Małe polskie firmy z lżejszymi wymaganiami RODO w propozycji ministerstw Cyfryzacji oraz Przedsiębiorczości i Technologii

Od 25 maja 2018 r. zacznie obowiązywać unijne Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO), które zastąpi przepisy dotychczasowej ustawy o ochronie danych osobowych. Przepisy RODO, zwane także GDPR (General Data Protection Regulation) będą dotyczyć wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą. Obejmą przede wszystkim firmy, które gromadzą i przetwarzają dane dotyczące osób fizycznych, a więc być zarówno duże korporacje, jak na przykład firmy ubezpieczeniowe czy instytucje finansowe, ale także niewielkie rodzinne przedsiębiorstwa, jak sklep internetowy czy salon kosmetyczny.

Dzięki tym zapisom objęte zostaną ochroną wszystkie informacje, które mogłyby doprowadzić do identyfikacji osoby, m.in. nazwisko, adres, wszelkie numery identyfikacyjne, adresy mailowe, adres IP, pliki cookies, dokumentację zdrowotną, a nawet informacje o poglądach politycznych czy orientacji seksualnej.

Przepisy RODO budzą wiele kontrowersji, a spora część przedsiębiorców obawia się czy w prawidłowy sposób zdoła przystosować się do planowanych regulacji. Poważne konsekwencje w związku z RODO mogą dotknąć m.in. branżę marketingową, co w rozmowach z serwisem Wirtualnemedia.pl podkreślali eksperci tego segmentu.

W odpowiedzi na obawy dotyczące RODO dwa resorty tworzące obecny rząd - Ministerstwo Cyfryzacji oraz Ministerstwo Przedsiębiorczości i Technologii wystąpiły ze wspólną propozycją modyfikacji unijnych przepisów.

W komunikacie podkreślono, że w dużej części przypadków realizowanie rozbudowanego obowiązku informacyjnego, o którym mowa w art. 13 RODO jest bardzo trudne. Dotyczy to zwłaszcza przypadków, gdy pierwszy kontakt klienta z przedsiębiorcą następuje drogą telefoniczną, która utrudnia kilkuminutowe odczytywanie długich komunikatów i treści prawnych.

Dlatego zgodnie z propozycją Ministerstwa Cyfryzacji uzgodnioną z Ministerstwem Przedsiębiorczości i Technologii MŚP – firmy zatrudniające mniej niż 250 osób, nie przetwarzające danych wrażliwych oraz nie udostępniające danych innym podmiotom - mają być wyłączone ze stosowania art. 13 ust. 2.  MŚP nie będą więc musiały informować swoich klientów m.in. o prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania. Które to jednak prawa będą obywatelom przysługiwały.

Jak zastrzegają oba wymienione resorty każdy przedsiębiorca będzie natomiast zobowiązany do poinformowania osób których dane będą przetwarzane (na etapie ich gromadzenia) o swoich danych, celu i podstawie prawnej przetwarzania danych oraz danych kontaktowych inspektora ochrony danych (o ile takiego posiada).

Według propozycji pełne zastosowanie znajdzie art. 33 RODO. Przedsiębiorca będzie zobowiązany do poinformowania o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych, a tym samym nie uniknie odpowiedzialności za naruszenie prawa.

Podstawą prawną dla wprowadzenia tych ograniczeń jest art. 23 ust. 1 RODO jest w opinii pomysłodawców „ważny interes gospodarczy oraz finansowy państwa członkowskiego”.

Jak zaznacza komunikat jednocześnie w przepisach RODO nie dokonano wykładni pojęcia „interesu gospodarczego”, a ponieważ jest ono klauzulą generalną, to jej znaczenie powinno się rozważać w odniesieniu do konkretnej sprawy. W ocenie projektodawcy, w ochronę „interesu gospodarczego” wpisuje się ochrona sektora  MŚP, będącego motorem polskiej gospodarki, poprzez nienakładanie zbędnych obciążeń regulacyjnych, nieproporcjonalnych do skali prowadzonej działalności.