O wdrożeniu RODO w przedsiębiorstwach, a dokładniej w biurach rachunkowych, pisałam w tym wpisie.

Mam nadzieję, że okazał się przydatny.

W dzisiejszym wpisie będę bazować na wiedzy, którą przekazałam ostatnio. Opisałam wówczas kilka dokumentów, które zasadniczo powinny zostać przygotowane przez właścicieli przedsiębiorstw w związku ze zmianami w zakresie ochrony danych osobowych.

Jednak, jeśli prowadzi się jednoosobową działalność gospodarczą, można zadać sobie pytanie, czy wszystkie te dokumenty należy sporządzić?

Odpowiem na nie poniżej.

Proszę również pamiętać, że ochrona danych osobowych powinna być dostosowana do miejsca, w którym te dane są przetwarzane – na inne zasady położymy nacisk, jeśli prowadząc jednoosobowe przedsiębiorstwo jesteśmy administratorem danych (np. prywatny gabinet psychologiczny, zakład szewski), a na inne, jeśli jesteśmy podmiotem przetwarzającym dane osobowe (np. wspomniane w poprzednim wpisie biuro rachunkowe).

I. RODO w jednoosobowych przedsiębiorstwach – Polityka bezpieczeństwa przetwarzania danych osobowych

W poprzednim wpisie wspomniałam, że czy to administrator, czy też  podmiot przetwarzający powinni stosować odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych osobowych odbywało się zgodnie z zasadami ochrony danych osobowych.

Stosowane środki bezpieczeństwa (fizyczne, techniczne, programy stosowane do przetwarzania danych osobowych) można wymienić w dokumencie o nazwie „Polityka bezpieczeństwa”. Jest to dokument sporządzany na potrzeby przedsiębiorstwa.

Zalecam stworzenie i przechowywanie tego rodzaju dokumentu po to, aby udokumentować wdrożone środki bezpieczeństwa i móc okazać ten dokument w razie kontroli czy zapytania ze strony innego administratora danych (np. przed podpisaniem umowy powierzenia przetwarzania danych osobowych).

II. Polityka prywatności / obowiązek informacyjny w jednoosobowych działalnościach.

To nic innego jak obowiązek nałożony na administratora danych osobowych, który powinien poinformować osoby, których dane przetwarza m.in. o:

–     swoich danych (imię, nazwisko, adres, aktualne dane kontaktowe),

–     celu i podstawie prawnej przetwarzania,

–     okresie, przez który dane będą przechowywane,

–     uprawnieniach osoby, której dane są przetwarzane (np. prawo sprostowania danych),

–     dane Inspektora Ochrony Danych (w jednoosobowych przedsiębiorstwach nie ma konieczności powoływania IOD).

Szczegółowe informacje można znaleźć w art. 13 RODO.

Zasadniczo, obowiązek informacyjny spełniają pracodawcy wobec pracowników. Jeśli prowadzisz jednoosobową działalność, tak naprawdę odpada przesłanka wypełniania obowiązki informacyjnego.

Jeśli jako przedsiębiorca jesteś tylko podmiotem przetwarzającym dane, np. prowadzisz biuro rachunkowe, to obowiązki informacyjne, o których wspomniałam Cię nie obowiązują. Świadczysz usługi na rzecz podmiotów gospodarczych, a nie osób fizycznych (choć fakt, w firmie przedsiębiorcy pojawia się jego imię i nazwisko, czyli dane osobowe, ale nie dajmy się zwariować).

Obowiązek informacyjny może zostać zrealizowany w formie dokumentu – tzw. Polityki prywatności.

O tym dokumencie nie pisałam, ale zapewne nazwa jest Wam znana. Każda witryna internetowa powinna zapewniać dostęp do Polityki prywatności – na moim blogu również ją znajdziecie (link na dole strony). Wówczas, w dokumencie należy dodatkowo zamieścić informacje o plikach cookies.

Jeśli jesteś przedsiębiorcą prowadzącym jednoosobową działalność, np. w formie sklepu internetowego, politykę prywatności musisz posiadać, ponieważ przetwarzasz dane w celu realizacji składanych zamówień. Jeśli strona internetowa ma charakter jedynie informacyjny, np. strona internetowa salonu kosmetycznego, wyłączona jest możliwość komentowania czy umawiania wizyt za pomocą formularza, Polityki nie trzeba tworzyć.

Natomiast, w przypadku, w którym taki przedsiębiorca prowadzi sklep spożywczy, Polityka prywatności byłaby zbędna, ponieważ nie pyta się klientów o ich imię i nazwisko (przymknijmy oczy na tzw. zakupy na zeszyt).

W dalszej części wpisu przywołuję przykład prywatnego gabinetu psychologicznego – przedsiębiorca może stworzyć krótką informację i przechowywać np. w szufladzie w gabinecie, a na prośbę pacjenta – dać ją do przeczytania.

