Jesteś mikroprzedsiębiorcą? Sprawdź jak wypełnić obowiązek informacyjny według nowych przepisów
W założeniu tzw. nowa ustawa wdrażająca RODO ma wprowadzać udogodnienia dla wielu administratorów danych osobowych. Jedno z ułatwień dotyczy sposobu wykonywania obowiązku informacyjnego przez mikroprzedsiębiorców względem konsumentów. Jak bowiem wskazano w uzasadnieniu projektu ustawy: „Proponowana regulacja pozwoli zoptymalizować poziom dolegliwości i problemy praktyczne wynikające z obciążeń nakładanych przez RODO na mikroprzedsiębioców, przy jednoczesnym zapewnieniu należytej ochrony podmiotom danych.” Masz status mikroprzedsiębiorcy? Sprawdź, jak stosować nowe rozwiązania.
W temacie tygodnia znajdziesz odpowiedzi m.in. na następujące pytania:
- kto posiada stopień mikroprzedsiębiorcy,
- na czym polega udogodnienie dla mikroprzedsiębiorców,
- jakie umowy nie zostały objęte nowym rozwiązaniem,
- kiedy skorzystanie z nowego rozwiązania może okazać się niewystarczające.
Mikroprzedsiębiorcom powinno być łatwiej …
Celem tzw. ustawy wdrażającej RODO (ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE) było wprowadzenie ułatwień w realizacji obowiązków wynikających z RODO. Ułatwienia takie przewidziano – w zakresie realizacji obowiązku informacyjnego – dla mikroprzedsiębiorców.
Kim jest mikroprzedsiębiorca? To przedsiębiorca, który w co najmniej jednym roku z dwóch ostatnich lat obrotowych spełniał łącznie następujące warunki:
- zatrudniał średniorocznie mniej niż 10 pracowników oraz
- osiągnął roczny obrót netto ze sprzedaży towarów, wyrobów i usług oraz z operacji finansowych nieprzekraczający równowartości w złotych 2 milionów euro, lub sumy aktywów jego bilansu sporządzonego na koniec jednego z tych lat nie przekroczyły równowartości w złotych 2 milionów euro (art. 7 ust. 1 pkt 1 Prawa przedsiębiorców).
Na czym polega uproszczenie? Otóż mikroprzedsiębiorca może zrealizować obowiązek informacyjny względem konsumentów poprzez:
- wywieszenie stosownych informacji w widocznym miejscu w lokalu przedsiębiorstwa lub
- udostępnienie tych informacji na swojej stronie internetowej.
Przedsiębiorca prowadzi salon kosmetyczny, w którym nie zatrudnia pracowników. Świadcząc usługi kosmetyczne, przetwarza dane osobowe klientów (imię, nazwisko, numer telefonu) w związku z zapisami telefonicznymi i internetowymi. Jego roczny obrót netto oscyluje wokół kwoty 100 tys. zł. Jako mikroprzedsiębiorca może wywiesić klauzulę informacyjną np. w poczekalni albo zamieścić ją na swojej stronie internetowej (warto umieścić odnośnik do klauzuli w miejscu, w którym znajduje się formularz zapisu). Za stronę internetową należy również uznać oficjalny profil firmy na portalu społecznościowym.
… ale nie w każdym przypadku
Czy ułatwienie dotyczy każdego przypadku? Otóż nie. Przede wszystkim obejmuje wyłącznie przypadki pozyskiwania danych osobowych bezpośrednio od osób, których te dane dotyczą.
Jeśli pozyskujesz dane osobowe od innych osób niż te, których te dane dotyczą, zważ, że uproszczone wykonanie obowiązku informacyjnego np. przez wywieszenie stosownych informacji w lokalu przedsiębiorstwa może zostać uznane za niewystarczające.
Nowe rozwiązanie nie dotyczy umów zawieranych pomiędzy przedsiębiorcami.
Mikroprzedsiębiorca świadczy usługi polegające na tworzeniu i naprawie instrumentów muzycznych. W swym warsztacie nie przyjmuje klientów – kontakty z nimi (w tym zamówienia) mają miejsce drogą telefoniczną lub poprzez oficjalny profil przedsiębiorcy na popularnym portalu społecznościowym. Na tym portalu znajduje się również klauzula informacyjna. O ile w przypadku, gdy przedsiębiorca wykonuje usługę na rzecz konsumenta, w zupełności wystarczająca będzie publikacja klauzuli w dostępnym miejscu na portalu społecznościowym, o tyle może okazać się to niewystarczające w przypadku umów zawieranych z przedsiębiorcami (np. firmą, która świadczy usługi w postaci terapii dźwiękiem i w związku z tym kupuje od przedsiębiorcy instrumenty), w szczególności w przypadku, gdy ta firma dokonuje zamówienia telefonicznego (nie wchodząc w związku z tym zamówieniem na profil przedsiębiorcy na portalu społecznościowym), a przedsiębiorca przetwarza dane osobowe przedstawicieli tej firmy, takie jak imiona i nazwiska, numer telefonu ewentualnie adres poczty elektronicznej.
