RODO w jednoosobowej działalności gospodarczej - najczęściej zadawane pytania

RODO w firmie wyjaśnia prawnik Ewelina Fuławka

Pomimo tego, iż RODO jest z nami już od ponad trzech lat, to większość mikro i małych przedsiębiorców posiada wątpliwości, czy oby na pewno ich działalność wiąże się z przetwarzaniem danych, które wymagają wprowadzenia procesów zgodnych z RODO. Być może własne standardy ochrony danych są wystarczające?

W niniejszym artykule udzielę odpowiedzi na najczęściej zadawane pytania o RODO, przez osoby fizyczne, które prowadzą własny biznes i chciałyby działać zgodnie z prawem oraz wyjaśnię czym właściwie jest RODO.

Co to jest RODO?

RODO to skrót rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE.L. Nr 119). 

RODO zawiera przepisy normujące przetwarzanie danych osobowych na ternie całego obszaru Unii Europejskiej.

Czy RODO obowiązuje w jednoosobowej działalności gospodarczej? Czy trzeba wdrożyć wszystkie procedury RODO w JDG?

Przepisy RODO dotyczą przetwarzania danych osobowych osób fizycznych, oprócz przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze (art. 2 ust. 2 lit. C RODO).

RODO obowiązuje każdego przedsiębiorcę, który prowadzi działalność gospodarczą na terenie Unii Europejskiej. Nie ma przy tym znaczenia forma prawna prowadzonej działalności, wielkość przedsiębiorstwa, skala działania lub branża.

RODO obowiązuje na równi jednoosobowe działalności gospodarcze, osobowe spółki prawa handlowego lub spółki kapitałowe. RODO obowiązuje również przedsiębiorców, którzy prowadzą działalność bez rejestracji i sprzedają swoje produkty na Instagramie, Facebooku, Allegro, OLX.

Zatem osoba fizyczna prowadząca jednoosobową działalność gospodarczą jest zobligowana do przestrzegania RODO i tym samym ma obowiązek wdrożyć RODO w swoim przedsiębiorstwie. Zatem JDG musi:

  1. ustalić podstawę prawną przetwarzania danych osobowych,
  2. przeprowadzić analizę ryzyka w celu właściwego doboru środków ochrony,
  3. spełnić obowiązek informacyjny względem podmiotów danych,
  4. opracować dokumentację dostosowaną do profilu i organizacji przedsiębiorstwa, mając na uwadze zasadę rozliczalności,
  5. wprowadzić mechanizmy zabezpieczeń danych osobowych,
  6. stosować kontrolę skuteczności funkcjonujących procesów ochrony danych.

Kiedy przetwarzam dane osobowe w swojej firmie? Na czym polega przetwarzanie danych osobowych?

rodo przetwarzanie danych osobowych

Zacznę od przypomnienia czym są dane osobowe. W myśl art. 4 pkt 1 RODO dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, której dane dotyczą. Osoba fizyczna możliwa do zidentyfikowania to osoba, którą można bezpośrednio lub pośrednio zidentyfikować m.in. na podstawie:

  1. imienia i nazwiska,
  2. IMEI,
  3. danych o lokalizacji,
  4. IP,
  5. jednego bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Natomiast przetwarzanie danych osobowych to nic innego, jak operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, tj.: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych (art. 4 pkt 2 RODO).

W tym miejscu należy podkreślić, że RODO stosujemy wyłącznie do przetwarzania danych osobowych:

  1. w sposób tradycyjny (np. segregatory), kiedy dane są przetwarzane w zbiorach danych lub mają w nich być przetwarzane;
  2. w sposób całkowicie lub częściowo zautomatyzowany (np. program komputerowy), niezależnie od tego, czy przetwarzane są w zbiorach danych (art. 2 ust. 1 RODO).

W konsekwencji przetwarzanie oznacza każde działanie, którego przedmiotem są dane osobowe. Jednakże mając na uwadze art. 2 ust. 1 RODO musisz zapamiętać, że RODO ma zastosowanie do przetwarzania w sposób tradycyjny, gdy dane stanowią część zbioru.

