwom członkowskim uwzględnienie potrzeb małych i średnich przedsiębiorców przy stosowaniu przepisów rozporządzenia – przykładowo ewentualny wymiar kary za nieprzestrzeganie przepisów RODO za to samo przewinienie powinien być proporcjonalnie mniejszy względem przedsiębiorcy zatrudniającego kilku pracowników i przetwarzającego dane kilkudziesięciu klientów niż wobec ogromnej korporacji z tysiącami klientów.
Jednocześnie RODO wskazuje, że konieczność jednolitego traktowania przedsiębiorców względem nałożonych na nich na mocy rozporządzenia obowiązków wynika z potrzeby zapewnienia wszystkim przedsiębiorcom, niezależnie od rozmiaru przedsiębiorstwa, pewności prawa i jego przejrzystości oraz z konieczności zagwarantowania osobom fizycznym, których dane podlegają ochronie, tego samego poziomu praw.
Przepisy RODO - jaki wyjątek dla małych i średnich przedsiębiorców?
Wspomniany powyżej wyjątek, który obejmuje małych i średnich przedsiębiorców, dotyczy prowadzenia rejestru czynności przetwarzania danych. Raz jeszcze należy podkreślić, że to jedyny przepis, który odnosi się do tej grupy przedsiębiorców.
Zgodnie z zasadami wprowadzonymi przez RODO, każdy administrator danych ma obowiązek pisemnego (lub elektronicznego) prowadzenia rejestru czynności przetwarzania danych, w którym zamieszcza się następujące informacje:
-
dane administratora danych (imię, nazwisko, nazwa, dane kontaktowe);
-
dane inspektora ochrony danych osobowych;
-
cel przetwarzania danych;
-
opisy kategorii osób fizycznych, których dane dotyczą;
-
kategorie przetwarzanych danych osobowych;
-
kategorie odbiorców danych osobowych;
-
informacje o przekazaniu danych osobowych do państw trzecich lub organizacji międzynarodowych wraz ze wskazaniem stosowanych zabezpieczeń;
-
planowane terminy usunięcia poszczególnych kategorii danych osobowych;
-
ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
Analogiczny obowiązek został nałożony również na podmiot przetwarzający dane osobowe oraz przedstawicieli podmiotu przetwarzającego (tj. osoby, które przetwarzają dane osobowe w imieniu administratora danych).
"Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10."
Zwolnienie dotyczące małych i średnich przedsiębiorców nie ma charakteru bezwzględnego, co oznacza, że aby skorzystać ze zwolnienia z obowiązku prowadzenia rejestru, przedsiębiorca musi spełnić określone warunki.
Niezależnie od rozmiaru przedsiębiorstwa, tj. nawet wówczas, gdy przedsiębiorca zatrudnia mniej niż 250 pracowników, przedsiębiorca musi prowadzić rejestr czynności przetwarzania danych, jeśli:
1. przetwarzanie danych może powodować ryzyko naruszenia praw lub wolności osób fizycznych, których dane dotyczą (przykładowo, jeśli z uwagi na charakter przetwarzanych danych czynność ta grozi popełnieniem przestępstwa na szkodę osoby fizycznej)
lub
2. przetwarzanie danych nie ma charakteru sporadycznego (tj. jest dokonywane w sposób ciągły, a nie incydentalny)
lub
3.przetwarzanie obejmuje szczególne kategorie danych (tj. dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby fizycznej).
Spełnienie jednego z tych warunków będzie oznaczało, że przedsiębiorca ma obowiązek prowadzenia rejestru.
W praktyce skorzystanie ze zwolnienia dla większości przedsiębiorców będzie niemal niemożliwe – przykładowo, przedsiębiorca zatrudniający pracowników przetwarza ich dane osobowe w sposób stały ciągły, a nie sporadyczny.
W takim przypadku przedsiębiorca będzie miał obowiązek prowadzenia rejestru w odniesieniu do tych kategorii danych, które wyczerpują wskazane powyżej warunki (tj. rejestr obejmujący czynności przetwarzania dotyczące danych pracowników). Przedsiębiorca nie będzie musiał ujmować w rejestrze przetwarzania innych danych, które nie są przetwarzane sporadycznie i nie obejmują przesłanek wymienionych powyżej.