Pomimo tego, iż RODO jest z nami już od ponad trzech lat, to większość mikro i małych przedsiębiorców posiada wątpliwości, czy oby na pewno ich działalność wiąże się z przetwarzaniem danych, które wymagają wprowadzenia procesów zgodnych z RODO. Być może własne standardy ochrony danych są wystarczające?
W niniejszym artykule udzielę odpowiedzi na najczęściej zadawane pytania o RODO, przez osoby fizyczne, które prowadzą własny biznes i chciałyby działać zgodnie z prawem oraz wyjaśnię czym właściwie jest RODO.
Co to jest RODO?
RODO to skrót rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE.L. Nr 119).
RODO zawiera przepisy normujące przetwarzanie danych osobowych na ternie całego obszaru Unii Europejskiej.
Czy RODO obowiązuje w jednoosobowej działalności gospodarczej? Czy trzeba wdrożyć wszystkie procedury RODO w JDG?
Przepisy RODO dotyczą przetwarzania danych osobowych osób fizycznych, oprócz przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze (art. 2 ust. 2 lit. C RODO).
RODO obowiązuje każdego przedsiębiorcę, który prowadzi działalność gospodarczą na terenie Unii Europejskiej. Nie ma przy tym znaczenia forma prawna prowadzonej działalności, wielkość przedsiębiorstwa, skala działania lub branża.
RODO obowiązuje na równi jednoosobowe działalności gospodarcze, osobowe spółki prawa handlowego lub spółki kapitałowe. RODO obowiązuje również przedsiębiorców, którzy prowadzą działalność bez rejestracji i sprzedają swoje produkty na Instagramie, Facebooku, Allegro, OLX.
Zatem osoba fizyczna prowadząca jednoosobową działalność gospodarczą jest zobligowana do przestrzegania RODO i tym samym ma obowiązek wdrożyć RODO w swoim przedsiębiorstwie. Zatem JDG musi:
- ustalić podstawę prawną przetwarzania danych osobowych,
- przeprowadzić analizę ryzyka w celu właściwego doboru środków ochrony,
- spełnić obowiązek informacyjny względem podmiotów danych,
- opracować dokumentację dostosowaną do profilu i organizacji przedsiębiorstwa, mając na uwadze zasadę rozliczalności,
- wprowadzić mechanizmy zabezpieczeń danych osobowych,
- stosować kontrolę skuteczności funkcjonujących procesów ochrony danych.
Kiedy przetwarzam dane osobowe w swojej firmie? Na czym polega przetwarzanie danych osobowych?
Zacznę od przypomnienia czym są dane osobowe. W myśl art. 4 pkt 1 RODO dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, której dane dotyczą. Osoba fizyczna możliwa do zidentyfikowania to osoba, którą można bezpośrednio lub pośrednio zidentyfikować m.in. na podstawie:
- imienia i nazwiska,
- IMEI,
- danych o lokalizacji,
- IP,
- jednego bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Natomiast przetwarzanie danych osobowych to nic innego, jak operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, tj.: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych (art. 4 pkt 2 RODO).
W tym miejscu należy podkreślić, że RODO stosujemy wyłącznie do przetwarzania danych osobowych:
- w sposób tradycyjny (np. segregatory), kiedy dane są przetwarzane w zbiorach danych lub mają w nich być przetwarzane;
- w sposób całkowicie lub częściowo zautomatyzowany (np. program komputerowy), niezależnie od tego, czy przetwarzane są w zbiorach danych (art. 2 ust. 1 RODO).
W konsekwencji przetwarzanie oznacza każde działanie, którego przedmiotem są dane osobowe. Jednakże mając na uwadze art. 2 ust. 1 RODO musisz zapamiętać, że RODO ma zastosowanie do przetwarzania w sposób tradycyjny, gdy dane stanowią część zbioru.
Zatem przetwarzasz dane w swojej firmie, kiedy np.:
- wystawiasz fakturę VAT,
- świadczysz usługę newslettera,
- wysyłasz e-booka,
- zbierasz dane za pośrednictwem elektronicznych formularzy do kontaktu,
- prowadzisz fanpage na FB oraz profil firmowy na Instagramie,
- publikujesz zdjęcia osoby fizycznej na swojej stronie internetowej,
- tworzysz bazy mailingowe,
- przechowujesz adresy IP,
- zapisujesz nagrania z rozmów wideo,
- wysyłasz ofertę swoich usług lub produktów.
