Logotyp PureQualityLogotyp PureQualityLogotyp PureQualityLogotyp PureQuality
  • Strona główna
  • Funkcja IOD
  • Szkolenia
  • Oferta
    • Funkcja IOD
    • Wdrożenia RODO
    • Wdrożenia ISO
    • Audyty i inspekcje
    • Szkolenia
  • Aktualności
  • O nas
  • Kontakt

RODO a jednoosobowa działalność gospodarcza

  • Data dodania: 16 grudnia 2019

Otrzymaliśmy ostatnio pytanie od programisty prowadzącego jednoosobową działalność gospodarczą. „Czy jako osoba na „samozatrudnieniu” muszę spełnić wymogi związane z RODO? Czy jednoosobowa działalność gospodarcza jest zwolniona z konieczności powołania inspektora ochrony danych?”

Monika Kacprzak

Odpowiedź na pierwsze pytanie brzmi „tak”. Przepisy RODO dotyczą każdej działalności gospodarczej. Muszą je stosować zarówno duże korporacje jak i mikro firmy, dopiero raczkujące na rynku. To samo dotyczy jednoosobowej działalności gospodarczej. Dużo zależy od branży – w przypadku informatyków sytuacja wygląda inaczej niż np. w przypadku jednoosobowego biura rachunkowego.

Przyjrzyjmy się jednoosobowej działalności gospodarczej założonej przez programistę. Zakres formalności których dokonuje jest stosunkowo mały. Najczęściej pracujący w ten sposób informatycy wystawiają jedną bądź kilka faktur w miesiącu rozliczając się w ten sposób za wykonywaną pracę.

RODO określa obowiązki dla administratora danych. Przypomnijmy, kim jest administrator.

Zgodnie z definicją zawartą w art. 4 pkt 7 RODO: „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;

Właściciel jednoosobowej działalności gospodarczej będzie zatem administratorem danych swoich pracowników, współpracowników, klientów i kontrahentów. Jeżeli osoba prowadząca działalność gospodarczą zawiera jakąś umowę, to przeważnie staje się administratorem danych osobowych zawartych w tej umowie. Jeżeli osoba prowadząca działalność gospodarczą wystawia fakturę lub fakturę otrzymuje, to jest administratorem danych osobowych zawartych na fakturze.

Należy jeszcze doprecyzować, że RODO dotyczy przetwarzania danych osobowych osób fizycznych (w tym również osób prowadzących działalność gospodarczą). Jeśli na fakturze znajdują się jedynie dane podmiotu prawnego (spółki, stowarzyszenia, podmioty publiczne) to nie ma tu przetwarzania danych osobowych i RODO nie ma zastosowania.

Jeżeli jednak programista zawiera umowy z innymi właścicielami działalności gospodarczych, to jak najbardziej staje się administratorem tych danych.

Do najważniejszych obowiązków osoby pozostającej na jednoosobowej działalności będzie należało:

– stosowanie się do podstawowych zasad przetwarzania danych ujętych w art. 5 RODO.

– wypełnianie obowiązku informacyjnego względem osób, których dane osobowe przetwarza,

– właściwe zabezpieczenie danych osobowych

Podstawowymi zasadami, stanowiącymi fundament zgodnego z RODO przetwarzania danych osobowych są (art. 5 RODO):

  1. Zasada legalności, rzetelności i przejrzystości przetwarzania (zgodności z prawem)

Dane osobowe muszą być przetwarzane legalnie, zgodnie z prawem, w sposób przejrzysty i czytelny dla osoby, której dane dotyczą.

Przetwarzanie danych należy oprzeć na jednej z przesłanek prawnych wymienionych w art. 6 ust. 1 RODO lub art. 9 ust. 2 RODO i poinformować o tym przetwarzaniu osoby w taki sposób, aby przekazywane informacje były dla nich zrozumiałe.

  1. Zasada celowości (ograniczenia celu, zasada związania z celem)

Administrator powinien przetwarzać dane dla oznaczonych, zgodnych z prawem celów i nie poddawać dalszemu przetwarzaniu niezgodnemu z tymi celami.

W praktyce zasada celowości oznacza, że administrator musi w jasny i konkretny sposób określić cel przetwarzania danych osobowych. Należy poinformować o tym celu osobę, której dane dotyczą i nie wykorzystywać danych w innym celu.

