Z rozporządzenia europejskiego (dalej RODO) wynika, że ochrona zapewniana tym aktem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych. RODO nie dotyczy natomiast przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi (czyli tych wpisanych do KRS, np. spółek prawa handlowego), w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.
Jeżeli zatem kontrahentami Administratora są m.in. osoby prawne (czyli te wpisane do KRS), to nie ma on żadnych obowiązków informacyjnych na gruncie RODO, gdyż osoby prawne nie podlegają ochronie, o której mowa w rozporządzeniu.
Natomiast dane osób fizycznych prowadzących samodzielną działalność gospodarczą (wpisane do CEIDG) już podlegają ochronie unormowań RODO. Komisja Europejska stwierdziła bowiem, że jeżeli w polskim porządku prawnym osoby fizyczne prowadzące indywidualną działalność gospodarczą nie są osobami prawnymi, lecz fizycznymi, to znaczy, że w pełni podlegają przepisom RODO. A skoro tak, to również względem tych indywidualnych przedsiębiorców należy wypełnić obowiązek informacyjny określony w art. 13 ust. 1 i 2 RODO.
W/w obowiązek musi być zrealizowany przez Administratora wobec wszystkich jej klientów/kontrahentów (z wyjątkiem, oczywiście, osób prawnych) w sposób zwięzły, przejrzysty (zgodnie z zasadą wymienioną w art. 5 ust. 1 lit. a RODO), zrozumiały, łatwo dostępny, jasnym i prostym językiem, w formie nie generującej żadnych opłat dla osoby, której ten obowiązek jest udzielany. Informacje przekazuje się zaś na piśmie bądź w inny sposób (np. poprzez umieszczenie treści obowiązku w ogólnie dostępnym dla klienta/kontrahenta miejscu, np. na tablicy ogłoszeń, albo – gdy jest to stosowane – w postaci elektronicznej). O powyższym stanowi art. 12 ust. 1 i 5 RODO. Na Administratorze ciąży nadto obowiązek wykazania (oczywiście, tylko w razie kontroli), że obowiązek informacyjny został przez niego spełniony. Wynika to z tzw. zasady rozliczalności, o której mowa w art. 5 ust. 1 lit. a RODO.
Jednakże istnieje jeszcze obowiązek informacyjny co do pracowników zatrudnionych na podstawie umowy o pracę, jak i personelu realizującego obowiązki na podstawie umowy cywilno-prawnej (np. umowa zlecenia), którego Administrator może nie wykonywać, jeżeli był spełniony w ramach ustawy krajowej (czyli przed 25 maja 2018 roku). Natomiast jeżeli nie był spełniony, należy go zrealizować niezwłocznie, poprzez przedstawienie dokumentu do podpisania, wysłanie e-maila do wszystkich pracowników z treścią obowiązku informacyjnego, lub poprzez wywieszenie dokumentu z obowiązkiem informacyjnym w dostępnym miejscu dla pracowników, a także na stronie internetowej Administratora Danych. Następnie kwestia (byłych) pracowników – wobec nich także należy spełnić obowiązek informacyjny, ponieważ (archiwizacja) dokumentacji kadrowo-płacowej to również przetwarzanie danych osobowych, chyba że był spełniony obowiązek informacyjny na podstawie krajowej ustawy o ochronie danych osobowych, lub można skorzystać z wyłączenia odnosząc się do czynności, które wymagałyby niewspółmiernie dużego wysiłku.
Doradzałabym, aby wobec byłych pracowników również wypełnić obowiązek informacyjny poprzez zamieszczenie jego treści na stronie www, bądź poprzez zamieszczenie plakatu, ulotki, obwieszczenia na terenie Jednostki, w miarę możliwości – wysłanie maila.