Jakie dokumenty są wymagane przez RODO? Gdzie znajdę listę obowiązkowych dokumentów RODO?
Rozporządzenie o ochronie danych osobowych nie zawiera katalogu obowiązkowych dokumentów RODO, lecz stanowi o bezpieczeństwie danych, które osiągniesz poprzez wprowadzenie dopasowanych do Twojego przedsiębiorstwa (w oparciu o analizę ryzyka) procedur, polityk oraz rejestrów.
Zgodnie ze stanowiskiem Prezesa Urzędu Ochrony Danych Osobowych, który posiada umocowanie prawne do wydawania wytycznych oraz interpretowania przepisów RODO, administrator danych osobowych powinien prowadzić odpowiednią dokumentację ze względu na zasadę rozliczalności.
Zasada rozliczalności według przepisów RODO oznacza, że na administratorze spoczywa obowiązek udowodnienia, że dane osobowe są przetwarzane:
- zgodnie z prawem,
- przejrzyście,
- rzetelnie.
Prezes UODO wskazał, że dokumentacja przetwarzania danych osobowych wykazuje zgodność przetwarzania danych z RODO i może być dowodem na okoliczność, iż dane osobowe są przetwarzane przejrzyście oraz rzetelnie. Dlatego zdaniem Prezesa UODO administrator danych osobowych ma obowiązek opracować:
- rejestr czynności przetwarzania danych,
- rejestr naruszeń ochrony danych,
- raport z analizy ryzyka,
- raport z ocen skutków dla ochrony danych (jeśli dotyczy),
- procedurę zgłaszania incydentów bezpieczeństwa,
- procedury związane z pseudonimizacją i szyfrowaniem (jeśli są konieczne),
- procedury odtwarzania systemu po awarii.
Jednym z najważniejszych obowiązków RODO dla przedsiębiorców, którzy za pośrednictwem swoich stron internetowych lub profili w Social Media zbierają dane osobowe jest obowiązek informacyjny.
Zgodnie z art. 13 oraz 14 RODO administrator powinien zrealizować obowiązek informacyjny, kiedy zbiera dane osobowe bezpośrednio lub pośrednio od osoby, której dane dotyczą. Zbieranie danych osobowych, to nic innego jak wejście w ich posiadanie.
Przedsiębiorca ma obowiązek przekazania informacji ujętych w art. 13 oraz 14 RODO osobie, której dane dotyczą (dalej „podmiotowi danych”):
- w momencie zbierania danych – jeżeli uzyskuje dane od podmiotu danych,
- w rozsądnym terminie, zależnie od okoliczności ¬– jeżeli danych nie uzyskał od podmiotu danych, lecz z innego źródła.
Obowiązek informacyjny polega głównie na przekazaniu informacji o tożsamości administratora danych, odbiorcach danych, celu i podstawie przetwarzania danych, listy uprawnień osoby, której dane dotyczą. Przedsiębiorcy zazwyczaj przekazują wymienione informacje w polityce prywatności, która powinna zostać opublikowana w dostępnym i widocznym miejscu na stronie firmy.
Obowiązki przedsiębiorców na Instagramie lub Facebooku są identyczne z obowiązkami osób, które powadzą sprzedaż za pośrednictwem własnych stron internetowych lub serwisów z ogłoszeniami.
Facebook Inc. posiada własne zasady bezpieczeństwa danych użytkowników, które przetwarza w celu obsługi produktów i funkcji FB np. Instagrama lub Messengera. Polityka prywatności FB nie normuje zasad przetwarzania danych osobowych, zbieranych za pośrednictwem Twojego fanpage. Dlaczego? Facebook nie jest administratorem danych osobowych, które to Ty wykorzystujesz do celów gospodarczych.
Będąc administratorem firmowego fanpage na Facebooku musisz posiadać własną politykę ochrony danych, do której odnośnik należy zamieścić w sekcji strony o nazwie „zasady ochrony prywatności.”
Zatem rejestr czynności przetwarzania danych, rejestr naruszeń ochrony danych, raport z analizy ryzyka, procedura zgłaszania incydentów bezpieczeństwa, polityka bezpieczeństwa zgodna z RODO, polityka prywatności na stronę internetową, polityka ochrony danych osobowych na profil firmowy w Social Media to dokumentacja, która z pewnością przyda się każdemu przedsiębiorcy w przetwarzaniu danych osobowych zgodnie z zasadą rozliczalności.
