RODO w jednoosobowej działalności gospodarczej - najczęściej zadawane pytania

RODO w firmie wyjaśnia prawnik Ewelina Fuławka

Pomimo tego, iż RODO jest z nami już od ponad trzech lat, to większość mikro i małych przedsiębiorców posiada wątpliwości, czy oby na pewno ich działalność wiąże się z przetwarzaniem danych, które wymagają wprowadzenia procesów zgodnych z RODO. Być może własne standardy ochrony danych są wystarczające?

W niniejszym artykule udzielę odpowiedzi na najczęściej zadawane pytania o RODO, przez osoby fizyczne, które prowadzą własny biznes i chciałyby działać zgodnie z prawem oraz wyjaśnię czym właściwie jest RODO.

Co to jest RODO?

RODO to skrót rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE.L. Nr 119). 

RODO zawiera przepisy normujące przetwarzanie danych osobowych na ternie całego obszaru Unii Europejskiej.

Czy RODO obowiązuje w jednoosobowej działalności gospodarczej? Czy trzeba wdrożyć wszystkie procedury RODO w JDG?

Przepisy RODO dotyczą przetwarzania danych osobowych osób fizycznych, oprócz przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze (art. 2 ust. 2 lit. C RODO).

RODO obowiązuje każdego przedsiębiorcę, który prowadzi działalność gospodarczą na terenie Unii Europejskiej. Nie ma przy tym znaczenia forma prawna prowadzonej działalności, wielkość przedsiębiorstwa, skala działania lub branża.

RODO obowiązuje na równi jednoosobowe działalności gospodarcze, osobowe spółki prawa handlowego lub spółki kapitałowe. RODO obowiązuje również przedsiębiorców, którzy prowadzą działalność bez rejestracji i sprzedają swoje produkty na Instagramie, Facebooku, Allegro, OLX.

Zatem osoba fizyczna prowadząca jednoosobową działalność gospodarczą jest zobligowana do przestrzegania RODO i tym samym ma obowiązek wdrożyć RODO w swoim przedsiębiorstwie. Zatem JDG musi:

  1. ustalić podstawę prawną przetwarzania danych osobowych,
  2. przeprowadzić analizę ryzyka w celu właściwego doboru środków ochrony,
  3. spełnić obowiązek informacyjny względem podmiotów danych,
  4. opracować dokumentację dostosowaną do profilu i organizacji przedsiębiorstwa, mając na uwadze zasadę rozliczalności,
  5. wprowadzić mechanizmy zabezpieczeń danych osobowych,
  6. stosować kontrolę skuteczności funkcjonujących procesów ochrony danych.

Kiedy przetwarzam dane osobowe w swojej firmie? Na czym polega przetwarzanie danych osobowych?

rodo przetwarzanie danych osobowych

Zacznę od przypomnienia czym są dane osobowe. W myśl art. 4 pkt 1 RODO dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, której dane dotyczą. Osoba fizyczna możliwa do zidentyfikowania to osoba, którą można bezpośrednio lub pośrednio zidentyfikować m.in. na podstawie:

  1. imienia i nazwiska,
  2. IMEI,
  3. danych o lokalizacji,
  4. IP,
  5. jednego bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Natomiast przetwarzanie danych osobowych to nic innego, jak operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, tj.: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych (art. 4 pkt 2 RODO).

W tym miejscu należy podkreślić, że RODO stosujemy wyłącznie do przetwarzania danych osobowych:

  1. w sposób tradycyjny (np. segregatory), kiedy dane są przetwarzane w zbiorach danych lub mają w nich być przetwarzane;
  2. w sposób całkowicie lub częściowo zautomatyzowany (np. program komputerowy), niezależnie od tego, czy przetwarzane są w zbiorach danych (art. 2 ust. 1 RODO).

W konsekwencji przetwarzanie oznacza każde działanie, którego przedmiotem są dane osobowe. Jednakże mając na uwadze art. 2 ust. 1 RODO musisz zapamiętać, że RODO ma zastosowanie do przetwarzania w sposób tradycyjny, gdy dane stanowią część zbioru.

