Resort Cyfryzacji uspokaja, że małe i średnie przedsiębiorstwa (MŚP) będą musiały realizować prawa osób, których dane dotyczą, wynikające z RODO i o nich informować. A ograniczenie stosowania RODO ma im ułatwić prowadzenie biznesu.
15 stycznia 2018 r. odbyła się konferencja podsumowująca konsultacje społeczne projektu ustawy o ochronie danych osobowych. Ministerstwo Cyfryzacji poinformowało wówczas, że uwzględni niektóre uwagi zgłoszone do projektu. Zdecydowano się m.in. ograniczyć część obowiązków wynikających z ogólnego rozporządzenia o ochronie danych (RODO) wobec firm zatrudniających do 250 osób, które nie przetwarzają danych wrażliwych i nie udostępniają ich innym podmiotom. Takie przedsiębiorstwa nie musiałyby m.in. realizować obowiązku informacyjnego, jeśli będą zbierały dane bezpośrednio od osób, których dane dotyczą (art. 13 RODO).
Ministerstwo Cyfryzacji tłumaczy, że chce zmniejszyć te obowiązki dla sektora MŚP, by ułatwić im prowadzenie biznesu – „W dużej części przypadków, realizowanie rozbudowanego obowiązku informacyjnego, o którym mowa w art. 13 RODO jest bardzo trudne. Dotyczy to zwłaszcza przypadków, gdy pierwszy kontakt klienta z przedsiębiorcą następuje drogą telefoniczną, która utrudnia kilkuminutowe odczytywanie długich komunikatów i treści prawnych” – czytamy w komunikacie resortu cyfryzacji.
Takie rozwiązanie było krytykowane przez organizacje społeczne i Generalnego Inspektora Ochrony Danych Osobowych. Ministerstwo Cyfryzacji zmieniło więc swoje stanowisko. Zgodnie z propozycją uzgodnioną z Ministerstwem Przedsiębiorczości i Technologii firmy zatrudniające mniej niż 250 osób, nieprzetwarzające danych wrażliwych oraz nieudostępniające danych innym podmiotom mają być wyłączone ze stosowania art. 13 ust. 2 RODO. Nie będą więc musiały informować swoich klientów m.in. o prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania. Resort podkreśla jednak, że prawa te będą obywatelom przysługiwały.
Każdy przedsiębiorca będzie natomiast zobowiązany do poinformowania osób, których dane będą przetwarzane (na etapie ich gromadzenia), o swoich danych, celu i podstawie prawnej przetwarzania danych oraz danych kontaktowych inspektora ochrony danych (jeśli go wyznaczy).
Firmy z sektora MŚP będą musiały też realizować obowiązki wynikające z art. 33 RODO – poinformować o naruszeniu ochrony danych osobowych Prezesa Urzędu Ochrony Danych Osobowych. Nie unikną więc odpowiedzialności za naruszenie prawa.
Podstawą prawną wprowadzenia tych ograniczeń jest art. 23 ust. 1 RODO – „ważny interes gospodarczy oraz finansowy państwa członkowskiego” – informuje Ministerstwo Cyfryzacji. W przepisach RODO nie ma wykładni pojęcia „interesu gospodarczego”, a ponieważ jest ono klauzulą generalną, to jej znaczenie powinno się rozważać w odniesieniu do konkretnej sprawy – stwierdza resort. W ocenie projektodawcy w ochronę „interesu gospodarczego” wpisuje się ochrona sektora MŚP, który jest motorem polskiej gospodarki, poprzez nienakładanie zbędnych obciążeń regulacyjnych, nieproporcjonalnych do skali prowadzonej działalności.
Źródło: Ministerstwo Cyfryzacji (https://www.gov.pl/cyfryzacja)