Nie ma wyjątków. RODO nakłada na wszystkie firmy jednakowe obowiązki w zakresie ochrony danych osobowych. Czy to międzynarodowa korporacja, czy działający jednoosobowo przedsiębiorca – wszyscy muszą przestrzegać tych samych regulacji. Co nie znaczy jednak, że wszyscy muszą stosować takie same rozwiązania. Elastyczna formuła unijnego rozporządzenia umożliwia dopasowanie wykorzystywanych zabezpieczeń do specyfiki i warunków działania konkretnego przedsiębiorstwa. W efekcie mali nie muszą robić tego samego co duzi, aby pozostać w zgodzie z przepisami.

Oczywiście byłoby prościej i łatwiej, gdyby sektor MŚP został ustawowo potraktowany inaczej niż duże firmy. Na początku prac nad RODO w UE były nawet plany zastosowania zwolnień od niektórych wymogów dla przedsiębiorstw zatrudniających do 250 pracowników. Ostatecznie jednak unijny ustawodawca z nich zrezygnował.

Co prawda ostało się jedno wyłączenie, ale jest sformułowane w ten sposób, że w zasadzie nie ma firmy, która mogłaby z niego skorzystać – mówi dr Paweł Litwiński, adwokat, wspólnik w kancelarii radców prawnych i adwokatów Barta Litwiński.

Chodzi o art. 30, który nakłada obowiązek prowadzenia tzw. rejestru czynności przetwarzania danych. Tego obowiązku nie mają firmy zatrudniające mniej niż 250 osób. Wystarczy jednak, że choćby jeden z pracowników będzie musiał wykonać badania wstępne albo przyniesie zwolnienie lekarskie i już jego pracodawca nie będzie mógł z tego wyłączenia skorzystać.

Nie udało się też, mimo propozycji ówczesnego Ministerstwa Rozwoju, zapisać zwolnień dla MŚP w polskiej ustawie o ochronie danych osobowych regulującej stosowanie RODO w Polsce. Żadne wyłączenie brane pod uwagę podczas prac nad projektem ustawy nie weszło do uchwalonej 10 maja 2018 i obowiązującej obecnie wersji. Wprowadzenie ulg dla sektora MŚP nie udało się zresztą w żadnym państwie Unii Europejskiej, chociaż wiele z nich takie próby podejmowało.

 

dr Paweł Litwiński

adwokat, wspólnik w kancelarii radców prawnych i adwokatów Barta Litwiński

W rozwiązaniu problemów MŚP pomógłby czytelny poradnik, napisany prostym, zrozumiałym językiem. Przedsiębiorcy potrzebują wiedzy zero-jedynkowej. Dobrym przykładem jest „Dekalog rekrutera” opracowany jeszcze przez GIODO. Takich poradników potrzeba jednak zdecydowanie więcej. Przydałby się także prosty program komputerowy, który pozwoliłby przedsiębiorcom łatwo, za pomocą „przeklikania” kilku punktów, ocenić ryzyko. Dostępne obecnie metody analizy zagrożeń są bardzo skomplikowane, nie do zastosowania w małych czy nawet średnich firmach. To zatem obszar do zagospodarowania. Może jakaś firma, korzystając z funduszy unijnych, mogłaby taki program napisać.