Ustawodawca wykluczył niektóre umowy
Poza tym udogodnienie to nie obejmuje wszystkich umów zawieranych z konsumentami. Wyłączono tu bowiem umowy wskazane w art. 3 i 4 ustawy o prawach konsumenta m.in. umowy dotyczące usług finansowych (niezależnie od tego czy są zawierane na odległość czy też nie), w szczególności takich jak:
- czynności bankowe,
- umowy kredytu konsumenckiego,
- czynności ubezpieczeniowe,
- umowy nabycia lub odkupienia jednostek uczestnictwa funduszu inwestycyjnego otwartego albo specjalistycznego funduszu inwestycyjnego otwartego
- umowy nabycia lub objęcia certyfikatów inwestycyjnych funduszu inwestycyjnego zamkniętego,
- usługi płatnicze.
Przetwarzasz dane wrażliwe? Nie skorzystasz z ułatwienia
Z ułatwienia nie skorzysta również mikroprzedsiębiorca, który:
- przetwarza dane szczególnej kategorii,
- udostępnia dane szczególnej kategorii innym administratorom, z wyjątkiem przypadku gdy osoba, której dane dotyczą, wyraziła zgodę na udostępnienie swoich danych albo udostępnienie danych jest niezbędne do wypełnienia obowiązku ciążącego na administratorze.
Przypomnijmy – dane szczególnej kategorii (dane wrażliwe) to dane ujawniające:
- pochodzenie rasowe lub etniczne,
- poglądy polityczne,
- przekonania religijne lub światopoglądowe,
- przynależność do związków zawodowych
- dane genetyczne,
- dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej,
- dane dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby (art. 9 ust. 1 RODO).
Warunkiem możliwość zapoznania się z klauzulą
Nie można także stosować nowego rozwiązania, jeśli podmiot danych nie ma możliwości zapoznania się z informacjami, o których mowa w art. 13 RODO. Jak bowiem wskazano w uzasadnieniu projektu ustawy wdrażającej RODO: „Warunkiem uznania ww. obowiązków informacyjnych za spełnione jest jednocześnie to, że osoba fizyczna, której dane dotyczą, będzie miała faktyczną możliwość zapoznania się z ww. informacjami.”
Umieszczenie ogłoszenia zawierającego klauzulę informacyjną w miejscu niedostępnym dla podmiotów danych np. na zapleczu salonu kosmetycznego wyklucza uznanie, że administrator będący mikroprzedsiębiorcą spełnił obowiązek informacyjny.
Zakres informacji bez zmian
Nie zmienił się natomiast zakres informacji, jaki powinien zostać przekazany osobie, od której pozyskano dane (które zresztą tej osoby dotyczą). Niezależnie od sposobu realizacji obowiązku informacyjnego należy przekazać jej następujące treści:
- tożsamość i dane kontaktowe administratora danych osobowych oraz (gdy ma to zastosowanie) tożsamość i dane kontaktowe przedstawiciela ADO,
- dane kontaktowe inspektora ochrony danych (gdy ma to zastosowanie),
- cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
- prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią (jeżeli dane są przetwarzane na zasadzie art. 6 ust. 1 lit. f RODO),
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców (jeżeli istnieją)
- informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych (gdy ma to zastosowanie),
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- jeżeli przetwarzanie odbywa się na podstawie zgody podmiotu danych – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- informacje o prawie wniesienia skargi do organu nadzorczego (Prezesa UODO),
- informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz (przynajmniej w tych przypadkach) istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą (art. 13 ust. 1 i 2 RODO).
- RODO na YouTube - ochrona danych osobowych jako obowiązek youtubera
- RODO a KZP - zasady przetwarzania danych osobowych w kasie zapomogowo-pożyczkowej
- RODO w marketingu - ochrona danych osobowych przetwarzanych w celach marketingowych
- Dane osobowe sygnalistów a RODO - w nowym projekcie ustawy
- Prawo do sprostowania danych osobowych zgodnie z RODO musi być realizowane niezwłocznie
- Dane osobowe sygnalistów a RODO - w nowym projekcie ustawy
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