Osoba prowadząca działalność gospodarczą będzie przetwarzała dane osobowe swoich kontrahentów, współpracowników, z którymi podpisała umowy w następujących celach:

  • wykonania umowy zgodnie z art. 6 ust. 1 lit b;

  • realizacji obowiązków prawnych wynikających z przepisów o podatkach i rachunkowości tzn. rozliczenia finansowego i podatkowego (np. rozliczenie i przechowywanie faktur) zgodnie z art. 6 ust. 1 lit. c RODO;

  • ewentualnego dochodzenia roszczeń lub obrony przed roszczeniami wynikającymi z zawartej umowy na podstawie prawnie uzasadnionego interesu administratora zgodnie z art. 6 ust. 1 lit. f RODO.

  1. Zasada minimalizacji danych (adekwatności, proporcjonalności)

Zgodnie z zasadą minimalizacji, administrator powinien przetwarzać tylko takie dane, które są niezbędne do wypełnienia określonego celu przetwarzania. Nie można zbierać więcej danych na tzw. „wszelki wypadek” bo mogą się kiedyś do czegoś przydać.

Osoba prowadząca działalność gospodarczą powinna sprawdzić, czy wszystkie dane zawarte na umowach, które zawarła są rzeczywiście niezbędne do realizacji tych umów oraz do wypełnienia obowiązków prawnych.

  1. Zasada prawidłowości (poprawności)

Administrator powinien przetwarzać dane osobowe, które są aktualne i zgodne z prawdą. Należy wdrożyć odpowiednie rozwiązania organizacyjne, dzięki którym, nieaktualne w świetle celów przetwarzania dane osobowe będą usuwane lub uaktualniane.

W praktyce, osoba prowadząca działalność gospodarczą powinna zawrzeć w swoich umowach odpowiednie zapisy obligujące drugą stronę do niezwłocznego zawiadamiania o zmianie swoich danych osobowych mających znaczenie pod kątem realizacji celów.

  1. Zasada ograniczenia czasowego (czasowości)

Zasada czasowości mówi o tym, że dane osobowe mogą być przechowywane przez okres niezbędny do wypełnienia celów przetwarzania. Dane osobowe nie mogą być przechowywane w nieskończoność, należy wyznaczyć okresy przechowywania danych osobowych (tzw. czas retencji), po których dane trzeba będzie usunąć lub zanonimizować.

W praktyce przy określaniu czasów retencji z pomocą przychodzą przepisy prawa, które wprost wyznaczają okres, przez który należy określoną dokumentację z danymi osobowymi przechowywać.

Osoba prowadząca działalność gospodarczą powinna przechowywać dane swoich kontrahentów zawarte na umowie oraz niezbędne do realizacji umowy przez cały czas trwania umowy, aż do jej zakończenia, a później przez okres przedawnienia roszczeń wynikający z danej umowy. Okresy przedawnienia roszczeń zawarte są w Kodeksie Cywilnym.

Dokumenty księgowe (faktury) powinny być przechowywane przez okres 5 lat licząc od końca roku kalendarzowego, w którym dany dokument księgowy powstał.

  1. Zasada bezpieczeństwa (integralności i poufności danych)

Administrator musi zapewnić odpowiednie bezpieczeństwo danych osobowych w taki sposób, aby osoba nieuprawniona nie miała do nich wglądu i nie mogła ich w żaden sposób wykorzystać (utrata poufności). Należy zapewnić odpowiednie zabezpieczenia techniczne i organizacyjne aby nie doszło do przypadkowej lub celowej zmiany lub utraty danych.

  1. Zasada rozliczalności

Administrator musi się rozliczyć z wykonywania wszystkich wymaganych przez RODO obowiązków.

RODO nie narzuca administratorowi tworzenia określonych dokumentów. Zasada rozliczalności wymaga jednak posiadania dowodów spełnienia obowiązków wynikających z RODO.