Warto wiedzieć
Dokumentację przetwarzania danych należy tworzyć w oparciu o analizę ryzyka!
Czy w jednoosobowej działalności gospodarczej mam obowiązek powołania inspektora ochrony danych? Kim jest inspektor ochrony danych?
Przepis art. 37 ust. 5 RODO stanowi, że „Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań”.
Zatem inspektor ochrony danych to ekspert posiadający odpowiednią wiedzę na temat prawa oraz doświadczenie w ochronie danych. Zadania inspektora znajdziesz w art. 39 RODO.
Każdy przedsiębiorca, bez względu na formę prawną działalności, w tym jednoosobowa działalność gospodarcza, ma obowiązek korzystania z pomocy inspektora ochrony danych (dalej „IOD”) jeżeli:
- główna działalność administratora polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (art. 9 ust.1 RODO) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa (art. 10 RODO).
Musisz wyznaczyć IOD, gdy spełniasz powyższe warunki, poza tym możesz wyznaczyć go dobrowolnie (art. 37 ust. 4 RODO).
Zdaniem Grupy Roboczej Art. 29 w sytuacji, gdy z przepisów nie wynika obowiązek powołania IOD, powinno się udokumentować decyzję, dlaczego administrator uznał, że nie ma obowiązku jego wyznaczenia. Tego typu praktyka jest zgodna z zasadą rozliczalności.
Po wyznaczeniu IOD, administrator musi opublikować dane do kontaktu z inspektorem i zawiadomić Prezesa Urzędu Ochrony Danych Osobowych.
Przetwarzanie danych osobowych jest procesem ciągłym, który wymaga od przedsiębiorców kontroli zgodności z RODO i przepisami szczególnymi w stosunku do RODO – z ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i ustawą z dnia 16 lipca 2004 r. Prawo telekomunikacyjne.
Obowiązki RODO dotyczą każdego przedsiębiorcy, bez względu na skalę, etap lub branżę prowadzonej działalności. RODO to wspólny „mianownik” ochrony danych. Wszystkich traktuje jednakowo. Nie ma dla niego znaczenia, czy startujesz z biznesem, czy posiadasz rozpoznawalną markę. Czy jesteś samozatrudniony, czy zatrudniasz 100 osób. Czy prowadzisz działalność bez rejestracji, czy znajdujesz się w rejestrze CEIDG bądź w KRS. Czy działasz lokalnie, czy też świadczysz usługi na odległość.
Jesteś przedsiębiorcą, przetwarzasz dane osobowe i musisz wdrożyć skuteczne procedury, polityki oraz zasady zgodności z RODO. RODO obowiązuje jednoosobowe działalności gospodarcze, a dokumentacja przetwarzania danych osobowych wykazuje zgodność przetwarzania danych z RODO i może być dowodem na okoliczność, iż dane osobowe są przetwarzane przejrzyście i rzetelnie.
Autor: Prawnik Ewelina Fuławka, Centrum Prawne Online
Masz pytanie? Potrzebujesz dodatkowych informacji?
Zadzwoń lub wyślij wiadomość. Więcej informacji dot. obsługi prawnej e-sklepów i portali internetowych znajduje się na oficjalnym profilu 👉 Centrum Prawne Online.
Objaśnienia
Podstawa prawna
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE.L. Nr 119).
- Wytyczne Prezesa Urzędu Ochrony Danych Osobowych dot. dokumentacji przetwarzania danych osobowych zgodnie z RODO (źródło: uodo.gov.pl/ pl / 138 / 273).
- Wytyczne Grupy Roboczej Art. 29 dotyczące inspektorów ochrony danych (DPO) z 13.12.2016r., zmienione i przyjęte 05.04.2017 r. (źródło: uodo.gov.pl / data / filemanager_pl/ 15.pdf).
Nota prawno–informacyjna
Wiadomości prawne zawarte w niniejszym artykule nie stanowią porady prawnej, lecz mają charakter informacyjny. Artykuł uwzględnia stan prawny obowiązujący w dniu jego sporządzenia tj. w dniu 03.09.2021 r. Kopiowanie oraz rozpowszechnianie artykułu bez zgody Autora jest niedozwolone. W celu skorzystania z artykułu skontaktuj się z Autorem za pośrednictwem strony centrumprawneonline.pl.