Skip to main content

Czy muszę wprowadzić RODO do Jednoosobowej Działalności Gospodarczej?

RODO dla mikro, małych i średnich przedsiębiorców.

RODO obowiązuje bez wyjątków każdego przedsiębiorcę prowadzącego działalność na terenie Unii Europejskiej (nawet odział firmy), zarówno przedsiębiorcę zatrudniającego ponad 500 osób, jak i prowadzącego jednoosobowa działalność gospodarczą. Bez znaczenia jest narodowość, ilość zbieranych danych, to gdzie te dane są przechowywane, a także cel w jakim są przetwarzane.

Każda osoba prowadząca jednoosobową działalność gospodarczą musi przestrzegać przepisów o ochronie danych osobowych, musi też przeprowadzić kilkuaspektową analizę i ocenę ryzyka przetwarzania i pozyskiwania danych osobowych. Audyt RODO najpełniej obrazuje stan ochrony danych w firmie. Następnie po przeprowadzonym audycie lub analizie oceniamy stan zagrożenia i wdrażamy adekwatne rozwiązania. RODO dotyczy to każdego przedsiębiorcy, który prowadzi jednoosobową działalność gospodarczą a także inną formę prawną prowadzenia działalności gospodarczej. W świetle rozporządzenia, nie jest ważne czy posiadasz kilku kontrahentów czy pracujesz dla jednej firmy czy posiadasz tylko jednego stałego klienta od lat.

UWAGA! RODO dotyczy osoby prowadzącej jednoosobową działalność gospodarczą, zarówno w sytuacji mikro, małych i średnich przedsiębiorców.

Według obecnych przepisów prawa w tym Rozporządzenia Rady UE 2016/679 (z dnia 27 kwietnia 2016 r. Dz. Urz. UE.L. Nr 119):

  • Osoby prowadzące jednoosobową działalność gospodarczą bez względu na jej rodzaj będą musiały w pełni stosować i wdrażać przepisy RODO.
  • Dane przedsiębiorców pozyskane z CEIDG będą musiały być chronione tak samo jak „zwykłych osób fizycznych”.

Jak do rozporządzenia RODO ma podejść osoba prowadząca jednoosobową działalność gospodarczą w sytuacji gdy nie zatrudniającą pracowników?

  1. Trzeba wdrożyć skuteczne i realnie funkcjonujące procedury. Kupno gotowej dokumentacji to tylko jeden krok we wdrożeniu RODO. Potrzebny jest audyt, oszacowanie ryzyka, nakreślenie planu poglądowego polityki bezpieczeństwa przetwarzania danych osobowych w firmie. Jeżeli ktoś nie zatrudnia pracowników to musi chronić dane swoich klientów i kontrahentów.
  2. Wystawiając faktury osobom fizycznym lub osobą prowadzącym działalność gospodarczą tylko na podstawie informacji szeroko dostępnych z CEIDG przetwarzane są przez Państwa dane osobowe. Wieloaspektowa analiza i audyt RODO musi dotyczyć tych danych. Należy opracować adekwatne dokumenty i polityki oraz wypełnić obowiązki określone w Rozporządzeniu Rady UE 2016/679 (z dnia 27 kwietnia 2016 r. Dz. Urz. UE.L. Nr 119).
  3. Jeśli wysyłasz newsletter musisz również Pamiętać o RODO. Jeśli prowadzisz wysyłkę newslettera, oznacza to, że przetwarzasz liczne dane osobowe, bez względu na to czy jest to baza kontrahentów, pracowników, klientów czy dziennikarzy, przetwarzasz dane osobowe.
  4. Należy pamiętać, że dane osobowe to wszelkie informacje pozwalające na identyfikację danej osoby fizycznej bądź podmiotu prawnego, czyli numer telefonu, imię i nazwisko, adres mailowy i korespondencyjny. Informację takie jak numer przesyłki poleconej czy numer IP to również dane osobowe.