Zatem przetwarzasz dane w swojej firmie, kiedy np.:

  1. wystawiasz fakturę VAT,
  2. świadczysz usługę newslettera,
  3. wysyłasz e-booka,
  4. zbierasz dane za pośrednictwem elektronicznych formularzy do kontaktu,
  5. prowadzisz fanpage na FB oraz profil firmowy na Instagramie,
  6. publikujesz zdjęcia osoby fizycznej na swojej stronie internetowej,
  7. tworzysz bazy mailingowe,
  8. przechowujesz adresy IP,
  9. zapisujesz nagrania z rozmów wideo,
  10. wysyłasz ofertę swoich usług lub produktów.

Jakie dokumenty są wymagane przez RODO? Gdzie znajdę listę obowiązkowych dokumentów RODO?

dokumenty wymagane przez rodo

Rozporządzenie o ochronie danych osobowych nie zawiera katalogu obowiązkowych dokumentów RODO, lecz stanowi o bezpieczeństwie danych, które osiągniesz poprzez wprowadzenie dopasowanych do Twojego przedsiębiorstwa (w oparciu o analizę ryzyka) procedur, polityk oraz rejestrów.

Zgodnie ze stanowiskiem Prezesa Urzędu Ochrony Danych Osobowych, który posiada umocowanie prawne do wydawania wytycznych oraz interpretowania przepisów RODO, administrator danych osobowych powinien prowadzić odpowiednią dokumentację ze względu na zasadę rozliczalności.

Zasada rozliczalności według przepisów RODO oznacza, że na administratorze spoczywa obowiązek udowodnienia, że dane osobowe są przetwarzane:

  1. zgodnie z prawem,
  2. przejrzyście,
  3. rzetelnie.

Prezes UODO wskazał, że dokumentacja przetwarzania danych osobowych wykazuje zgodność przetwarzania danych z RODO i może być dowodem na okoliczność, iż dane osobowe są przetwarzane przejrzyście oraz rzetelnie. Dlatego zdaniem Prezesa UODO administrator danych osobowych ma obowiązek opracować:

  1. rejestr czynności przetwarzania danych,
  2. rejestr naruszeń ochrony danych,
  3. raport z analizy ryzyka,
  4. raport z ocen skutków dla ochrony danych (jeśli dotyczy),
  5. procedurę zgłaszania incydentów bezpieczeństwa,
  6. procedury związane z pseudonimizacją i szyfrowaniem (jeśli są konieczne),
  7. procedury odtwarzania systemu po awarii.

Jednym z najważniejszych obowiązków RODO dla przedsiębiorców, którzy za pośrednictwem swoich stron internetowych lub profili w Social Media zbierają dane osobowe jest obowiązek informacyjny.

Zgodnie z art. 13 oraz 14 RODO administrator powinien zrealizować obowiązek informacyjny, kiedy zbiera dane osobowe bezpośrednio lub pośrednio od osoby, której dane dotyczą. Zbieranie danych osobowych, to nic innego jak wejście w ich posiadanie.

Przedsiębiorca ma obowiązek przekazania informacji ujętych w art. 13 oraz 14 RODO osobie, której dane dotyczą (dalej „podmiotowi danych”):

  1. w momencie zbierania danych – jeżeli uzyskuje dane od podmiotu danych,
  2. w rozsądnym terminie, zależnie od okoliczności ¬– jeżeli danych nie uzyskał od podmiotu danych, lecz z innego źródła.

Obowiązek informacyjny polega głównie na przekazaniu informacji o tożsamości administratora danych, odbiorcach danych, celu i podstawie przetwarzania danych, listy uprawnień osoby, której dane dotyczą. Przedsiębiorcy zazwyczaj przekazują wymienione informacje w polityce prywatności, która powinna zostać opublikowana w dostępnym i widocznym miejscu na stronie firmy.

Obowiązki przedsiębiorców na Instagramie lub Facebooku są identyczne z obowiązkami osób, które powadzą sprzedaż za pośrednictwem własnych stron internetowych lub serwisów z ogłoszeniami.

