Słyszałem, że nie tylko klienci podlegają RODO, ale także pracownicy firm. Ale czy RODO ma zastosowanie do danych reprezentantów spółek kapitałowych oraz indywidualnych przedsiębiorców wpisanych do CEIDG? Czy więc także wobec nich powinienem wypełnić obowiązek informacyjny?
Z motywu nr 14 RODO wynika, że ochrona zapewniana tym aktem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych. RODO nie dotyczy natomiast przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi (czyli tych wpisanych do KRS, np. spółek prawa handlowego), w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. Powyższe dotyczy także reprezentantów osób prawnych (np. członków zarządu spółek kapitałowych).
KE: indywidualny przedsiębiorca to też osoba fizyczna
Co jednak z osobami wpisanymi do CEIDG? Zgodnie z obowiązującą wykładnią dane osób fizycznych prowadzących samodzielną działalność gospodarczą (wpisane do CEIDG) także podlegają ochronie RODO. Komisja Europejska stwierdziła bowiem, że jeżeli w polskim porządku prawnym osoby fizyczne prowadzące indywidualną działalność gospodarczą nie są osobami prawnymi, lecz fizycznymi, czyli nie mają charakteru spółek, to znaczy, że w pełni podlegają przepisom RODO. A skoro tak, to również względem tych indywidualnych przedsiębiorców administrator danych musi wypełnić obowiązek informacyjny, który określony jest w art. 13 ust. 1 i 2 RODO. Przy czym nie jest zobligowany do zrealizowania tego obowiązku informacyjnego w takim zakresie, w jakim indywidualni przedsiębiorcy już posiadają dane wymienione w art. 13 ust. 1 i 2 RODO. Administrator musi im podać wówczas jedynie te brakujące informacje. Wynika to z art. 13 ust. 4 RODO.
O czym trzeba pamiętać
Na czym dokładnie polega ów obowiązek informacyjny? Otóż w świetle art. 13 ust. 1 RODO administrator zobligowany jest podać:
- swoją tożsamość i dane kontaktowe oraz – gdy ma to zastosowanie – tożsamość i dane kontaktowe swojego przedstawiciela;
- gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych (t.j. gdy taki inspektor jest powołany);
- cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
- jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f RODO, należy wskazać prawnie uzasadnione interesy realizowane przez administratora (np. marketing bezpośredni własnych usług i towarów administratora) lub przez stronę trzecią;
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
Przepis art. 13 ust. 2 RODO z kolei stanowi, iż poza informacjami, o których mowa w ust. 1, administrator musi podać:
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu;
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a RODO (czyli osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie danych osobowych w co najmniej jednym określonym celu) lub art. 9 ust. 2 lit. a RODO (czyli osoba, której niżej wymienione szczególne kategorie danych osobowych dotyczą, wyraziła zgodę na ich przetwarzanie w co najmniej jednym określonym celu, chyba że prawo UE lub prawo polskie przewidują, iż osoba ta nie może uchylić zakazu przetwarzania szczególnych kategorii danych osobowych, jak: pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej, lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- informację o prawie wniesienia skargi do organu nadzorczego, czyli do prezesa Urzędu Ochrony Danych Osobowych;
- informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
- gdy ma to zastosowanie – informację o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Kiedy to zrobić
Opisywany obowiązek informacyjny musi być zrealizowany przez administratora podczas pozyskiwania danych osobowych, np. od indywidualnych przedsiębiorców. Informacje powinny być przekazane w sposób zwięzły, przejrzysty (zgodnie z zasadą wymienioną w art. 5 ust. 1 lit. a RODO), zrozumiały, łatwo dostępny, jasnym i prostym językiem, w formie niegenerującej żadnych opłat dla osoby, której ten obowiązek jest udzielany. Informacje przekazuje się na piśmie bądź w inny sposób (np. ustnie albo – gdy jest to stosowane – w postaci elektronicznej). O powyższym stanowi art. 12 ust. 1 i 5 RODO, natomiast o czasie, kiedy należy zrealizować ww. obowiązek informacyjny, stanowi art. 13 ust. 1 RODO. Administrator może zatem wykonać ten obowiązek np. poprzez:
- przesłanie do indywidualnych przedsiębiorców e-maili zawierających treść wymaganą przez art. 13 ust. 1 i 2 RODO albo
- przeczytanie w trakcie przeprowadzanej z klientem rozmowy telefonicznej treść, wcześniej przygotowanego druku, zawierającego wszystkie konieczne informacje (ta rozmowa powinna być nagrana, o czym rozmówca wcześniej musi być uprzedzony) albo
- przedstawienie lub odczytanie druku w trakcie osobistego spotkania (co następnie ci indywidualni przedsiębiorcy powinni potwierdzić, podpisując stosowne oświadczenie i opatrując je datą złożenia tego oświadczenia.
Dowody niezbędne
Na administratorze ciąży obowiązek udowodnienia (oczywiście tylko w razie kontroli), że spełnił on wobec indywidualnych przedsiębiorców określony w art. 13 ust. 1 i 2 RODO obowiązek informacyjny. Wynika to z tzw. zasady rozliczalności, o jakiej stanowi art. 5 ust. 1 lit. a RODO (niektórzy wskazują także art. 5 ust. 2 RODO).
opinia
Tę wątpliwość rozstrzygnęliśmy jednoznacznie z KE
6 grudnia 2016 r. w Ministerstwie Cyfryzacji odbyło się z mojej inicjatywy robocze spotkanie z przedstawicielem Komisji Europejskiej. Jednym z pytań skierowanych do Komisji było, czy w świetle treści motywu 14. RODO, RODO znajduje zastosowanie do osób fizycznych prowadzących działalność gospodarczą będących również przedsiębiorcami. W roboczej notatce ze spotkania widnieje następująca informacja: „Komisja Europejska jest skłonna uznać, że osoby fizyczne prowadzące działalność gospodarczą nie powinny podlegać wyłączeniu z motywu 14 ogólnego rozporządzenia. Komisja Europejska dostrzega jednak problem Polski w tym zakresie i oficjalną odpowiedź przekaże Polsce w ciągu najbliższych tygodni. Problem zostanie poruszony na forum Komisji Europejskiej”. W trakcie organizowanych później spotkań z Komisją Europejską sprawa była przez nas poruszana. Po pewnym czasie otrzymaliśmy od KE informację potwierdzającą powyższe stanowisko. Do obowiązku informacyjnego w takim przypadku w świetle obowiązujących przepisów stosuje się w pełni art. 13 RODO.
Podstawa prawna
Art. 5, art. 13, art. 22, motyw 14. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).