W założeniu tzw. nowa ustawa wdrażająca RODO ma wprowadzać udogodnienia dla wielu administratorów danych osobowych. Jedno z ułatwień dotyczy sposobu wykonywania obowiązku informacyjnego przez mikroprzedsiębiorców względem konsumentów. Jak bowiem wskazano w uzasadnieniu projektu ustawy: „Proponowana regulacja pozwoli zoptymalizować poziom dolegliwości i problemy praktyczne wynikające z obciążeń nakładanych przez RODO na mikroprzedsiębioców, przy jednoczesnym zapewnieniu należytej ochrony podmiotom danych.” Masz status mikroprzedsiębiorcy? Sprawdź, jak stosować nowe rozwiązania.
W temacie tygodnia znajdziesz odpowiedzi m.in. na następujące pytania:
Celem tzw. ustawy wdrażającej RODO (ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE) było wprowadzenie ułatwień w realizacji obowiązków wynikających z RODO. Ułatwienia takie przewidziano – w zakresie realizacji obowiązku informacyjnego – dla mikroprzedsiębiorców.
Kim jest mikroprzedsiębiorca? To przedsiębiorca, który w co najmniej jednym roku z dwóch ostatnich lat obrotowych spełniał łącznie następujące warunki:
Na czym polega uproszczenie? Otóż mikroprzedsiębiorca może zrealizować obowiązek informacyjny względem konsumentów poprzez:
Przedsiębiorca prowadzi salon kosmetyczny, w którym nie zatrudnia pracowników. Świadcząc usługi kosmetyczne, przetwarza dane osobowe klientów (imię, nazwisko, numer telefonu) w związku z zapisami telefonicznymi i internetowymi. Jego roczny obrót netto oscyluje wokół kwoty 100 tys. zł. Jako mikroprzedsiębiorca może wywiesić klauzulę informacyjną np. w poczekalni albo zamieścić ją na swojej stronie internetowej (warto umieścić odnośnik do klauzuli w miejscu, w którym znajduje się formularz zapisu). Za stronę internetową należy również uznać oficjalny profil firmy na portalu społecznościowym.
Czy ułatwienie dotyczy każdego przypadku? Otóż nie. Przede wszystkim obejmuje wyłącznie przypadki pozyskiwania danych osobowych bezpośrednio od osób, których te dane dotyczą.
Jeśli pozyskujesz dane osobowe od innych osób niż te, których te dane dotyczą, zważ, że uproszczone wykonanie obowiązku informacyjnego np. przez wywieszenie stosownych informacji w lokalu przedsiębiorstwa może zostać uznane za niewystarczające.
Nowe rozwiązanie nie dotyczy umów zawieranych pomiędzy przedsiębiorcami.
Mikroprzedsiębiorca świadczy usługi polegające na tworzeniu i naprawie instrumentów muzycznych. W swym warsztacie nie przyjmuje klientów – kontakty z nimi (w tym zamówienia) mają miejsce drogą telefoniczną lub poprzez oficjalny profil przedsiębiorcy na popularnym portalu społecznościowym. Na tym portalu znajduje się również klauzula informacyjna. O ile w przypadku, gdy przedsiębiorca wykonuje usługę na rzecz konsumenta, w zupełności wystarczająca będzie publikacja klauzuli w dostępnym miejscu na portalu społecznościowym, o tyle może okazać się to niewystarczające w przypadku umów zawieranych z przedsiębiorcami (np. firmą, która świadczy usługi w postaci terapii dźwiękiem i w związku z tym kupuje od przedsiębiorcy instrumenty), w szczególności w przypadku, gdy ta firma dokonuje zamówienia telefonicznego (nie wchodząc w związku z tym zamówieniem na profil przedsiębiorcy na portalu społecznościowym), a przedsiębiorca przetwarza dane osobowe przedstawicieli tej firmy, takie jak imiona i nazwiska, numer telefonu ewentualnie adres poczty elektronicznej.
Poza tym udogodnienie to nie obejmuje wszystkich umów zawieranych z konsumentami. Wyłączono tu bowiem umowy wskazane w art. 3 i 4 ustawy o prawach konsumenta m.in. umowy dotyczące usług finansowych (niezależnie od tego czy są zawierane na odległość czy też nie), w szczególności takich jak:
Z ułatwienia nie skorzysta również mikroprzedsiębiorca, który:
Przypomnijmy – dane szczególnej kategorii (dane wrażliwe) to dane ujawniające:
Nie można także stosować nowego rozwiązania, jeśli podmiot danych nie ma możliwości zapoznania się z informacjami, o których mowa w art. 13 RODO. Jak bowiem wskazano w uzasadnieniu projektu ustawy wdrażającej RODO: „Warunkiem uznania ww. obowiązków informacyjnych za spełnione jest jednocześnie to, że osoba fizyczna, której dane dotyczą, będzie miała faktyczną możliwość zapoznania się z ww. informacjami.”
Umieszczenie ogłoszenia zawierającego klauzulę informacyjną w miejscu niedostępnym dla podmiotów danych np. na zapleczu salonu kosmetycznego wyklucza uznanie, że administrator będący mikroprzedsiębiorcą spełnił obowiązek informacyjny.
Nie zmienił się natomiast zakres informacji, jaki powinien zostać przekazany osobie, od której pozyskano dane (które zresztą tej osoby dotyczą). Niezależnie od sposobu realizacji obowiązku informacyjnego należy przekazać jej następujące treści:
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
© Portal Poradyodo.pl