Facebook Inc. posiada własne zasady bezpieczeństwa danych użytkowników, które przetwarza w celu obsługi produktów i funkcji FB np. Instagrama lub Messengera. Polityka prywatności FB nie normuje zasad przetwarzania danych osobowych, zbieranych za pośrednictwem Twojego fanpage. Dlaczego? Facebook nie jest administratorem danych osobowych, które to Ty wykorzystujesz do celów gospodarczych.

Będąc administratorem firmowego fanpage na Facebooku musisz posiadać własną politykę ochrony danych, do której odnośnik należy zamieścić w sekcji strony o nazwie „zasady ochrony prywatności.”

Zatem rejestr czynności przetwarzania danych, rejestr naruszeń ochrony danych, raport z analizy ryzyka, procedura zgłaszania incydentów bezpieczeństwa, polityka bezpieczeństwa zgodna z RODO, polityka prywatności na stronę internetową, polityka ochrony danych osobowych na profil firmowy w Social Media to dokumentacja, która z pewnością przyda się każdemu przedsiębiorcy w przetwarzaniu danych osobowych zgodnie z zasadą rozliczalności.

Warto wiedzieć
Dokumentację przetwarzania danych należy tworzyć w oparciu o analizę ryzyka!

Czy w jednoosobowej działalności gospodarczej mam obowiązek powołania inspektora ochrony danych? Kim jest inspektor ochrony danych?

Przepis art. 37 ust. 5 RODO stanowi, że „Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań”.

Zatem inspektor ochrony danych to ekspert posiadający odpowiednią wiedzę na temat prawa oraz doświadczenie w ochronie danych. Zadania inspektora znajdziesz w art. 39 RODO.

kto ma obowiazek powolania inspektora danych osobowych

Każdy przedsiębiorca, bez względu na formę prawną działalności, w tym jednoosobowa działalność gospodarcza, ma obowiązek korzystania z pomocy inspektora ochrony danych (dalej „IOD”) jeżeli:

  1. główna działalność administratora polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  2. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (art. 9 ust.1 RODO) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa (art. 10 RODO).

Musisz wyznaczyć IOD, gdy spełniasz powyższe warunki, poza tym możesz wyznaczyć go dobrowolnie (art. 37 ust. 4 RODO).

Zdaniem Grupy Roboczej Art. 29 w sytuacji, gdy z przepisów nie wynika obowiązek powołania IOD, powinno się udokumentować decyzję, dlaczego administrator uznał, że nie ma obowiązku jego wyznaczenia. Tego typu praktyka jest zgodna z zasadą rozliczalności.

Po wyznaczeniu IOD, administrator musi opublikować dane do kontaktu z inspektorem i zawiadomić Prezesa Urzędu Ochrony Danych Osobowych.

obowiązek wyznaczenia inspektora ochrony danych w firmie

Przetwarzanie danych osobowych jest procesem ciągłym, który wymaga od przedsiębiorców kontroli zgodności z RODO i przepisami szczególnymi w stosunku do RODO – z ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i ustawą z dnia 16 lipca 2004 r. Prawo telekomunikacyjne.

Obowiązki RODO dotyczą każdego przedsiębiorcy, bez względu na skalę, etap lub branżę prowadzonej działalności. RODO to wspólny „mianownik” ochrony danych. Wszystkich traktuje jednakowo. Nie ma dla niego znaczenia, czy startujesz z biznesem, czy posiadasz rozpoznawalną markę. Czy jesteś samozatrudniony, czy zatrudniasz 100 osób. Czy prowadzisz działalność bez rejestracji, czy znajdujesz się w rejestrze CEIDG bądź w KRS. Czy działasz lokalnie, czy też świadczysz usługi na odległość.

Jesteś przedsiębiorcą, przetwarzasz dane osobowe i musisz wdrożyć skuteczne procedury, polityki oraz zasady zgodności z RODO. RODO obowiązuje jednoosobowe działalności gospodarcze, a dokumentacja przetwarzania danych osobowych wykazuje zgodność przetwarzania danych z RODO i może być dowodem na okoliczność, iż dane osobowe są przetwarzane przejrzyście i rzetelnie.

Autor: Prawnik Ewelina Fuławka, Centrum Prawne Online

Masz pytanie? Potrzebujesz dodatkowych informacji?

