Po 7 latach z RODO – czas na zmiany: mniej formalności, więcej elastyczności dla MSP
21 maja br. Komisja Europejska (KE) przedstawiła pakiet propozycji legislacyjnych mający na celu uproszczenie otoczenia regulacyjnego i zmniejszenie obciążeń biurokratycznych na jednolitym rynku europejskim. Inicjatywa ta ma wspierać konkurencyjność europejskich przedsiębiorstw, dając nadzieję, że przepisy Unii Europejskiej – w tym Ogólne Rozporządzenie o Ochronie Danych (RODO) – będą skutecznie realizować swoje cele bez nakładania nadmiernych ciężarów na przedsiębiorców.
W odpowiedzi na postulaty zgłaszane przez sektor małych i średnich przedsiębiorstw (MŚP) oraz spółki o małej i średniej kapitalizacji (Small Mid-Caps – SMC), Komisja zaproponowała m.in. ukierunkowane zmiany w RODO, które obowiązuje w niezmienionej treści od 2018 roku.
Co ma się zmienić?
Nowe definicje w art. 4 RODO
Komisja Europejska zaproponowała wprowadzenie dwóch nowych definicji:
- Mikro-, małe i średnie przedsiębiorstwa (MŚP)
- Małe spółki o średniej kapitalizacji (tzw. SMC)
Dotychczas tylko MŚP mogły korzystać z uproszczeń i mniejszych obowiązków w zakresie ochrony danych osobowych (np. mniej dokumentacji, uproszczone obowiązki informacyjne). Po zmianie również SMC – firmy większe niż typowe MŚP, ale jeszcze nie duże korporacje – zyskają dostęp do uproszczeń, które wcześniej były zarezerwowane wyłącznie dla MŚP. Zmianę należy ocenić pozytywnie – oznacza ona mniej biurokracji i bardziej proporcjonalne podejście do przetwarzania danych.
Rejestr czynności przetwarzania
Obecnie art. 30 RODO stanowi, że każdy administrator i podmiot przetwarzający prowadzą rejestr czynności przetwarzania i określa, jakie informacje powinien zawierać ten rejestr. Ustęp 5 tego artykułu przewiduje odstępstwo dla MŚP i organizacji zatrudniających mniej niż 250 pracowników.
KE proponuje, aby zakresem odstępstwa, o którym mowa powyżej, objąć organizacje zatrudniające mniej niż 750 pracowników. KE proponuje również ograniczenie obowiązku prowadzenia rejestru tylko wtedy, gdy czynności przetwarzania mogą powodować „wysokie ryzyko” dla praw i wolności osób, których dane dotyczą. W praktyce oznacza to, że większa liczba firm będzie mogła skorzystać ze zwolnienia z obowiązku prowadzenia rejestru czynności przetwarzania – o ile ich działania nie wiążą się z wysokim ryzykiem dla osób, których dane dotyczą.
Kodeksy postępowania (art. 40 RODO) i certyfikacja (art. 42 RODO)
Zgodnie z art. 40 RODO, państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających do sporządzania kodeksów postępowania z uwzględnieniem specyfiki różnych sektorów przetwarzania i szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.
KE proponuje rozszerzyć zakres tego przepisu na SMC, tak aby ich szczególne potrzeby były również uwzględniane przy opracowywaniu kodeksów postępowania.
Z kolei art. 42 RODO stanowi, że Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają, w szczególności na szczeblu Unii, do ustanawiania mechanizmów certyfikacji oraz pieczęci i oznaczeń w zakresie ochrony danych i w tym kontekście należy uwzględnić szczególne potrzeby MŚP.
KE proponuje rozszerzenie zakresu tego przepisu na SMC, tak aby ich szczególne potrzeby były również uwzględniane przy wydawaniu certyfikatów.
Pozytywny kierunek proponowanych zmian
Wskazane propozycje Komisji Europejskiej wydają się zmierzać w pożądanym kierunku – mogą zwiększyć praktyczność stosowania przepisów o ochronie danych, nie umniejszając przy tym fundamentalnej roli RODO jako instrumentu ochrony prywatności. W naszej ocenie zmiany te jedynie w niewielkim stopniu odciążą mniejsze organizacje, ponieważ nie przewidują redukcji obowiązków związanych z analizą ryzyka.
W zakresie kodeksów postępowania i certyfikacji nowelizacja ma być impulsem do zwiększenia zainteresowania tymi mechanizmami – co należy ocenić pozytywnie. Naszym zdaniem kodeksy postępowania mogłyby realnie uprościć spełnianie wymagań RODO. Dużą rolę mogą tu odegrać organizacje profesjonalne i branżowe, które już teraz mogłyby zacząć prace nad odpowiednimi dokumentami.
Jeżeli są Państwo zainteresowani szczegółową analizą wpływu proponowanych zmian na Państwa działalność lub potrzebują wsparcia w dostosowaniu się do zmieniających się regulacji, chętnie służymy pomocą.
KONTAKT
E: magdalena.patryas@pl.Andersen.com
T: +48 32 731 68 84
M: +48 502 392 419
