Krótko i na temat: wśród licznych zmian w prawie wynikających z opublikowanej kilka dni temu ustawie „pogłębiającej wdrożenie” RODO do polskiego systemu prawnego (ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.U. z 2019 r. poz. 730) znajdziemy także przepis pozwalający na uproszczone wykonanie obowiązku informacyjnego RODO przez mikroprzedsiębiorców, którzy w ramach swej działalności przetwarzają dane osobowe swoich klientów.
Chodzi oczywiście o nowelizację ustawy o prawach konsumenta, która wskazuje, iż wykonanie obowiązku udzielenia informacji o zasadach przetwarzania danych osobowych zbieranych bezpośrednio od osób zainteresowanych następować będzie poprzez stronę internetową przedsiębiorcy lub na tabliczce wywieszonej wewnątrz lokalu (art. 4a upk).
art. 4a ustawy o prawach konsumenta
1. Administrator będący przedsiębiorcą, o którym mowa w art. 7 ust. 1 pkt 1 ustawy z dnia 6 marca 2018 r. — Prawo przedsiębiorców, wykonuje obowiązki, o których mowa w art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej „rozporządzeniem 2016/679”, w zakresie umów, o których mowa w rozdziałach 2 i 3, przez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej stosownych informacji.
2. Przepisu ust. 1 nie stosuje się, jeżeli osoba, której dane dotyczą, nie ma możliwości zapoznania się z informacjami, o których mowa w art. 13 rozporządzenia 2016/679.
3. Przepisu ust. 1 nie stosuje się do administratora danych, który:
1) przetwarza dane, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, lub
2) udostępnia dane, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, innym administratorom, z wyjątkiem przypadku gdy:
a) osoba, której dane dotyczą, wyraziła zgodę na udostępnienie swoich danych albo
b) udostępnienie danych jest niezbędne do wypełnienia obowiązku ciążącego na administratorze.
Przekładając z prawniczego na nasze (po części odfiltrowując kosmiczny tytuł pod jakim funkcjonuje RODO — nb. jemu też zawdzięczamy tytuł ustawy) mamy oto następujący stan prawny:
- każdy, kto przetwarza czyjeś dane osobowe ma prawny obowiązek udzielenia mu szeregu informacji o zasadach ich przetwarzania — obowiązek ten wynika wprost z art. 13 RODO (dla jasności: tutaj nowe przepisy nic nie zmieniają, każdy zakład musi udzielać tych informacji co najmniej od jedenastu miesięcy);
- informacje te obejmują m.in. dane o tożsamości administratora danych (czyli firmie przedsiębiorcy, jego adresie, etc.), o celach i podstawie prawnej przetwarzania danych, o odbiorcach danych osobowych, o okresie przechowywania danych, etc. etc.;
- obowiązek informacyjny powinien być wykonany językiem „jasnym i prostym”, w formie „zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej” (art. 12 ust. 1 RODO), nie jest wykluczona forma graficzna (ale chyba tylko jako dodatek ilustracyjny, por. „można opatrzyć”, art. 12 ust. 7 RODO). Wymagane informacje powinny być przekazane podczas pozyskiwania danych osobowych;
- tyle prawo wymaga od 25 maja 2018 r. — nowością wynikającą z art. 4a upk jest pewnego rodzaju ukłon w kierunku mikroprzedsiębiorców (tu właśnie odwołanie do art. 7 ust. 1 pkt 1 pr. przedsiębiorców), którzy będą mogli (a właściwie musieli: „wykonuje obowiązki”) w nieco prostszy sposób informować swych klientów o zasadach przetwarzania danych osobowych — wywieszając informację (np. na tabliczce) w swoim zakładzie, lub udostępniając stosowne informacje na własnej stronie internetowej;
- wyjątek nie będzie dotyczył każdego mikroprzedsiębiorcy — z uproszczonej formy wykonania obowiązku informacyjnego skorzystać mogą wyłącznie tacy, którzy przetwarzają dane „w zakresie” zawieranych i wykonywanych umów (zwracam uwagę, że słowo „zakres” nie jest synonimem pojęcia „celu”, co wcale nie jest bez znaczenia) — zawieranych w firmie, podczas bezpośredniej wizyty klienta, a także poza lokalem (np. podczas wizyty akwizytora lub podczas promocyjnej wycieczki, art. 2 pkt 2 upk);
- tu nachodzi mnie kolejna wątpliwość: czy to oznacza, że e-sklep lub inny serwis internetowy prowadzony przez mikroprzedsiębiorcę (którego działalność oczywiście polega na wykonywaniu umów zawartych na odległość) może ograniczyć się do wykonania obowiązku informacyjnego wyłącznie poprzez udostępnienie polityki prywatności na stronie internetowej?
- pal licho te nieszczęsne „ptaszki” przy zgodzie na przetwarzanie danych osobowych; przetwarzanie danych w celu wykonania umowy jest samo w sobie podstawą do przetwarzania danych (dopóki nie ma tam celu marketingowego, a już zwłaszcza jakiegoś profilowania, nie ma potrzeby zbierania zgód klientów, art. 6 ust. 1 lit. b RODO) — ale przecież nowy art. 4a ust. 1 upk wyraźnie mówi, że uproszczona forma wykonania obowiązku informacyjnego ma zastosowanie jeśli przetwarzanie jest „w zakresie” umów, a nie „w celu” wykonania umów. Co by mogło oznaczać, że nawet przetwarzanie danych w celach marketingowych, które następuje „w zakresie” takiej umowy, jest dopuszczalne bez odrębnej zgody;
- tak czy inaczej przepis umożliwiający uproszczone wykonanie obowiązku informacyjnego nie ma zastosowania, jeśli zainteresowana osoba „nie ma możliwości” zapoznania się z tymi informacjami — słowem: klient, który nie wchodzi do lokalu, nie może być informowany na tabliczce, klient, który nie korzysta ze strony internetowej (bo nie tędy droga), nie może być poinformowany na stronie www;
- i kolejny wyjątek od wyjątku: z ułatwienia nie może skorzystać mikroprzedsiębiorca, który przetwarza szczególne kategorie danych osobowych (m.in. o pochodzeniu rasowym i etnicznym, poglądach politycznych, przekonaniach religijnych, danych genetycznych i biometrycznych, stanu zdrowia) — lub dane te udostępnia innym administratorom, chyba że za zgodą tej osoby, lub też udostępnienie danych jest obowiązkiem administratora (przyznam, że art. 4a ust. 3 pkt 2 upk jest łamigłówką sam w sobie — wszakże żeby udostępniać dane trzeba je przetwarzać (co wyklucza stosowanie uproszczonej formy wykonania obowiązku informacyjnego), ale już udostępnianie danych wrażliwych jest traktowane w sposób bardziej liberalny;
- dla jasności: uproszczenie nie dotyczy danych pozyskiwanych z innych źródeł (art. 14 RODO), ani też stosowania przez pracodawców monitoringu.
Dla przypomnienia: ustawa wdrażająca RODO wchodzi w życie po 14-dniowym vacatio legis, czyli jest tuż-tuż.