Długo oczekiwany projekt polskiej ustawy o ochronie danych osobowych właśnie został skierowany do Komisji Prawniczej. Projekt zakłada pewne ulgi dla mikroprzedsiębiorców w zakresie stosowania przepisów RODO. Ulgi polegałaby na zmniejszeniu liczby obowiązków informacyjnych wynikających z RODO względem najmniejszych przedsiębiorców. Już na wstępnie należy jednak zaznaczyć, że po pierwsze – projektowane ulgi dla mikroprzedsiębiorców nie polegają na całkowitym zwolnieniu najmniejszych firm z obowiązków informacyjnych wynikających z RODO, po drugie – przewidziano dwie sytuacje, w których wykluczone może okazać się skorzystanie z ulg nawet przez najmniejsze firmy.
Mniej obowiązków informacyjnych dla najmniejszych
Konkretnie chodzi o przepisy art. 13 ust. 2 lit a-b oraz d-f, art. 15 ust. 3 i 4 oraz art. 19 rozporządzenia 2016/679 (RODO/GDPR). Jak wynika z uzasadnienia projektu ustawy do grupy obowiązków, z których – zdaniem projektodawcy – celowe jest zwolnienie mikroprzedsiębiorców należą: obowiązek podania niektórych informacji podczas zbierania danych, m.in. okresu przechowywania danych czy prawa wniesienia skargi do organu nadzorczego, obowiązku dostarczania kopii danych osobowych podlegających przetwarzaniu, obowiązku poinformowania o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania.
Kto nie będzie mógł skorzystać z ulgi w obowiązkach informacyjnych
Niestety nie wszyscy mikroprzedsiębiorcy będą mieli możliwość skorzystania z projektowanych ulg. Projektodawca postanowił wprowadzić istotne ograniczenia w korzystaniu ze zwolnienia po pierwsze dla podmiotów, których działalność polega głównie bądź w znacznym stopniu na przetwarzaniu danych osobowych,
Jak wynika z uzasadnienia projektowanej ustawy, pełny zakres obowiązków informacyjnych będzie dotyczył nawet najmniejszych przedsiębiorców, którzy przetwarzają szczególne kategorie danych wskazane w art. 9 ust. 1 Rozporządzenia (a więc dane ujawniające pochodzenie rasowe lut etniczne, poglądy polityczne, przekonania religijne czy dane biometryczne bądź genetyczne), tj. dane wrażliwe. Projektodawca wyszedł z założenia, że „w przypadku przetwarzania tzw. danych wrażliwych niezbędne jest zachowanie restrykcyjnych wymogów i najwyższego standardu ich ochrony przed ich bezprawnym przetwarzaniem.”
W świetle uzasadnienia do projektu ustawy „druga, odrębna przesłanka wykluczająca możliwość skorzystania ze zwolnienia dotyczy sytuacji, gdy przedsiębiorca udostępnia dane osobowe innym administratorom (chyba że osoba, której dane dotyczą wyraziła na to zgodę lub udostępnienie jest niezbędne do wypełnienia obowiązku ciążącego na administratorze). Celem tego ograniczenia jest wykluczenie z preferencyjnych przepisów podmiotów, które zajmują się gromadzeniem danych w celu ich dalszego przekazywania (tzw. handlarzy danymi osobowymi). Należy jasno podkreślić, że w takim przypadku zarówno podmiot, który pobierze dane z zamiarem udzielenia ich innemu administratorowi, jak i administrator, który je otrzymał będą objęci wszystkimi wymogami informacyjnymi wskazanymi w Rozporządzeniu. Wyjątki w tym przypadku będą dozwolone jedynie, gdy właściciel danych udzieli zgody na takie udostępnienie (np. w celu otrzymania jakichś korzyści od przedsiębiorcy czy w ramach zgody na ich przekazanie podwykonawcy) lub administrator będzie obowiązany do przekazania danych (np. organom ścigania przestępstw).”
Ulgi dla mikroprzedsiębiorców, ale bez uszczerbku dla praw osób, których dane osobowe są przetwarzane
Projekt ogranicza względem mikroprzedsiębiorców stosowanie niektórych przepisów odnoszących się do obowiązków informacyjnych, ale nie ogranicza praw osób, których dane są przetwarzane. Projektodawca uzasadnił, że „projektowane przepisy nie ingerują w istotę praw osób fizycznych uregulowanych w RODO, czyli w uprawnienie do żądania dostępu, sprostowania czy usunięcia danych gromadzonych przez przedsiębiorcę.”
„W szczególności, żadnym ograniczeniom nie będzie podlegał art. 15 ust. 1 i 2 Rozporządzenia (RODO/GDPR – przyp. autor), który reguluje zasady prawa dostępu osoby do dotyczących jej danych. Oznacza to, że mimo zwolnienia mikroprzedsiębiorstw z uprzedniego obowiązku poinformowania np. jak długo będzie przechowywał dane, osoba fizyczna w każdej chwili będzie mogła zażądać od przedsiębiorcy uzyskania takiej informacji. W taki sam sposób uzyska informacje o możliwości żądania usunięcia czy sprostowania danych, o możliwości wniesienia skargi do organu nadzorczego czy o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu. Projekt ustawy dopuszcza zwolnienie z konieczności dostarczenia kopii danych osobowych podlegających przetwarzaniu, jednocześnie przepis art. 15 ust. 1 stanowi, że osoba ma prawo uzyskania dostępu do danych jej dotyczących. Oznacza to, że na przedsiębiorcy będzie ciążył obowiązek zapewnienia takiego dostępu. Niewykluczone, że dla przedsiębiorcy sprzedającego swoje towary bądź usługi „na odległość” jedyną możliwością wywiązania się z tego wymogu będzie dostarczenie osobie fizycznej kopii tych danych. Z kolei planowane ograniczenie stosowania art. 19 zakłada obowiązek powiadomienia o sprostowaniu, usunięciu danych lub ograniczeniu przetwarzania każdego odbiorcę, któremu ujawniono dane osobowe. Niemniej w tym kontekście przypomnienia wymaga fakt, że przekazywanie danych osobowych podmiotom trzecim stanowi przesłankę wykluczającą możliwość korzystania z omawianych zwolnień. Do przekazania danych może co prawda dojść również na podstawie zgody osoby, jednak wówczas zastosowanie znajdzie art. 14 Rozporządzenia (RODO/GDPR – przyp. autor), który autonomicznie reguluje zasady powiadamiania osoby o posiadaniu jej danych przez podmioty, które weszły w ich posiadanie w inny sposób niż bezpośrednio od niej.”
Pełen tekst projektu ustawy wraz z uzasadnieniem jest dostępny pod linkiem: http://legislacja.rcl.gov.pl/projekt/12302950.
adw. Wioletta Gołębiewska