Zatem przetwarzasz dane w swojej firmie, kiedy np.:

  1. wystawiasz fakturę VAT,
  2. świadczysz usługę newslettera,
  3. wysyłasz e-booka,
  4. zbierasz dane za pośrednictwem elektronicznych formularzy do kontaktu,
  5. prowadzisz fanpage na FB oraz profil firmowy na Instagramie,
  6. publikujesz zdjęcia osoby fizycznej na swojej stronie internetowej,
  7. tworzysz bazy mailingowe,
  8. przechowujesz adresy IP,
  9. zapisujesz nagrania z rozmów wideo,
  10. wysyłasz ofertę swoich usług lub produktów.

Jakie dokumenty są wymagane przez RODO? Gdzie znajdę listę obowiązkowych dokumentów RODO?

dokumenty wymagane przez rodo

Rozporządzenie o ochronie danych osobowych nie zawiera katalogu obowiązkowych dokumentów RODO, lecz stanowi o bezpieczeństwie danych, które osiągniesz poprzez wprowadzenie dopasowanych do Twojego przedsiębiorstwa (w oparciu o analizę ryzyka) procedur, polityk oraz rejestrów.

Zgodnie ze stanowiskiem Prezesa Urzędu Ochrony Danych Osobowych, który posiada umocowanie prawne do wydawania wytycznych oraz interpretowania przepisów RODO, administrator danych osobowych powinien prowadzić odpowiednią dokumentację ze względu na zasadę rozliczalności.

Zasada rozliczalności według przepisów RODO oznacza, że na administratorze spoczywa obowiązek udowodnienia, że dane osobowe są przetwarzane:

  1. zgodnie z prawem,
  2. przejrzyście,
  3. rzetelnie.

Prezes UODO wskazał, że dokumentacja przetwarzania danych osobowych wykazuje zgodność przetwarzania danych z RODO i może być dowodem na okoliczność, iż dane osobowe są przetwarzane przejrzyście oraz rzetelnie. Dlatego zdaniem Prezesa UODO administrator danych osobowych ma obowiązek opracować:

  1. rejestr czynności przetwarzania danych,
  2. rejestr naruszeń ochrony danych,
  3. raport z analizy ryzyka,
  4. raport z ocen skutków dla ochrony danych (jeśli dotyczy),
  5. procedurę zgłaszania incydentów bezpieczeństwa,
  6. procedury związane z pseudonimizacją i szyfrowaniem (jeśli są konieczne),
  7. procedury odtwarzania systemu po awarii.

Jednym z najważniejszych obowiązków RODO dla przedsiębiorców, którzy za pośrednictwem swoich stron internetowych lub profili w Social Media zbierają dane osobowe jest obowiązek informacyjny.

Zgodnie z art. 13 oraz 14 RODO administrator powinien zrealizować obowiązek informacyjny, kiedy zbiera dane osobowe bezpośrednio lub pośrednio od osoby, której dane dotyczą. Zbieranie danych osobowych, to nic innego jak wejście w ich posiadanie.

Przedsiębiorca ma obowiązek przekazania informacji ujętych w art. 13 oraz 14 RODO osobie, której dane dotyczą (dalej „podmiotowi danych”):

  1. w momencie zbierania danych – jeżeli uzyskuje dane od podmiotu danych,
  2. w rozsądnym terminie, zależnie od okoliczności ¬– jeżeli danych nie uzyskał od podmiotu danych, lecz z innego źródła.

Obowiązek informacyjny polega głównie na przekazaniu informacji o tożsamości administratora danych, odbiorcach danych, celu i podstawie przetwarzania danych, listy uprawnień osoby, której dane dotyczą. Przedsiębiorcy zazwyczaj przekazują wymienione informacje w polityce prywatności, która powinna zostać opublikowana w dostępnym i widocznym miejscu na stronie firmy.

Obowiązki przedsiębiorców na Instagramie lub Facebooku są identyczne z obowiązkami osób, które powadzą sprzedaż za pośrednictwem własnych stron internetowych lub serwisów z ogłoszeniami.

