Małe firmy też muszą zabezpieczyć dane osobowe

Po wielu latach oczekiwania, w zeszłym roku, została wreszcie przyjęta nowa unijna regulacja dotycząca ochrony danych osobowych. Do jej wejścia w życie zostało 14 miesięcy. Chodzi o rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Używać zaczęto już skrót roboczego dla nowego aktu – RODO. Nowe rozporządzenie UE ma ujednolicić w dalece większym stopniu niż dotychczas krajowe praktyki ochrony danych osobowych w państwach UE. Lepiej także ma chronić dane osobowe w świecie daleko posuniętej informatyzacji i wirtualizacji wielu aspektów naszego życia. Rozporządzenie wejdzie w życie 25 maja 2018 r. i będzie obowiązywało wprost we wszystkich krajach Unii. W Polsce – w miejsce dotychczasowej polskiej ustawy o ochronie danych osobowych.

Wiele sektorów i przedsiębiorców, którzy dane osobowe przetwarzają na szeroką skalę, już dzisiaj podejmuje wzmożone wysiłki, by przygotować się do nowej regulacji.

Ministerstwo Cyfryzacji, które przygotowuje uzupełniającą, krajową ustawę o ochronie danych osobowych, zakłada, że projekt ustawy powstanie z końcem kwietnia.

Nie tylko kary

Nowej regulacji powinni pilnie przyjrzeć się wszyscy przedsiębiorcy. Nie tylko dlatego, że wprowadza wysokie kary za naruszenie zasad, które wprowadza lub utrwala. Obecnie takich kar nie ma. A będą one wysokie: do 10 mln euro lub – w przypadku przedsiębiorstw – do 2 proc. rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym w przypadku przedsiębiorstw zastosowanie ma kwota wyższa). Oprócz tego rozporządzenie wprost otwiera (inaczej niż przepisy polskiej ustawy o ochronie danych osobowych) szeroką możliwość dochodzenia odszkodowań cywilnych za naruszenie reguł przetwarzania danych osobowych.

Tymczasem jak wynika z dość powszechnego doświadczenia – aspekt ochrony danych osobowych pracowników, kontrahentów, czy nawet konsumentów, bywa przez większość przedsiębiorców pomijany w codziennej działalności gospodarczej. Niezależnie od wielkości tych przedsiębiorców. Mimo tego, że polska ustawa o ochronie danych osobowych ma już blisko 20 lat. Uczciwie trzeba jednak wskazać, że są sektory, w których ochrona danych osobowych jest zaawansowana. Chodzi np. o: sektor bankowy, ubezpieczeniowy, publicznych usług komunalnych, usług medycznych, czy też sklepy internetowe.

Mniejsze firmy

Omawiane rozporządzenie akcentuje specjalne uwarunkowania przetwarzania danych osobowych w aspekcie mikroprzedsiębiorstw, małych i średnich przedsiębiorstw. W zamiarze Unii ma ułatwić przetwarzanie danych osobowych wszystkim firmom z tych grup. Zaskoczeniem jest przy tym, że zalecenie Komisji Europejskiej z 2003 r., które definiuje pojęcie mikroprzedsiębiorstwo, małe i średnie przedsiębiorstwa, nie ma oficjalnego polskiego tłumaczenia. Mimo że odwołanie do zalecenia pojawia się w RODO. Bardzo upraszczając, przyjmijmy, że mikroprzedsiębiorstwem, małym lub średnim przedsiębiorstwem jest takie, które spełnia naraz dwa warunki. Takimi, nazwijmy ich mniejszymi przedsiębiorcami, są ci, którzy: zatrudniają mniej niż 250 pracowników i ich roczny obrót netto ze sprzedaży o równowartości w złotych 50 milionów euro (dla tego drugiego warunku można przyjąć zamiennie sumę aktywów jego bilansu nieprzekraczającą równowartości w złotych 43 milionów euro).

Specjalne traktowanie

Wśród celów ustanowienia RODO jest zagwarantowanie podmiotom gospodarczym pewności prawa i jego przejrzystości w zakresie ochrony danych osobowych. Rozporządzenie wskazuje przy tym mniejszych przedsiębiorców jako grupę, którą należy traktować specjalnie przy spełnianiu tych gwarancji. Oznacza to, że przedsiębiorcy nie powinni być zaskakiwani żadnymi wymaganiami bez stosownego czasu na przygotowanie się do nich. Również stanowienie i stosowanie prawa chroniącego dane osobowe powinno uwzględniać możliwości mniejszych firm.