Przykładowo również przedsiębiorca prowadzący jednoosobowe biuro księgowe, w ramach którego rozlicza innych przedsiębiorców, musi stosować RODO, ponieważ przetwarza dane osobowe swoich klientów, ale również dane osobowe kontrahentów swoich klientów które zawarte są na fakturach klientów.

A co w sytuacji gdy w końcu zdecydujemy się na zatrudnienie pracownika lub pracowników?

Pracodawcy muszą się przygotować do RODO i nowych obowiązków, np.:

  • obowiązków informacyjnych wobec swoich pracowników;
  • uzyskania dobrowolnych zgód na przetwarzania części danych;
  • poinformować pracowników o sposobie przetwarzania ich danych osobowych i możliwości ich korygowania;
  • Poinformować pracowników kto jest administratorem ich danych osobowych;
  • Powołać Inspektora Ochrony Danych Osobowych gdy jest to konieczne bądź podzlecić tą funkcję jako outsourcing IOD podmiotowi profesjonalnie zajmującemu się tematyką ochrony danych osobowych.

Jakie dokumenty, polityki, procedury i jaką wiedzę powinna posiadać osoba prowadząca jednoosobową działalność gospodarczą?

RODO całkowicie zmienia zasady ochrony danych osobowych, firmom które już wcześniej dbały o dane osobowe klientów będzie jednak o wiele łatwiej zrozumieć i wprowadzić RODO. Nowe prawo nakazuje aby każda firma posiadała adekwatne dokumenty, polityki itd. do prowadzonej działalności. Jeżeli wdrożyli Państwo skuteczne systemy ochrony danych osobowych już wcześniej to dokumentację należy zaktualizować i uzupełnić o niezbędne klauzule RODO i klauzulę informacyjne RODO.

Należy również pamiętać, że ochrona danych osobowych powinna być przede wszystkim dostosowana do miejsca, w którym te dane są pozyskiwane i przetwarzane np. prywatny gabinet psychologiczny, wypożyczalnia sprzętu, zakład szewski, dentysta, sklep internetowy i pomieszczenia gospodarcze, fryzjer, kosmetyczka, będą miały inny nacisk na ochronę danych osobowych niż np. wspomniane biuro księgowe czy biuro rachunkowe.

  1. Przykładowe dokumenty i procedury wymagane przez RODO, które przydadzą się każdemu przedsiębiorcy:
    • polityka bezpieczeństwa danych zgodna z RODO 2018
    • dokument inwentaryzacji zasobów informacyjnych (z przykładowym uzupełnieniem)
    • Pomocniczy wzór tabeli do inwentaryzacji zasobów informacyjnych
    • dokument ewidencji zawartych umów powierzenia przetwarzania danych osobowych
    • dokument rejestru czynności przetwarzania
    • dokument rejestru wszystkich kategorii czynności przetwarzania
    • wykaz obszaru przetwarzania
    • wykaz przetwarzanych zbiorów danych osobowych
    • wzór inwentaryzacji zasobów informatycznych
    • metodologia szacowania ryzyka
    • wzór protokołu szacowania ryzyka dla dokumentów tradycyjnych
    • wzór protokołu szacowania ryzyka dla dokumentów elektronicznych
    • dokumentacja klauzul informacyjnych
    • dokumentacja podstawowych zasad zabezpieczenia danych i zgłaszania naruszeń
    • wzór oświadczenia dla osób upoważnionych
    • wzór upoważnienia do przetwarzania
    • wzór ewidencji osób upoważnionych do przetwarzania
    • wzór ogólny umowy powierzenia przetwarzania danych osobowych
    • opracowana procedura naruszenia danych osobowych
  2. Dokumenty pomocnicze do wdrożenia RODO:
    • upoważnienie wyznaczające Pełnomocnika ds. Danych Osobowych
    • wykaz podmiotów, którym powierzono przetwarzanie.
    • wykaz udostępnień danych osobom, których dotyczą.
    • polityka kluczy
    • Instrukcja Zarządzania Systemem Informatycznym
    • upoważnienie Administratora Systemu Informatycznego.
    • ewidencja zasobów informatycznych

Trzeba pamiętać że są to jedynie przykładowe dokumentację i procedury, gdyż w zależności od podmiotu i wyników audytu będą ciążyły na nas różne obowiązku RODO.