Facebook Inc. posiada własne zasady bezpieczeństwa danych użytkowników, które przetwarza w celu obsługi produktów i funkcji FB np. Instagrama lub Messengera. Polityka prywatności FB nie normuje zasad przetwarzania danych osobowych, zbieranych za pośrednictwem Twojego fanpage. Dlaczego? Facebook nie jest administratorem danych osobowych, które to Ty wykorzystujesz do celów gospodarczych.

Będąc administratorem firmowego fanpage na Facebooku musisz posiadać własną politykę ochrony danych, do której odnośnik należy zamieścić w sekcji strony o nazwie „zasady ochrony prywatności.”

Zatem rejestr czynności przetwarzania danych, rejestr naruszeń ochrony danych, raport z analizy ryzyka, procedura zgłaszania incydentów bezpieczeństwa, polityka bezpieczeństwa zgodna z RODO, polityka prywatności na stronę internetową, polityka ochrony danych osobowych na profil firmowy w Social Media to dokumentacja, która z pewnością przyda się każdemu przedsiębiorcy w przetwarzaniu danych osobowych zgodnie z zasadą rozliczalności.

Warto wiedzieć
Dokumentację przetwarzania danych należy tworzyć w oparciu o analizę ryzyka!

Czy w jednoosobowej działalności gospodarczej mam obowiązek powołania inspektora ochrony danych? Kim jest inspektor ochrony danych?

Przepis art. 37 ust. 5 RODO stanowi, że „Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań”.

Zatem inspektor ochrony danych to ekspert posiadający odpowiednią wiedzę na temat prawa oraz doświadczenie w ochronie danych. Zadania inspektora znajdziesz w art. 39 RODO.

kto ma obowiazek powolania inspektora danych osobowych

Każdy przedsiębiorca, bez względu na formę prawną działalności, w tym jednoosobowa działalność gospodarcza, ma obowiązek korzystania z pomocy inspektora ochrony danych (dalej „IOD”) jeżeli:

  1. główna działalność administratora polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  2. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (art. 9 ust.1 RODO) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa (art. 10 RODO).

Musisz wyznaczyć IOD, gdy spełniasz powyższe warunki, poza tym możesz wyznaczyć go dobrowolnie (art. 37 ust. 4 RODO).

Zdaniem Grupy Roboczej Art. 29 w sytuacji, gdy z przepisów nie wynika obowiązek powołania IOD, powinno się udokumentować decyzję, dlaczego administrator uznał, że nie ma obowiązku jego wyznaczenia. Tego typu praktyka jest zgodna z zasadą rozliczalności.

Po wyznaczeniu IOD, administrator musi opublikować dane do kontaktu z inspektorem i zawiadomić Prezesa Urzędu Ochrony Danych Osobowych.

obowiązek wyznaczenia inspektora ochrony danych w firmie

Przetwarzanie danych osobowych jest procesem ciągłym, który wymaga od przedsiębiorców kontroli zgodności z RODO i przepisami szczególnymi w stosunku do RODO – z ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i ustawą z dnia 16 lipca 2004 r. Prawo telekomunikacyjne.

Obowiązki RODO dotyczą każdego przedsiębiorcy, bez względu na skalę, etap lub branżę prowadzonej działalności. RODO to wspólny „mianownik” ochrony danych. Wszystkich traktuje jednakowo. Nie ma dla niego znaczenia, czy startujesz z biznesem, czy posiadasz rozpoznawalną markę. Czy jesteś samozatrudniony, czy zatrudniasz 100 osób. Czy prowadzisz działalność bez rejestracji, czy znajdujesz się w rejestrze CEIDG bądź w KRS. Czy działasz lokalnie, czy też świadczysz usługi na odległość.

Jesteś przedsiębiorcą, przetwarzasz dane osobowe i musisz wdrożyć skuteczne procedury, polityki oraz zasady zgodności z RODO. RODO obowiązuje jednoosobowe działalności gospodarcze, a dokumentacja przetwarzania danych osobowych wykazuje zgodność przetwarzania danych z RODO i może być dowodem na okoliczność, iż dane osobowe są przetwarzane przejrzyście i rzetelnie.