Zadzwoń lub wyślij wiadomość. Więcej informacji dot. obsługi prawnej e-sklepów i portali internetowych znajduje się na oficjalnym profilu 👉 Centrum Prawne Online

centrum prawne online prawnik ewelina fulawka 

Objaśnienia

Podstawa prawna

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE.L. Nr 119).
  2. Wytyczne Prezesa Urzędu Ochrony Danych Osobowych dot. dokumentacji przetwarzania danych osobowych zgodnie z RODO (źródło: uodo.gov.pl/ pl / 138 / 273).
  3. Wytyczne Grupy Roboczej Art. 29 dotyczące inspektorów ochrony danych (DPO) z 13.12.2016r., zmienione i przyjęte 05.04.2017 r. (źródło: uodo.gov.pl / data / filemanager_pl/ 15.pdf).

Nota prawno–informacyjna

Wiadomości prawne zawarte w niniejszym artykule nie stanowią porady prawnej, lecz mają charakter informacyjny. Artykuł uwzględnia stan prawny obowiązujący w dniu jego sporządzenia tj. w dniu 03.09.2021 r. Kopiowanie oraz rozpowszechnianie artykułu bez zgody Autora jest niedozwolone. W celu skorzystania z artykułu skontaktuj się z Autorem za pośrednictwem strony centrumprawneonline.pl.

  • Wiadomości

Gotowe pomysły na biznes

Artykuły o terminalach płatniczych, które mogą Cię zainteresować:

Więcej
  • Co to jest terminal płatniczy i jak działa? Rodzaje terminali

    • Terminale płatnicze i płatności bezgotówkowe

    Według najnowszych danych zawartych w raportach branżowych, liczba transakcji bezgotówkowych w Polsce rośnie z roku na rok. W 2022 roku odnotowano wzrost o 28% w porównaniu do poprzedniego roku, zaś ich liczba przekroczyła 641 mln (źródło: Fundacja Polska Bezgotówkowa).  To pokazuje, jak ważne stało się dla przedsiębiorców posiadanie terminali płatniczych. Zatem pozyskanie niezbędnej wiedzy na temat tego urządzenia, jego funkcji i metod łączenia jest koniecznością a nie przywilejem.  Czym jest terminal płatniczy oraz jak działa?  Najprościej rzecz ujmując, terminal płatniczy to urządzenie elektroniczne, które umożliwia przeprowadzanie transakcji bezgotówkowych za pomocą kart płatniczych, debetowych czy kredytowych. Służy do autoryzacji, rejestracji i przesyłania danych transakcji do instytucji finansowych.

  • Co jest ważne we współpracy z operatorem terminali płatniczych?

    • Terminale płatnicze i płatności bezgotówkowe

    Czy Twoi klienci również cenią sobie wygodę i wolą płacić kartą płatniczą zamiast gotówką? Ten trend jest nieodwracalny i koszty związane z obsługą terminali płatniczych wpisały się na stałe w księgi rachunkowe firm. Na rynku działa wielu operatorów, którzy oferują usługi płatności bezgotówkowych oraz terminale płatnicze. Każdy operator tzw. acquire posiada indywidualne oferty handlowe, których porównanie stanowi niemałe wyzwanie dla przedsiębiorcy. Opłaty za terminal płatniczy i stawki prowizyjne za transakcje kartą Pierwszy obszar to warunki handlowe. Prowizje za transakcje kartą mogą być stałe lub zmienne; co więcej mogą zawierać dodatkowe opłaty uzależnione od rodzaju kart płatniczych czy typu transakcji (krajowe, zagraniczne, biznes, Visa, MasterCard, Maestro). Warto pamiętać, że na koszt prowizji składa się marża operatora, opłaty interchange oraz opłaty systemowe, które są zróżnicowane.