Niektóre dokumenty obowiązkowe dla jednych firm mogą być zbędne przy innych sposobach przetwarzania danych osobowych.

Również trzeba pamiętać że na każdym przedsiębiorcy ciąży obowiązek informacyjny. Zakres informacji zależny jest od danych, które pozyskaliśmy i czy za pomocą zgód legalnych czy takich których legalności nie jesteśmy w stanie w 100% stwierdzić. Nawet gdy Państwa kontrahenci, prowadzą działalność na podstawie wpisu do CEIDG opisanego wyżej, to na gruncie RODO mają Państwo obowiązek informacyjny.

Jakie kary nam grożą w związku z niedostosowaniem działalność do przepisów RODO?

Osobie każdej firmie w tym osobie prowadzącej jednoosobową działalność gospodarczą, w związku z niedostosowanie się do RODO grozi:

  • kara administracyjna sięgająca do 20 mln EURO lub 4% obrotu,
  • odpowiedzialność karna tj. grzywna, kara ograniczenia wolności lub nawet kara pozbawienia wolności do lat trzech.

Obecnie kontrole GIODO są przeprowadzane na podstawie losowych kontroli doraźnych, zawiadomień niezadowolonych klientów, byłych pracowników którzy wiedzą czy w firmie stosuje się i przestrzega przepisów RODO oraz zawiadomień konkurencji. Może się tak zdarzyć że podstaw do kontroli będzie kilka.

Nawet jak prowadzisz jednoosobową działalność gospodarczą i pracujesz na umowie o współpracy to RODO w dalszym ciągu obowiązuje Ciebie.

RODO a rzeczywistość

RODO w dalszym ciągu sprawia najwięcej problemów mikro, małym i średnim przedsiębiorcom, a szczególnie przedsiębiorcom prowadzącym 1-os. działalność gospodarczą. Setki zapytań niemal o identycznej treści jasno wskazują na wątpliwości o to czy jako prowadzący jednoosobową działalność gospodarczą, bez zatrudniania pracowników jest się zobowiązanym do wdrożenia RODO na takich samych zasadach co duże przedsiębiorstwa.

Na pytania należy odpowiedzieć twierdząco. Rozporządzenie Rady UE 2016/679 (z dnia 27 kwietnia 2016 r. Dz. Urz. UE.L. Nr 119) jasno stanowi, że przepisy RODO obowiązują wszystkich przedsiębiorców, którzy w ramach swojej działalności gospodarczej w jakikolwiek sposób przetwarzają dane osobowe bez względu na to, czy zatrudniają pracowników, czy nie.

RODO ma zastosowanie niemal do każdego przedsiębiorcy. Właściwie przepisy prawa nie przewidują takiego rodzaju działalności który byłby wolny od RODO. Nie ma tu żadnego znaczenia ani charakter, ani wielkość przedsiębiorstwa.

Zapraszamy do zapoznania się z naszymi usługami w zakresie RODO i Outsourcing IOD. W pełni pomożemy przygotować, poprawić i uzupełnić wszystkie niezbędne procedury.

Zapoznaj się z naszą ofertą

  • Jako jedyni ubezpieczamy współpracujących z nami Radców prawnych i Adwokatów, na solidną gwarancję finansową - 1 miliona euro (Każdy włącznie).
  • Nasze usługi przygotowują wyłącznie specjaliści posiadający tytuł Adwokata bądź Radcy prawnego którzy pełnią funkcję Inspektorów Ochrony Danych Osobowych.
  • Zapewniamy pełne zabezpieczenie prawne na rynku E-commerce;
  • Efekt będzie szybki i bez wysiłku – 100 % firm stosujących się do naszych wytycznych przechodziło pozytywnie kontrole GIODO, PUODO i UOKiK-u.

Zobacz więcej ciekawych artykułów na naszym blogu prawnym