Autor: Prawnik Ewelina Fuławka, Centrum Prawne Online

Masz pytanie? Potrzebujesz dodatkowych informacji?

Zadzwoń lub wyślij wiadomość. Więcej informacji dot. obsługi prawnej e-sklepów i portali internetowych znajduje się na oficjalnym profilu 👉 Centrum Prawne Online

centrum prawne online prawnik ewelina fulawka 

Objaśnienia

Podstawa prawna

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE.L. Nr 119).
  2. Wytyczne Prezesa Urzędu Ochrony Danych Osobowych dot. dokumentacji przetwarzania danych osobowych zgodnie z RODO (źródło: uodo.gov.pl/ pl / 138 / 273).
  3. Wytyczne Grupy Roboczej Art. 29 dotyczące inspektorów ochrony danych (DPO) z 13.12.2016r., zmienione i przyjęte 05.04.2017 r. (źródło: uodo.gov.pl / data / filemanager_pl/ 15.pdf).

Nota prawno–informacyjna

Wiadomości prawne zawarte w niniejszym artykule nie stanowią porady prawnej, lecz mają charakter informacyjny. Artykuł uwzględnia stan prawny obowiązujący w dniu jego sporządzenia tj. w dniu 03.09.2021 r. Kopiowanie oraz rozpowszechnianie artykułu bez zgody Autora jest niedozwolone. W celu skorzystania z artykułu skontaktuj się z Autorem za pośrednictwem strony centrumprawneonline.pl.

  • Wiadomości

Gotowe pomysły na biznes

Artykuły o terminalach płatniczych, które mogą Cię zainteresować:

Więcej
  • Obowiązkowy terminal płatniczy. Od kiedy i dla kogo?

    • Terminale płatnicze i płatności bezgotówkowe

    Wprowadzenie „obowiązku” posiadania terminala płatniczego wzbudza niemałe emocje i przyczynia się do burzliwych dyskusji w mediach społecznościowych. W komentarzach można spotkać się z obrońcami walczącymi o demokrację i prawa wolności, wygłaszającymi hasła „tylko gotówka”. A jak to jest naprawdę, czy każda firma w Polsce musi posiadać terminal płatniczy? Otóż, nie! Najpierw należy zweryfikować obowiązek posiadania kasa fiskalnej ze swoim księgowym. Jeżeli firma ma obowiązek prowadzenia ewidencji sprzedaży przy zastosowaniu kas rejestrujących to dopiero wtedy musi zadecydować, w jaki sposób spełni obowiązek udostępniania płatności bezgotówkowych, co nie jest jednoznaczne z wymogiem posiadania nowego terminala płatniczego. Przedsiębiorca ma obowiązek zapewnienia zapłaty przy użyciu instrumentu płatniczego Zerknijmy do dokumentów prawnych, mianowicie do Ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców a konkretnie do artykułu 19a, który to ten obowiązek reguluje.

  • Otworzyłeś firmę i potrzebujesz nowy terminal płatniczy?

    • Terminale płatnicze i płatności bezgotówkowe

    Na wstępie gratuluję Ci rozpoczęcia działalność gospodarczej i życzę powodzenia w rozwoju własnego biznesu. Przed Tobą wiele wyzwań, natomiast w tym wpisie skupię się na kwestii związanej z wyborem terminala płatniczego i podzielę się kilkoma wskazówkami, które uchronią Cię przed popełnieniem kosztownych błędów. Jeśli nie lubisz czytać to zadzwoń na numer 534 001 002 i omówimy dostępne możliwości. Szczegółowe informacje o mnie oraz dane kontaktowe znajdziesz na stronie dot. oferty na terminal płatniczy. Zanim wybierzesz terminal i dostawcę to odpowiedz na kilka pytań Jaki obrót na terminalu przewidujesz w pierwszym roku prowadzenia działalności? Trudne pytanie, natomiast musisz założyć ile będziesz przyjmować płatności kartą od klientów a ile gotówką. Późnej wyjaśnię dlaczego to ważne.

  • Gdzie Polacy chcą płacić bezgotówkowo?

