RODO dla małych i średnich przedsiębiorstw

Projekt ustawy o ochronie danych osobowych, o którym pisaliśmy wczoraj w odniesieniu do MSP, zgodnie z zapowiedziami wprowadza pewne ograniczenia. Przede wszystkim kryterium stosowania wyłączeń to zatrudnianie mniej niż 250 pracowników. Zwrot „pracownicy” powinien być w ocenie projektodawcy interpretowany szeroko, i obejmuje wszystkie osoby wykonujące wewnątrz organizacji działania na rzecz przedsiębiorcy niezależnie od formy prawnej ich zatrudnienia. Wyłączenie w dotyczy:

a) w zakresie obowiązku informacyjnego – podczas pozyskiwania danych osobowych ADO będący MSP nie jest zobowiązany do podawania osobie, której dane dotyczą, informacji dotyczących:
– okresu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
– informacji o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
– informacji o prawie wniesienia skargi do organu nadzorczego;
– informacji, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
– informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz – przynajmniej w tych przypadkach – istotnych informacji o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą;
b) w zakresie dostępu do danych osobowych: ADO nie musi dostarczać osobie, której dane dotyczą, kopii danych osobowych podlegających przetwarzaniu.
c) w zakresie obowiązku powiadomienia o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych osobowych: ADO nie informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał w ramach realizacji uprawnień osoby fizycznej;
d) w zakresie obowiązku zawiadamiania osoby fizycznej o naruszeniu ochrony danych osobowych: nie ma obowiązku zawiadamiania osoby fizycznej o naruszeniu, co pozostaje bez wpływu na obowiązek poinformowania o naruszeniu organu nadzoru.

Podkreślenia wymaga, że wyłączenia powyższe nie dotyczą każdego MSP. Nie znajdą one zastosowania wobec tych przedsiębiorców którzy w ramach przetwarzania danych osobowych przetwarzają dane osobowe szczególnej kategorii (dane wrażliwe), a także gdy dane osobowe są udostępniane przez ADO innym podmiotom na podstawie innej niż wyraźna zgoda osoby której dane dotyczą lub obowiązek wynikający z przepisu prawa. Wszystkie z powyższych warunków tj. zatrudnianie do 250 osób, nie przetwarzanie danych szczególnie chronionych oraz nie udostępnianie danych innym podmiotom muszą zostać spełnione łącznie, aby wskazane przepisy RODO nie znalazły zastosowania do przedsiębiorcy.