Nie ma wyjątków. RODO nakłada na wszystkie firmy jednakowe obowiązki w zakresie ochrony danych osobowych. Czy to międzynarodowa korporacja, czy działający jednoosobowo przedsiębiorca – wszyscy muszą przestrzegać tych samych regulacji. Co nie znaczy jednak, że wszyscy muszą stosować takie same rozwiązania. Elastyczna formuła unijnego rozporządzenia umożliwia dopasowanie wykorzystywanych zabezpieczeń do specyfiki i warunków działania konkretnego przedsiębiorstwa. W efekcie mali nie muszą robić tego samego co duzi, aby pozostać w zgodzie z przepisami.

Oczywiście byłoby prościej i łatwiej, gdyby sektor MŚP został ustawowo potraktowany inaczej niż duże firmy. Na początku prac nad RODO w UE były nawet plany zastosowania zwolnień od niektórych wymogów dla przedsiębiorstw zatrudniających do 250 pracowników. Ostatecznie jednak unijny ustawodawca z nich zrezygnował.

Co prawda ostało się jedno wyłączenie, ale jest sformułowane w ten sposób, że w zasadzie nie ma firmy, która mogłaby z niego skorzystać – mówi dr Paweł Litwiński, adwokat, wspólnik w kancelarii radców prawnych i adwokatów Barta Litwiński.

Chodzi o art. 30, który nakłada obowiązek prowadzenia tzw. rejestru czynności przetwarzania danych. Tego obowiązku nie mają firmy zatrudniające mniej niż 250 osób. Wystarczy jednak, że choćby jeden z pracowników będzie musiał wykonać badania wstępne albo przyniesie zwolnienie lekarskie i już jego pracodawca nie będzie mógł z tego wyłączenia skorzystać. 

Nie udało się też, mimo propozycji ówczesnego Ministerstwa Rozwoju, zapisać zwolnień dla MŚP w polskiej ustawie o ochronie danych osobowych regulującej stosowanie RODO w Polsce. Żadne wyłączenie brane pod uwagę podczas prac nad projektem ustawy nie weszło do uchwalonej 10 maja 2018 i obowiązującej obecnie wersji. Wprowadzenie ulg dla sektora MŚP nie udało się zresztą w żadnym państwie Unii Europejskiej, chociaż wiele z nich takie próby podejmowało.