Przepisy RODO nakładają na przedsiębiorców wiele nowych obowiązków, co wywołuje niepokój zwłaszcza wśród właścicieli małych i średnich firm, które inwestują w szkolenia z ochrony danych osobowych oraz obawiają się wysokich kar za naruszenie przepisów. Jakie konsekwencje dla najmniejszych przedsiębiorstw wywoła wejście w życie unijnych regulacji? Czy sektor MŚP będzie zobowiązany do stosowania wszystkich przepisów RODO?
Obowiązki informacyjne
Jeszcze kilka tygodni temu Ministerstwo Cyfryzacji pracowało nad projektem ustawy, która miała wyłączyć sektor małych i średnich przedsiębiorstw, czyli firm zatrudniających do 250 pracowników, z obowiązku stosowania przepisów RODO w zakresie informowania osób, których dane są przetwarzane. Chodziło o art. 13 Rozporządzenia, w którym zostały wyszczególnione informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą. Zwolnienie małych i średnich przedsiębiorstw z obowiązku informacyjnego mogłoby w praktyce oznaczać naruszenie ochrony konsumentów.
Ostatecznie z pomysłu wycofano się. Oznacza to, że firmy zatrudniające do 250 osób, które de facto stanowią aż 99,8% polskich przedsiębiorstw, będą objęte obowiązkiem informowania osób, od których pozyskują dane o celu ich przetwarzania, podstawie prawnej, a także o tym, kto jest ich administratorem. Jednocześnie podmioty, które nie przetwarzają danych wrażliwych oraz nie udostępniają danych innym podmiotom, będą wyłączone z obowiązku informowania m.in. o prawie do żądania dostępu do danych osobowych, ich sprostowania i usunięcia (art. 13 ust. 2). Uprawnienia te będą w dalszym ciągu przysługiwać klientom.
Rejestr naruszeń i obowiązek notyfikacyjny
RODO wprowadza na właścicieli przedsiębiorstw również inne obowiązki. Przepisy zakładają między innymi konieczność prowadzenia w firmach tzw. rejestru czynności przetwarzania, w którym podmioty będą gromadzić informacje o celach, dla jakich dane są przetwarzane. Kolejną zmianą jest wprowadzenie rejestru naruszeń bezpieczeństwa danych osobowych. Nowe regulacje nakazują przedsiębiorcom poinformowanie organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych (PUODO) o naruszeniu przetwarzania danych osobowych nie później niż w terminie 72 godzin od wykrycia naruszenia. Tzw. obowiązek notyfikacyjny wprowadza art. 33 RODO.
Kary za naruszenie przepisów
Sektor MŚP szczególnie obawia się sankcji, które po wejściu w życie nowych przepisów będzie mógł nakładać PUODO. Naruszenie norm regulujących ochronę danych osobowych będzie groziło karami w wysokości do 20 milionów euro lub 4% rocznego obrotu firmy. Eksperci uspokajają jednak – małe i średnie przedsiębiorstwa raczej nie muszą obawiać się tak wysokich sankcji, niemniej należy pamiętać, że wszystkie podmioty przetwarzające informacje będą zobowiązane do przestrzegania przepisów o ochronie danych osobowych. Wiele firm inwestuje w szkolenia z ochrony danych osobowych, żeby przygotować się na wejście w życie nowych przepisów.