  • Ile kosztuje terminal płatniczy? Opłaty za dzierżawę terminala, prowizje…

    • Terminale płatnicze i płatności bezgotówkowe

    Koszty zawsze wywołują emocje i różnie na nie reagujemy. Wśród przedsiębiorców znajdą się świadomi przedstawiciele, którzy wiedzą, że za jakość trzeba zapłacić i nie ma nic za darmo; jak i tacy, którzy uważają, że terminale płatnicze powinny być bezpłatne przez cały okres współpracy.  Tego typu oczekiwania miałyby racje bytu, gdyby urządzenia, serwis gwarancyjny, systemy rozliczeniowe, serwery, pracownicy i dziesiątki niezbędnych zasobów nic nie kosztowały.  Niestety rzeczywistość jest zgoła odmienna. Zatem, czy reklamy z hasłami „terminal płatniczy za 0 zł” wprowadzają w błąd? Przecież nie ma nic za darmo! Za chwilę odpowiem na to pytanie, napiszę również kilka słów o programie PWOB i na końcu przedstawię koszty związane z użytkowaniem terminala płatniczego, na które składają się zasadniczo 3 kategorie: koszty dzierżawy terminala, prowizje od transakcji, dodatkowe opłaty stosowane przez poszczególnych operatorów.

  • Własny terminal płatniczy bez abonamentu czy najem urządzenia od operatora?

    • Terminale płatnicze i płatności bezgotówkowe

    Niejeden przedsiębiorca zastanawia się, czy kupić terminal płatniczy na własność, aby nie płacić miesięcznego abonamentu lub kompleksowo skorzystać z usług operatora płatności bezgotówkowych i postawić na dzierżawę. Firmy sprzedające urządzenia będą zachwalać opcję z własnym terminalem, zaś przedstawiciele operatora płatności bezgotówkowych będą wskazywać na najem.  Kogo zatem słuchać? Na szczęście nie musimy wsłuchiwać się w głosy perswazji i argumenty sprzedażowe, tylko można policzyć, które rozwiązanie będzie najlepsze. 

  • Obowiązkowy terminal płatniczy. Od kiedy i dla kogo?

    • Terminale płatnicze i płatności bezgotówkowe

    Wprowadzenie „obowiązku” posiadania terminala płatniczego wzbudza niemałe emocje i przyczynia się do burzliwych dyskusji w mediach społecznościowych. W komentarzach można spotkać się z obrońcami walczącymi o demokrację i prawa wolności, wygłaszającymi hasła „tylko gotówka”. A jak to jest naprawdę, czy każda firma w Polsce musi posiadać terminal płatniczy? Otóż, nie! Najpierw należy zweryfikować obowiązek posiadania kasa fiskalnej ze swoim księgowym. Jeżeli firma ma obowiązek prowadzenia ewidencji sprzedaży przy zastosowaniu kas rejestrujących to dopiero wtedy musi zadecydować, w jaki sposób spełni obowiązek udostępniania płatności bezgotówkowych, co nie jest jednoznaczne z wymogiem posiadania nowego terminala płatniczego. Przedsiębiorca ma obowiązek zapewnienia zapłaty przy użyciu instrumentu płatniczego Zerknijmy do dokumentów prawnych, mianowicie do Ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców a konkretnie do artykułu 19a, który to ten obowiązek reguluje.

  • Terminal płatniczy i „ukryte” koszty, na które należy zwrócić uwagę

    • Terminale płatnicze i płatności bezgotówkowe

    Na rynku terminali płatniczych jest wielu operatorów, którzy oferują indywidualne warunki handlowe, zaś ich przedstawiciele handlowi mogą stosować różne sztuczki i techniki, aby zaprezentować swoją ofertę w jak najlepszym świetle, zaś niewygodne kwestie przemilczeć.   Zdaję sobie sprawę, że dla osoby spoza branży porównanie poszczególnych ofert to nie lada wyzwanie, ale pomogę Ci w tym i wskażę obszary, na które należy zwrócić uwagę, aby nie popełnić kosztownych błędów.  Uważaj przede wszystkim na... ⛔️ Czas na jaki jest podpisywana umowa. Stara zasada: nie wiesz co będzie za rok, zwłaszcza w tak dynamicznie zmieniającym się środowisku biznesowym, więc nie podpisuj długoterminowych kontraktów, bo zapłacisz kary finansowe za wcześniejsze zerwanie umowy ⛔️ jeśli będziesz potrzebował nagle zakończyć współpracę.