    • Terminale płatnicze i płatności bezgotówkowe

    Polacy coraz częściej korzystają z płatności bezgotówkowych, ale wciąż są miejsca, gdzie konsumenci nie mają możliwości wyboru metody płatności. Według najnowszych wyników badania Maison & Partners dla Fundacji Polska Bezgotówkowa, respondentom najbardziej brakuje możliwości płacenia kartą lub telefonem na pobliskich bazarkach (46%). Jako punkty, gdzie nie można zapłacić bezgotówkowo respondenci wskazują także na usługi krawieckie (30%), usługi szewskie (28%), kościół (28%) oraz warsztaty samochodowe (26%). Wiele osób ma również poczucie, że często nie mają możliwości dokonania płatności na stoiskach podczas imprez plenerowych (39%) oraz podczas akcji organizowanych przez organizacje charytatywne (31%). 

  • Nie przepłacaj za terminal płatniczy! Porównaj i wybierz najlepszą ofertę

    • Terminale płatnicze i płatności bezgotówkowe

    Prowadzisz firmę i nieustannie próbujesz nadążyć z realizacją bieżących zadań oraz gasisz pożary… Znajoma rzeczywistość? To zatrzymaj się na chwilę i przeanalizuj koszty, które ponosisz, bo może się okazać, że dzięki obniżeniu opłat nie będziesz musiał brać kolejnego zlecenia, aby zarobić „na koszty”.   Powyższa sytuacja, tj. pośpiech, brak czasu, wszystko „na wczoraj”, przysłowiowa bieżączka… sprzyja wybieraniu niekorzystnych ofert. Nie zamierzam w tym wpisie skupiać się na organizacji czasu pracy, lecz moim celem jest zachęcenie przedsiębiorców do otwartości na zmianę i znalezienie w swoich grafikach miejsca na rozmowę z konkurencyjnymi dostawcami usług, z których korzystają, m.in. terminali płatniczych. 

  • Ile kosztuje terminal płatniczy? Opłaty za dzierżawę terminala, prowizje…

    • Terminale płatnicze i płatności bezgotówkowe

    Koszty zawsze wywołują emocje i różnie na nie reagujemy. Wśród przedsiębiorców znajdą się świadomi przedstawiciele, którzy wiedzą, że za jakość trzeba zapłacić i nie ma nic za darmo; jak i tacy, którzy uważają, że terminale płatnicze powinny być bezpłatne przez cały okres współpracy.  Tego typu oczekiwania miałyby racje bytu, gdyby urządzenia, serwis gwarancyjny, systemy rozliczeniowe, serwery, pracownicy i dziesiątki niezbędnych zasobów nic nie kosztowały.  Niestety rzeczywistość jest zgoła odmienna. Zatem, czy reklamy z hasłami „terminal płatniczy za 0 zł” wprowadzają w błąd? Przecież nie ma nic za darmo! Za chwilę odpowiem na to pytanie, napiszę również kilka słów o programie PWOB i na końcu przedstawię koszty związane z użytkowaniem terminala płatniczego, na które składają się zasadniczo 3 kategorie: koszty dzierżawy terminala, prowizje od transakcji, dodatkowe opłaty stosowane przez poszczególnych operatorów.

  • Ranking terminali płatniczych. Najlepszy terminal w 2024

    • Terminale płatnicze i płatności bezgotówkowe

    Szukasz rankingu terminali płatniczych? Tylko po co, ponieważ oferty na terminale płatnicze są indywidualne i zależą między innymi od obrotów firmy, wysokości transakcji, struktury kart, ilości urządzeń, rodzajów terminali. Z uwagi na powyższe zmienne nie można stworzyć obiektywnego porównania poszczególnych operatorów płatniczych, dlatego warto stworzyć własne zestawienie w oparciu o niezbędne kryteria i informacje, które omawiam w niniejszym wpisie.  Użyteczność rankingów terminali płatniczych Rankingi dostępne w Internecie są pewnym uproszczeniem, przedstawiającym subiektywne zestawienia oparte na doświadczeniu autorów lub wybranych kryteriach, które zniekształcają rzeczywistość.