4 maja 2019 roku weszła w życie tzw. ustawa sektorowa dostosowująca polski system prawny do RODO, o której pisaliśmy tutaj: https://cgmkancelaria.pl/2019/03/13/rodo-juz-wkrotce-zmiany-w-168-ustawach/ A to znaczy, że obowiązują zmiany w blisko 170 ustawach regulujących m.in. branżę handlu elektronicznego, finansową, ubezpieczeniową, medyczną, oświatę, zatrudnienie. Przypomnijmy, że 21 lutego 2019 r. ustawa sektorowa została uchwalona przez Sejm, a 21 marca 2019 r. bez poprawek ustawę przyjął Senat. W kontekście obowiązku informacyjnego i problemów praktycznych z tym związanych spore zainteresowanie budzi wprowadzony tzw. ustawą sektorową art. 4a ustawy z dnia 30 maja 2014 r. o prawach konsumenta, przewidujący dla mikroprzedsiębiorców ulgę w zakresie sposobu wypełniania obowiązku informacyjnego w rozumieniu unijnego rozporządzenia o ochronie danych osobowych.
Mikroprzedsiębiorcy a obowiązek informacyjny
Mikroprzedsiębiorca to zgodnie z art. 7 ust. 1 pkt 1 ustawy z dnia 6 marca 2018 r. Prawo przedsiębiorców przedsiębiorca, który w co najmniej jednym roku z dwóch ostatnich lat obrotowych zatrudniał mniej niż 10 pracowników oraz osiągnął roczny obrót netto ze sprzedaży towarów, wyrobów i usług oraz z operacji finansowych nieprzekraczający równowartości w złotych 2 milionów euro (lub sumy aktywów jego bilansu sporządzonego na koniec jednego z tych lat nie przekroczyły równowartości w złotych 2 milionów euro). Przedsiębiorca spełniający te warunki może wykonać obowiązek informacyjny w rozumieniu art. 13 RODO (zbieranie danych osobowych od osób, których dane dotyczą) przez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej stosownych informacji wymaganych przez art. 13 RODO. Przewiduje to wprost właśnie art. 4a ustawy z dnia 30 maja 2014 r. o prawach konsumenta.
Wątpliwe ułatwienie dla najmniejszego biznesu
Niestety przepis jest tylko pozornym ułatwieniem. Nie stosuje się go bowiem wtedy, jeżeli osoba, której dane dotyczą nie ma możliwości zapoznania się z tak spełnionym obowiązkiem informacyjnym. Niemalże w każdej sytuacji faktycznej można podać w wątpliwość tezę, że osoba miała możliwość zapoznania się z obowiązkiem informacyjnym: osoby niepełnosprawne np. niedowidzące, konkretna sytuacja faktyczna, w której dana osoba nie mogłaby zapoznać się z informacjami itp. Wątpliwości można mnożyć. W takich sytuacjach należy mieć na uwadze przede wszystkim generalną zasadę rozliczalności, która ciąży na każdym administratorze. A zatem w razie wątpliwości co do możliwości skorzystania z uproszczonej formy wykonania obowiązku informacyjnego, bezpieczniej przyjąć założenie, że „ulga” nie będzie miała zastosowania. Ku takiej interpretacji skłania również uzasadnienie ostatniej decyzji Prezesa UODO o nałożeniu pierwszej kary finansowej właśnie za nieprawidłowo spełniony obowiązek informacyjny. We wspomnianej decyzji Prezes UODO zakwestionował m.in. możliwość skorzystania przez administratora z wyjątku przewidzianego w unijnym rozporządzeniu.
Obowiązek informacyjny zindywidualizowany jak biznes
Sposób spełnienia obowiązku informacyjnego u każdego administratora to kwestia bardzo zindywidualizowana, zależna w dużej mierze od branży, specyfiki prowadzonej działalności gospodarczej, sposobu czy odbiorców świadczonych usług itp. Inaczej obowiązek informacyjny będzie wypełniał sklep internetowy a inaczej biuro księgowe czy firma kateringowa. W każdym przypadku obowiązuje jednak zasada, aby informacje trafiały do adresata w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Warto pamiętać, że po pierwsze obowiązek informacyjny ma charakter dynamiczny, a to znaczy, że nie może zostać spełniony raz na zawsze. Administrator będzie musiał zaktualizować i ponowić obowiązek informacyjny mi.in. zawsze wtedy, gdy planuje dalej przetwarzać zebrane dane osobowe w innym celu niż cel, w którym dane zostały pierwotnie zebrane. Po drugie art. 13 RODO przewiduje wprost wyłącznie jedną sytuację, w której administrator może zaniechać spełnienia obowiązku informacyjnego – gdy osoba, której dane są przetwarzane posiada już informacje, które miałyby jej zostać przekazane na podstawie art. 13 RODO.
adw. Wioletta Gołębiewska
Masz wątpliwości związane ze sposobem lub formą spełnienia obowiązku informacyjnego? Skontaktuj się z autorem: wioletta.golebiewska@cgmkancelaria.pl