Mniejsi przedsiębiorcy – wszyscy zatrudniający mniej niż 250 pracowników będą zwolnieni także z rejestrowania czynności przetwarzania danych. To nowe pojęcie w ochronie danych osobowych, związane z prowadzeniem odrębnego rejestru. Przybiera on formę pisemną, w tym elektroniczną. Wyłączenie co do prowadzenia rejestru obowiązuje jednak tylko wtedy, gdy nie są to dane osobowe wrażliwe. W kategorii danych wrażliwych są między innymi dane co do pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub związkowych, dane genetyczne czy zdrowotne.

Kodeksy postępowania

Kolejnym wskazaniem płynącym z omawianej nowej regulacji jest, by administracja publiczna odpowiedzialna za przestrzeganie RODO – głównie Generalny Inspektor Danych Osobowych (GIODO) – uwzględniała szczególną pozycję mniejszych przedsiębiorców. Oznaczać to powinno łagodniejsze podejście przy egzekwowaniu obszernych, trudnych i kosztownych wymagań ochrony danych osobowych oraz więcej czasu na dostosowanie się do nich. Rozporządzenie zawiera również zalecenie, by zrzeszenia, między innymi przedsiębiorców, opracowywały kodeksy postępowania dotyczące ochrony danych osobowych, z uwzględnieniem potrzeb mniejszych firm. Mają one w zasadzie odnosić się do wszystkich najistotniejszych zagadnień związanych z ochroną danych osobowych. Siłą rzeczy kodeksy te będą miały w istotnej części charakter bardziej opisowy – poprzez wskazanie celów do osiągnięcia. Przy wielkiej różnorodności stosowanych środków zabezpieczeń danych osobowych nie sposób wskazać wszystkich zasad. Zwłaszcza więc izby gospodarcze oraz organizacje pracodawców, zrzeszające mniejszych przedsiębiorców, powinny mocno skupić się na opracowaniu takich kodeksów postępowania, a ich członkowie wymagać, by opracowały one takie kodeksy na dobrym poziomie, tak by zyskały akceptację GIODO (która jest niezbędna).

Rozporządzenie wprowadza także możliwość certyfikowania oraz uzyskiwania znaków jakości i oznaczeń w zakresie danych osobowych. Nikt dzisiaj nie wie jaką postać one przybiorą. Ale także ich pozyskiwanie powinno – zgodnie z rozporządzeniem – uwzględniać szczególne potrzeby mniejszych przedsiębiorców.

Nowa ustawa wprowadzi wiele obowiązków. Już teraz mniejsi przedsiębiorcy powinni przygotować swoje firmy do spełnienia odpowiednich wymogów prawnych. Na pewno przydatną pomocą będzie wsparcie specjalistów od danych osobowych, co pozwoli na podjęcie istotnych kwestii prawno-organizacyjnych, a zarazem wdroży rozwiązania dopasowane do możliwości małych i średnich przedsiębiorstw.

Zdaniem autora

Rafał Kania, radca prawny z Kancelarii SENDERO Tax & Legal

Nowe rozporządzenie UE o ochronie danych (RODO) nakłada na organ nadzorczy obowiązek prowadzenia działań uświadamiających, zwłaszcza o charakterze edukacyjnym, w tym kierowanych specjalnie do mniejszych przedsiębiorców. Organem nadzorczym na dziś jest GIODO. Kto wie, czy wejście w życie RODO nie spowoduje też istotnych zmian w zakresie tej instytucji. Idea taka pojawia się w dyskusjach nad rozporządzeniem unijnym. Dużą część kompetencji wykonawczych związanych ze stosowaniem RODO powierzono Komisji Europejskiej. W swym działaniu powinna ona także uwzględniać specyficzną sytuację mniejszych przedsiębiorców. Nie sposób wymienić wszystkich kompetencji Komisji w stosowaniu RODO. Na pewno warto wskazać, że Komisja będzie przygotowywała lub akceptowała wzorcowe dokumenty dotyczące przetwarzania danych osobowych. I należy mieć przy tym nadzieję, że będzie pamiętać o rzeczywistych możliwościach mniejszych firm w zakresie ochrony danych osobowych, by nie tworzyć takich standardów, które mogą spełnić tylko wielkie, zasobne korporacje.