Poradnik Przedsiębiorcy

Ustawa wdrażająca RODO - zmiany dla najmniejszych firm!

Od 4 maja 2019 r. mikroprzedsiębiorcy mają nieco łatwiej z RODO. Ustawa wdrażająca RODO pozwala im w uproszczony sposób wywiązać się z części obowiązków. Wystarczy informacja na stronie internetowej lub widocznym miejscu w lokalu.

Mikroprzedsiębiorcy mają łatwiej

Ustawa wdrażająca RODO wprowadza ułatwienia dla mikroprzedsiębiorców.

Mikroprzedsiębiorca to przedsiębiorca, który w co najmniej jednym roku z dwóch ostatnich lat obrotowych spełniał łącznie następujące warunki:

  • zatrudniał średniorocznie mniej niż 10 pracowników oraz

  • osiągnął roczny obrót netto ze sprzedaży towarów, wyrobów i usług oraz z operacji finansowych nieprzekraczający równowartości w złotych 2 milionów euro, lub sumy aktywów jego bilansu sporządzonego na koniec jednego z tych lat nie przekroczyły równowartości w złotych 2 milionów euro;

Ustawa wdrażająca RODO - co się zmieniło?

Każdy przedsiębiorca, który od klientów otrzymuje dane osobowe, musi wywiązać się z wynikającego z RODO tzw. obowiązku informacyjnego.

Dzięki zmianie w ustawie o prawach konsumenta, którą wprowadziła ustawa wdrażająca RODO, wywiązanie się z tego obowiązku przez mikroprzedsiębiorców będzie łatwiejsze. Dlaczego? Bo wystarczy:

  • wywieszenie stosownych informacji w widocznym miejscu w lokalu przedsiębiorstwa, lub

  • udostępnienie informacji na stronie internetowej przedsiębiorcy.

To najprostszy sposób wywiązania się z obowiązku informacyjnego z art. 13 RODO.

Przykład 1.

Janina Nowak prowadzi zakład fryzjerski, jest mikroprzedsiebiorcą. Przetwarza dane osobowe - bo klienci dzwonią do niej, podają imię, nazwisko, numer telefonu i umawiają się na wizytę. Janina Nowak wywiąże się z obowiązku informacyjnego z art 13 RODO, wywieszając w widocznym miejscu w swoim zakładzie wydrukowane informacje wymagane przez ten przepis.

Przykład 2.

Piotr Kowalski prowadzi biuro tłumaczeń i ma stronę internetową. Jeśli zamieści na niej  informacje wymagane przez art. 13 RODO, to spełni obowiązek informacyjny wobec konsumentów - bo taki sposób spełnienia obowiązku wprowadziła dla mikroprzedsiębiorców ustawa wdrażająca RODO.

Brak możliwości zapoznania się z informacjami

Ustawa wdrażająca RODO przewiduje, że uproszczonego sposobu wywiązania się z obowiązku informacyjnego nie stosuje się, jeżeli osoba, której dane dotyczą, nie ma możliwości zapoznania się z informacjami wynikającymi z art. 13 RODO. Chodzi o to, żeby osoba fizyczna, której dane dotyczą, miała faktyczną możliwość zapoznania się z ww. informacjami.

Przykład 3.

Janina Nowak prowadzi zakład fryzjerski. Nie wywiąże się z obowiązku informacyjnego z art 13 RODO, jeśli wywiesi wymagane przez ten przepis informacje np. na zapleczu - bo faktycznie w takiej sytuacji jej klienci nie będą mieli możliwości zapoznania się z nimi. Nie będzie też uznane za wywiązanie się z obowiązku wywieszenie informacji wprawdzie w widocznym miejscu, ale napisanych tak małą czcionką i powieszonych na tyle wysoko, że faktycznie nie sposób ich przeczytać. Takie obostrzenie przewiduje ustawa wdrażająca RODO.

Przykład 4.