Osoba prowadząca działalność gospodarczą nie musi (choć jak najbardziej może) tworzyć rozległej polityki bezpieczeństwa danych osobowych i instrukcji zarządzania systemem informatycznym. Dobrą praktyką jednak będzie spisanie stosowanych zabezpieczeń technicznych i organizacyjnych oraz dokumentowanie zdarzeń związanych z incydentami bezpieczeństwa, naruszeniami ochrony danych osobowych czy realizacją praw osób, których dane dotyczą.

Obowiązek informacyjny

Obowiązkiem administratora wynikającym z RODO, związanym z wymienionymi powyżej podstawowymi zasadami prawidłowego przetwarzania danych osobowych jest wypełnienie obowiązku informacyjnego.

Osoba prowadząca działalność gospodarczą powinna przygotować odpowiednią klauzulę informacyjną zawierającą wszystkie informacje wymagane przez art. 13 ust. 1 i 2 RODO i przedstawiać ją do zapoznania osobom, od których zbiera dane osobowe.

W praktyce programista prowadzący działalność gospodarczą będzie musiał spełnić obowiązek informacyjny względem swoich kontrahentów (będących osobami fizycznymi), z którymi ma zamiar podpisać umowę. Klauzulę informacyjną można dodać do treści zawieranej umowy.

Prowadzenie rejestru czynności przetwarzania danych osobowych

Przedsiębiorcy, zgodnie z art. 30 RODO powinni prowadzić Rejestr Czynności Przetwarzania Danych (tzw. RCPD). Z prowadzenia RCPD są zwolnieni przedsiębiorcy zatrudniający mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Jeżeli osoba prowadząca działalność gospodarczą nie będzie przetwarzała danych osobowych w sposób sporadyczny, powinna prowadzić RCPD.

RCPD dla działalności gospodarczej będzie prosty i będzie zawierał podstawowe czynności przetwarzania takie jak np.: realizacja umów z kontrahentami, prowadzenie rozliczeń finansowo księgowych.

Wskazówki dotyczące prowadzenia RCPD oraz prosty formularz RCPD do wypełnienia znajdują się na stronie Prezesa Urzędu Ochrony Danych Osobowych: https://uodo.gov.pl/pl/123/214

Powierzenie przetwarzania danych osobowych

Jeżeli osoba prowadząca działalność gospodarczą zleci na zewnątrz jakiś proces związany z przetwarzaniem danych osobowych np.: realizację usług księgowych, to powinna z dostawcą usługi zawrzeć umowę powierzenia przetwarzania danych osobowych.

Przeważnie biura rachunkowe prowadzące księgowość innych firm zawierając z nimi umowę współpracy, zawierają od razu umowę powierzenia przetwarzania danych osobowych stosując swój wzór umowy powierzenia. Jeśli jednak biuro rachunkowe nie będzie pamiętało o konieczności podpisania umowy powierzenia, osoba prowadząca działalność gospodarczą powinna zaproponować podpisanie umowy powierzenia na własnym wzorze.

Powołanie Inspektora Ochrony Danych

Pytanie dotyczyło również kwestii powołania Inspektora Ochrony Danych. Jednoosobowa działalność gospodarcza, która przetwarza zwykłe dane swoich kontrahentów nie musi powoływać Inspektora Ochrony Danych.

Wypełnienie praw jednostek danych

Poza opisywanymi powyżej obowiązkami, osoba prowadząca działalność gospodarczą jako administrator przetwarzanych danych musi zapewnić osobom fizycznym realizację ich praw wynikających z RODO. W klauzuli informacyjnej należy poinformować o przysługujących prawach i sposobie ich dochodzenia np. „W celu realizacji swoich praw wynikających z RODO proszę o kontakt na wskazany adres e-mail lub listownie na adres korespondencyjny administratora.”

W praktyce osoba prowadząca działalność gospodarczą najprawdopodobniej takich zgłoszeń będzie miała bardzo mało albo i wcale, trzeba jednak być przygotowanym na taką ewentualność. Jeżeli ktoś będzie chciał skorzystać ze swojego prawa, administrator powinien przeanalizować żądanie, a następnie udokumentować sposób realizacji tego żądania w celu rozliczalności.

Naruszenia ochrony danych osobowych

Administrator musi dbać o to, aby nie doprowadzić do naruszenia ochrony danych osobowych, czyli do naruszenia bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Przykładem naruszenia ochrony danych osobowych będzie wysłanie wiadomości zawierającej dane osobowe do złego adresata, albo kradzież lub zgubienie dokumentów papierowych z danymi osobowymi czy też komputera.

