RODO – prawo dostosowane do wielkości przedsiębiorstwa?

dane osobowe rodo

Zmiany w zakresie ochrony danych osobowych, które zaczną obowiązywać już za kilka dni, dotyczą wszystkich firm. Europejskie rozporządzenie o ochronie danych osobowych (RODO) w końcu zauważa małe, średnie oraz mikro-przedsiębiorstwa, które mogą liczyć na pewne ułatwienia w tym zakresie. Dzięki ewolucji prawnej, to po stronie przedstawicieli sektora MŚP będzie leżało dobranie odpowiednich środków, które zapewnią zgodne z prawem i bezpieczne przetwarzanie danych osobowych w ramach prowadzonej przez nich działalności gospodarczej. RODO narzuca administratorom danych jedynie cel, który ma zostać osiągnięty – w postaci zapewnienia odpowiedniego poziomu ochrony danych osobowych – a to, jak ten wymóg zostanie przez nich spełniony, w żaden sposób nie stanowi przedmiotu regulacji nowych przepisów.

Takie same wymagania wobec wszystkich

Dotychczasowe prawo nakładało takie same wymagania w zakresie ochrony danych osobowych zarówno na osoby fizyczne prowadzące działalność gospodarczą, jak i na duże międzynarodowe korporacje. Skutkowało to tym, że większość małych podmiotów tylko w znikomym stopniu stosowała się do przepisów, gdyż wymagało to dużych nakładów pracy i nierzadko także przeznaczenia na ten cel sporych środków finansowych.

Doskonałym przykładem jest agent ubezpieczeniowy. Działa on jako osoba fizyczna, prowadząca jednoosobową działalność gospodarczą, ale zgodnie z dotychczas obowiązującymi przepisami musiał sam dla siebie przygotować politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych – mówi Agata Kłodzińska, specjalista ds. ochrony danych osobowych, ODO 24. Dla jednej osoby było to nie lada wyzwanie – często nie do końca racjonalne. W ocenie unijnego ustawodawcy istotna jest ochrona sektora MŚP, który jest motorem polskiej gospodarki. Dlatego dokonuje jej poprzez nienakładanie zbędnych obciążeń regulacyjnych, nieproporcjonalnych do wielkości prowadzonych działalności – dodaje.

Ułatwienia dla MŚP

Rozporządzenie zmienia ten stan rzeczy: i tak, przykładowo, organizacje, które co prawda przetwarzają tzw. dane „wrażliwe”, ale nie robią tego na dużą skalę, nie będą musiały powoływać inspektora ochrony danych. Co więcej, rejestrowania czynności przetwarzania nie będą dokonywać podmioty, które zatrudniają mniej niż 250 osób i spełniają warunki określone w art. 30 ust. 5 Rozporządzenia, a grupa przedsiębiorstw będzie mogła powołać jednego inspektora ochrony danych osobowych – o ile będzie można z nim łatwo nawiązać kontakt z każdej jednostki organizacyjnej.

W preambule RODO, w motywie 13, podkreślono, że: aby zapewnić spójny poziom ochrony osób fizycznych w Unii oraz zapobiegać rozbieżnościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym, należy przyjąć rozporządzenie, które zagwarantuje podmiotom gospodarczym – w tym mikroprzedsiębiorcom oraz małym i średnim przedsiębiorstwom – pewność prawa i przejrzystość (…).

Każdy przedsiębiorca będzie zobowiązany do poinformowania osób, których dane dotyczą, m.in. o celu i podstawie prawnej ich przetwarzania. Ponadto pełne zastosowanie znajdzie art. 33 RODO. Firmy będą zobowiązane do poinformowania Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu ochrony danych osobowych, jeżeli powoduje ono ryzyko naruszenia praw lub wolności osób fizycznych.

Obowiązki przedsiębiorców w zakresie ochrony danych osobowych będą zależeć od rodzaju i skali przetwarzania, a nie od formy organizacji. Dobrym kierunkiem jest też danie przedsiębiorcy dowolności w przedmiocie doboru odpowiednich środków, które zapewnią bezpieczne przetwarzanie danych osobowych w ramach prowadzonej przez niego działalności – podsumowuje Agata Kłodzińska, ODO 24.