III. RODO – umowa powierzenia przetwarzania danych

Formę i elementy umowy opisałam w poprzednim wpisie. Teraz tylko podkreślę, że jeśli jako przedsiębiorca prowadzący jednoosobową działalność przetwarzasz dane osobowe, których administratorem jest inny podmiot, obok umowy cywilnoprawnej (np. umowy o świadczenie usług księgowych), musi zostać zawarta umowa powierzenia przetwarzania danych osobowych.

Z kolei, jeśli przedsiębiorca nie powierza np. prowadzenia obsługi księgowej, archiwizowania dokumentów zewnętrznej firmie, nie musi zabiegać o sporządzenie umowy powierzenia przetwarzania danych osobowych.

IV. Rejestr czynności przetwarzania/rejestr kategorii czynności przetwarzania

Rejestry omówiłam także w poprzednim wpisie – pamiętajcie, że są dwa rodzaje rejestrów w zależności od tego, czy prowadzi go administrator danych czy też podmiot przetwarzający.

Rejestr czynności przetwarzania danych osobowych musi sporządzać przedsiębiorca, który zatrudnia co najmniej 250 pracowników. Jednak, jeśli przedsiębiorca zatrudnia mniej niż 250 pracowników, ale przetwarza dane osobowe regularnie i w dużej skali, przetwarza dane wrażliwe, czyli m.in. o stanie zdrowia bądź przetwarzanie może powodować naruszenie praw lub wolności osób, których dane dotyczą, powinien również sporządzić jeden z rejestrów.

Jak powyższe odnieść do rzeczywistości?

Przedsiębiorca prowadzący jednoosobową działalność gospodarczą, np. w postaci biura rachunkowego, rzeczywiście regularnie przetwarza dane osobowe, dlatego rejestr kategorii czynności przetwarzania powinien stworzyć.

Jednak, jeśli taki przedsiębiorca prowadzi biuro architektoniczne (gromadzi imię, nazwisko, adres, numer telefonu i numer rachunku bankowego) i realizuje średnio 3 zlecenia miesięcznie, to nie przetwarza danych w dużej ilości, choć regularnie. W takim wypadku nie ma konieczności sporządzenia rejestru czynności przetwarzania.

Przyjrzyjmy się wspomnianemu we wstępie gabinetowi psychologicznemu. Jeśli terapeuta zapisuje jedynie imię i nazwisko oraz numer telefonu pacjenta, a nie sporządza notatek ze spotkań ani nie prowadzi kart pacjenta (stan zdrowia „zapisuje” jedynie w swojej pamięci), również nie musi sporządzać rejestru czynności przetwarzania.

V. Zgoda na przetwarzanie danych osobowych

Zgodę na przetwarzanie danych osobowych należy pobrać, jeśli przedsiębiorca zamierza przetwarzać dane w innym celu niż jest pobiera dane bezpośrednio związane z jego działalnością. Wyjaśnię to na przykładzie:

Jeśli przedsiębiorca prowadzi sklep internetowy to pobiera dane osobowe kupujących na potrzeby realizacji zamówienia (sprawdzenia zapłaty ceny, wysyłki towaru). Przetwarzanie odbywa się wówczas w oparciu o przewidzianą prawem podstawę– art. 6 ust. 1 lit. b RODO:

Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

Jeśli przedsiębiorca chciałby wysyłać kupującemu wiadomości e-mail o nowościach oferowanych do sprzedaży, potrzebuje dodatkowej zgodykupującego na przetwarzanie jego danych osobowych (imię, adres e-mail) w tym celu (innym niż realizacja zamówienia).

Jeśli prowadzisz jednoosobową działalność i nie podejmujesz tego rodzaju działań, nie musisz przygotowywać formularza zgody na przetwarzanie danych osobowych.

VI. Upoważnienie do przetwarzania danych osobowych

Jeśli jesteś przedsiębiorcą i prowadzisz jednoosobową działalność, czyli nie zatrudniasz pracowników ani innych osób na podstawie umów cywilnoprawnych, nie masz kogo upoważniać do przetwarzania danych osobowych.

VII. Podsumowanie – RODO w jednoosobowych działalnościach

Odwołam się znowu do przykładu biura rachunkowego. Jeśli prowadzisz jednoosobową działalność, nie prowadzisz strony internetowej firmy, w związku z RODO, powinieneś przygotować:

1)     Politykę bezpieczeństwa przetwarzania danych,

2)     Umowę powierzenia przetwarzania danych (należy ją zawrzeć z każdym z dotychczasowych klientów) oraz

3)     Rejestr kategorii czynności przetwarzania.

icon
Jeśli masz pytania, potrzebujesz pomocy, indywidualnej konsultacji albo potrzebujesz szkolenia z zakresu RODO napisz do mnie na adres: katarzyna@klemba.pl


Jeśli zaś interesuje Cię szerzej tematyka związana z ochroną danych osobowych i indywidualnie chcesz ją zgłębić, to polecę również komentarz Wydawnictwa C. H. Beck Sp. z o.o:

Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz

Napisz komentarz

Twój adres email nie zostanie opublikowany. Zaznaczone pola są obowiązkowe *