Jeżeli naruszenie może powodować ryzyko naruszenia praw i wolności osoby fizycznej, to administrator ma 72 godziny na zgłoszenie tego naruszenia do organu nadzorczego, czyli Prezesa Urzędu Ochrony Danych Osobowych (Prezesa UODO).

W przypadku, w którym dojdzie do naruszenia, administrator musi się zastanowić, czy naruszenie może powodować ryzyko naruszenia praw i wolności osoby fizycznej. Jeżeli nie, naruszenie należy zarejestrować w rejestrze naruszeń. Jeżeli tak, oprócz zarejestrowania w rejestrze, naruszenie trzeba będzie zgłosić do Prezesa UODO.

Przykładami naruszenia, którego nie trzeba zgłaszać do organu nadzorczego będzie wysłanie wiadomości e -mail do złego adresata, ale w wersji zaszyfrowanej, albo wiadomości zawierającej tylko imię i nazwisko osoby trzeciej. Jeśli wiadomość wysłana do złego adresata zawiera takie dane jak: imię i nazwisko, adres zamieszkania, nr PESEL, serię i numer dowodu osobistego, to takie naruszenie najprawdopodobniej trzeba będzie już zgłaszać.

Podsumowując, na pytanie programisty odpowiedzieliśmy „tak” – obowiązują Pana przepisy RODO również na samozatrudnieniu (niektóre zawsze, inne zależnie od sytuacji, m.in. zawiązywanych umów). Natomiast inspektor danych osobowych nie musi być powołany w jednoosobowej firmie. Niemniej, najlepszym sposobem na jednoznaczne określenie potrzeb firmy w zakresie RODO jest przeprowadzenie audytu. Tylko w ten sposób można jednoznacznie stwierdzić, na które z przepisów RODO należy zwracać szczególną uwagę.

Logotyp Pure Quality
  • → Strona główna
  • → Funkcja IOD
  • → Szkolenia
  • → Oferta
  • → Aktualności
  • → O nas
  • → Kontakt
TELEFON

+48 885 650 850

E-MAIL

kontakt@purequality.pl

Polityka prywatności | Polityka cookies | Centrum prywatności
Realizacja: Create WWW - Tworzenie stron internetowych
    Zarządzaj zgodami plików cookie
    Aby zapewnić jak najlepsze wrażenia, korzystamy z technologii, takich jak pliki cookie, do przechowywania i/lub uzyskiwania dostępu do informacji o urządzeniu. Zgoda na te technologie pozwoli nam przetwarzać dane, takie jak zachowanie podczas przeglądania lub unikalne identyfikatory na tej stronie. Brak wyrażenia zgody lub wycofanie zgody może niekorzystnie wpłynąć na niektóre cechy i funkcje.
    Funkcjonalne Zawsze aktywne
    Przechowywanie lub dostęp do danych technicznych jest ściśle konieczny do uzasadnionego celu umożliwienia korzystania z konkretnej usługi wyraźnie żądanej przez subskrybenta lub użytkownika, lub wyłącznie w celu przeprowadzenia transmisji komunikatu przez sieć łączności elektronicznej.
    Preferencje
    Przechowywanie lub dostęp techniczny jest niezbędny do uzasadnionego celu przechowywania preferencji, o które nie prosi subskrybent lub użytkownik.
    Statystyka
    Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do celów statystycznych. Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do anonimowych celów statystycznych. Bez wezwania do sądu, dobrowolnego podporządkowania się dostawcy usług internetowych lub dodatkowych zapisów od strony trzeciej, informacje przechowywane lub pobierane wyłącznie w tym celu zwykle nie mogą być wykorzystywane do identyfikacji użytkownika.
    Marketing
    Przechowywanie lub dostęp techniczny jest wymagany do tworzenia profili użytkowników w celu wysyłania reklam lub śledzenia użytkownika na stronie internetowej lub na kilku stronach internetowych w podobnych celach marketingowych.
    Zarządzaj opcjami Zarządzaj serwisami Zarządzaj dostawcami Przeczytaj więcej o tych celach
    Zobacz preferencje
    {title} {title} {title}