Czy RODO dotyczy mikro i małych firm?

Prowadzisz małą lub średnią firmę? Zatrudniasz mniej niż 250 pracowników? Pewnie myślisz, że RODO Cię ominie. Niestety, nie mam dla Ciebie dobrych informacji. Owszem, mikroprzedsiębiorstwa, małe i średnie firmy będą specjalnie traktowane, jednak by skorzystać z przywilejów muszą spełnić kilka warunków.

Skąd to zamieszanie? RODO obowiązuje w całej UE

W styczniu 2018 r. polskie media obiegła informacja, według której Ministerstwo Rozwoju oraz Ministerstwo Cyfryzacji chcą wprowadzić zmiany w stosunku do RODO dla MŚP. Zmiany miałyby znosić obowiązek informowania klientów o tym, na jakich zasadach przetwarzają dane osobowe. W myśl propozycji, mikrofirmy, małe i średnie przedsiębiorstwa nie musiałyby wskazywać, kto jest administratorem danych, po co zostały zebrane, jak długo będą przechowywane, a nawet informować o ich wycieku.

Zaproponowany projekt liberalizacji prawa, który mógłby narazić nasz kraj na reperkusje ze strony UE, został zduszony w zarodku. Ministerstwa Cyfryzacji oraz Przedsiębiorczości i Technologii oświadczyły, że „każdy przedsiębiorca będzie natomiast zobowiązany do poinformowania osób, których dane będą przetwarzane (na etapie ich gromadzenia), o swoich danych, celu i podstawie prawnej przetwarzania danych oraz danych kontaktowych inspektora ochrony danych (o ile takiego posiada)” (źródło: https://www.gov.pl/).

Przywileje dla MŚP

Przywileje dla MŚP miałyby dotyczyć przede wszystkim obowiązków informacyjnych (art. 13 ust. 2 RODO). Propozycja zmian w projekcie ustawy, jeśli zostanie zatwierdzona przez Sejm, wpłynie jedynie na firmy liczące mniej niż 250 osób, nie przetwarzające danych wrażliwych i nie udostępniające danych innym podmiotom. Jeśli firma spełni powyższe warunki, otrzyma kilka udogodnień. Nie będzie musiała informować klientów o prawie do:

  • żądania dostępu do danych osobowych,
  • sprostowania danych osobowych,
  • usunięcia danych osobowych,
  • ograniczenia przetwarzania,
  • wniesienia sprzeciwu przeciwko przetwarzaniu.

Nie oznacza to jednak, że te prawa przestaną przysługiwać obywatelom. Wręcz przeciwnie. Średnie, małe przedsiębiorstwa oraz mikroprzedsiębiorstwa, podobnie jak te liczące więcej niż 250 osób, będą musiały przestrzegać szeregu obowiązków związanych z ochroną danych osobowych.

Jakie obowiązki dotyczyć będą sektora MŚP?

Najogólniej, wszystkie definiowane przez RODO. W odniesieniu do powyższej propozycji, MŚP, podobnie jak każde inne przedsiębiorstwa, muszą:

  • w trakcie gromadzenia danych poinformować osoby, których dane będą przetwarzane o swoich danych,
  • podać cel i podstawę prawną przetwarzania danych,
  • wskazać kontakt do IOD (jeśli w firmie istnieje),
  • w przypadku naruszenia, poinformować o tym Prezesa Urzędu Ochrony Danych Osobowych.

Czy MŚP powinny czekać na decyzję w sprawie zmian?

Propozycja zmian, o ile zostanie zatwierdzona przez Sejm, nie może hamować sektora MŚP  przed wdrożeniem RODO. Udogodnienia mają dotyczyć jedynie obowiązków informacyjnych (art. 13 ust. 2 RODO) – proponowane zmiany nie wpłyną na pozostałe wymogi Rozporządzenia. Nie można przy tym zapominać o warunkach, jakie firmy będą musiały spełnić, by “załapać” się na ewentualne zmiany.

Jak przygotowany jest sektor MŚP do RODO?

Stan przygotowania polskich przedsiębiorstw na RODO można określić w kilku słowach – im mniejsza firma, tym gorzej. Według badania z końca ubiegłego roku przeprowadzonego dla GIODO przez Kantar Public, przedsiębiorcy, owszem, wiedzą, że niebawem na terenie całej UE zacznie obowiązywać RODO, jednak dokładną datę zna zaledwie 19% badanych. Niewiele więcej, bo 31% badanych, wie dlaczego zostaną wprowadzone nowe regulacje, zaś 28% zna zakres zmian, do których musi się dopasować.

Zaledwie 38% przedsiębiorstw rozpoczęło przygotowania do RODO, 13% deklaruje, że zrobi to w pierwszym kwartale tego roku. Pełny raport dostępny jest tutaj: pobierz raport.

Powiązane artykuły