Piotr Kowalski zamieścił na swojej stronie internetowej informacje wymagane przez art. 13 RODO. Zrobił to jednak w miejscu na stronie internetowej, do którego dostęp jest możliwy tylko dla zalogowanych użytkowników, a świadczone przez niego usługi nie wymagają logowania się. Obowiązek informacyjny nie został spełniony, bo faktycznie zainteresowane osoby nie mają możliwości zapoznania się z informacjami. A taki warunek przewiduje ustawa wdrażająca RODO.

Jakich umów dotyczy zmiana?

Była wcześniej mowa o tym, że mikroprzedsiębiorcy mogą wykonać obowiązek informacyjny z z art. 13 RODO w uproszczony sposób. Wystarczy wywieszenie informacji w widocznym miejscu w lokalu przedsiębiorstwa, lub udostępnienie informacji na stronie internetowej przedsiębiorcy - taką zmianę wprowadziła ustawa wdrażająca RODO.

Przepis, który na to pozwala, jest zawarty w ustawie o prawach konsumenta. Jest to ustawa, która określa obowiązki przedsiębiorcy zawierającego umowę z konsumentem. Co ważne, z przepisu wynika, że uproszczony sposób wykonania obowiązku informacyjnego dotyczy tylko wskazanych w nim umów. O jakie umowy chodzi?

  • umowy z rozdziału 2 ustawy - umowy z konsumentem inne niż umowy zawierane poza lokalem przedsiębiorstwa lub na odległość

  • umowy z rozdziały 3 ustawy - umowy z konsumentem zawierane poza lokalem przedsiębiorstwa lub na odległość (czyli np. przez Internet)

Uproszczenie nie ma więc zastosowania do zawieranych przez mikroprzedsiębiorców:

  • umów dotyczących usług finansowych zawieranych na odległość - bo takie umowy są bowiem opisane w rozdziale 5 ustawy, o do niego przepis się nie odwołuje;

  • umów, do których nie ma zastosowania ustawa o prawach konsumenta (czyli umów, w których po drugiej stronie nie jest konsument, tylko np. inny przedsiębiorca).

Przetwarzanie “danych wrażliwych”

Uproszczonego sposobu wykonania obowiązku informacyjnego nie stosuje się również w przypadku tzw. danych wrażliwych. Chodzi tu o dane osobowe:

  • o pochodzeniu rasowym lub etnicznym,

  • o poglądach politycznych,

  • o przekonaniach religijnych lub światopoglądowych,

  • o przynależności do związków zawodowych,

  • dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej,

  • dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby.

W praktyce mikroprzedsiębiorcy rzadko kiedy takie dane przetwarzają, więc w praktyce to ograniczenie nie będzie miało powszechnego zastosowania.

Jeśli takie dane miałyby być przetwarzane, to (niezależnie od innych obostrzeń wynikających z RODO), nie można w uproszczony sposób wykonać obowiązku informacyjnego z art. 13 RODO - przewiduje ustawa wdrażająca RODO. Od tej zasady jest wyjątek. Chodzi o sytuację, gdy administrator danych udostępnia takie dane innym administratorom, bo zainteresowana osoba wyraziła na takie udostępnienie zgodę lub udostępnienie danych jest niezbędne do wypełnienia obowiązku ciążącego na administratorze.”.

Artykuł 13 RODO - czego dotyczy?

Czego dotyczy obowiązek informacyjny z art. 13 RODO? Chodzi tu o informacje, jakie trzeba podawać w przypadku zbierania danych od osoby, której dane dotyczą.

Artykuł 13 RODO

1.  Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

b) gdy ma to zastosowanie - dane kontaktowe inspektora ochrony danych;

c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;

d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) - prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

f) gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.

2.  Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) - informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

d) informacje o prawie wniesienia skargi do organu nadzorczego;

e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

3.  Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

4.  Ust. 1, 2 i 3 nie mają zastosowania, gdy - i w zakresie, w jakim - osoba, której dane dotyczą, dysponuje już tymi informacjami.