Jak zrealizować obowiązek informacyjny RODO mikroprzedsiębiorców

Na czym polega uproszczenie? Otóż mikroprzedsiębiorca może zrealizować obowiązek informacyjny względem konsumentów poprzez:

• wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub
• udostępnienie na swojej stronie internetowej stosownych informacji.

Ustawa wdrażająca RODO w odróżnieniu od ogólnego rozporządzenia o ochronie danych wprost wskazuje więc sposoby przekazania klauzuli informacyjnej RODO.

• wywieszając klauzulę informacyjną RODO np. w poczekalni.
• opublikować ją na swojej stronie internetowej lub na firmowym profilu na Facebooku bądź innym portalu społecznościowym, z którego korzystają jego klienci (warto umieścić łącze do klauzuli w miejscu, w którym znajduje się formularz zapisu).

Aby skorzystać z udogodnień wprowadzonych ustawą wdrażającą, należy zapewnić podmiotom danych możliwość zapoznania się z informacjami z art. 13 RODO. Wymóg ten jest w istocie potwierdzeniem obowiązku z art. 12 RODO.

Jak wskazano w uzasadnieniu projektu ustawy wdrażającej RODO: „Warunkiem uznania ww. obowiązków informacyjnych za spełnione jest jednocześnie to, że osoba fizyczna, której dane dotyczą, będzie miała faktyczną możliwość zapoznania się z ww. informacjami.”

Co istotne, udogodnienia w zakresie realizacji obowiązku informacyjnego RODO dotyczą wyłącznie przypadku pozyskiwania danych osobowych bezpośrednio od osób, których te dane dotyczą, czyli według art. 13 ogólnego rozporządzenia o ochronie danych.

Jeśli mikro firma pozyskuje dane osobowe z innego źródła niż od podmiotów danych, wówczas uproszczone wykonanie obowiązku informacyjnego np. przez wywieszenie stosownych informacji w lokalu przedsiębiorstwa może zostać uznane za niewystarczające.

Nowe rozwiązanie nie dotyczy umów zawieranych pomiędzy przedsiębiorcami. W takim przypadku mikroprzedsiębiorca musi wypełniać obowiązek informacyjny na ogólnych zasadach.

To nie wszystko. Ułatwienia w zakresie realizacji obowiązku informacyjnego nie obejmują niektórych umów, nawet jeśli są one zawierane z konsumentami. Wyłączone zostały tu umowy wskazane w art. 3 i 4 ustawy o prawach konsumenta m.in. umowy dotyczące usług finansowych, niezależnie od tego czy są zawierane poza lokalem przedsiębiorstwa lub na odległość czy też nie). Dotyczy to zwłaszcza następujących usług:

• czynności bankowe,
• umowy kredytu konsumenckiego,
• czynności ubezpieczeniowe,
• umowy nabycia lub odkupienia jednostek uczestnictwa funduszu inwestycyjnego otwartego albo specjalistycznego funduszu inwestycyjnego otwartego,
• umowy nabycia lub objęcia certyfikatów inwestycyjnych funduszu inwestycyjnego zamkniętego,
• usługi płatnicze.

Z ułatwienia nie skorzysta również mikroprzedsiębiorca, który:

• przetwarza dane szczególnej kategorii (wrażliwe),
• udostępnia dane szczególnej kategorii innym administratorom, z wyjątkiem przypadku gdy osoba, której dane dotyczą, wyraziła zgodę na udostępnienie swoich danych albo udostępnienie danych jest niezbędne do wypełnienia obowiązku ciążącego na administratorze.

Zgodnie z art. 9 RODOdane szczególnej kategorii (dane wrażliwe) to dane ujawniające:

• pochodzenie rasowe lub etniczne,
• poglądy polityczne,
• przekonania religijne lub światopoglądowe,
• przynależność do związków zawodowych
• dane genetyczne,
• dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej,
• dane dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby (art. 9 ust. 1 RODO).

W ramach udogodnień dla mikro firm nie zmienia się natomiast zakres informacji, jaki powinien zostać przekazany osobie, od której pozyskano dane. Klauzula informacyjna sporządzana przez mikroprzedsiębiorcę dla swojego konsumenta musi zawierać:

• tożsamość i dane kontaktowe administratora danych osobowych oraz (gdy ma to zastosowanie) tożsamość i dane kontaktowe przedstawiciela ADO,
• dane kontaktowe inspektora ochrony danych (gdy ma to zastosowanie),
• cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
• prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią (jeżeli dane są przetwarzane na zasadzie art. 6 ust. 1 lit. f RODO),
• informacje o odbiorcach danych osobowych lub o kategoriach odbiorców (jeżeli istnieją)
• informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych (gdy ma to zastosowanie),
• okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
• informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
• jeżeli przetwarzanie odbywa się na podstawie zgody podmiotu danych – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
• informacje o prawie wniesienia skargi do organu nadzorczego (Prezesa UODO),
• informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
• informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz (przynajmniej w tych przypadkach) istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą (art. 13 ust. 1 i 2 RODO).

Pobierz wzór klauzuli informacyjnej:

• dla klientów sklepu internetowego,
• dla klientów kancelarii adwokackiej lub radcy prawnego,
• dla administratora zbierającego dane osobowe w Internecie (np. sprzedawcy towarów),
• dla uczestników szkolenia online,
• dla youtubera,
• w gabinecie weterynaryjnym,
• w związku z usługą wynajmu samochodów,
• w związku z korzystaniem z komunikatora społecznościowego,
• dla użytkownika aplikacji mobilnej

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. L Nr 119 z 27.4.2016 r., 1) – art. 13, art. 14,
• Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. z 2019 r. poz. 730) – art. 126,
• Ustawa z dnia 30 maja 2014 r. o prawach konsumenta (tekst jedn.: Dz.U. z 2023 r. poz. 2759 ze zm.) – art. 4a,
• Ustawa z dnia 6 marca 2018 r. - Prawo przedsiębiorców (tekst jedn.: Dz.U. z 2024 r. poz. 336 ze zm.) – art. 7 ust. 1 pkt 1.