Poradnik Przedsiębiorcy

RODO dla przedsiębiorcy w jednoosobowej firmie

RODO zdążyło się już zadomowić wśród polskich i europejskich przedsiębiorców. Jednak wciąż wiele mikro- i małych firm nie przystosowało się do wymogów rozporządzenia, uważając, że ich działalność nie ma większego powiązania z danymi osobowymi osób fizycznych. Czy taki sposób rozumowania jest zgodny z rzeczywistością? Niestety nie – każdy przedsiębiorca posiada przynajmniej niewielką bazę kontaktową swoich klientów lub od czasu do czasu wystawia imienne rachunki czy faktury. To już wystarczy, aby należało przeprowadzić proces adaptacyjny firmy do przepisów rozporządzenia.
Na wstępie należy podkreślić, że RODO obowiązuje, bez wyjątków, wszystkich przedsiębiorców prowadzących swoją działalność gospodarczą na terenie Unii Europejskiej. Nie ma przy tym znaczenia, czy jest to jednoosobowa działalność czy firma zatrudniająca setki osób. Oznacza to, że każdy przedsiębiorca, rozważając czy oraz w jakim stopniu należy przystosować swoje przedsiębiorstwo do nowych wymogów prawnych, jest zobligowany do przeprowadzenia analizy i oceny ryzyka przetwarzania i pozyskiwania danych osobowych. Jak wyglądają obowiązki RODO dla przedsiębiorcy?

Czym jest RODO?

RODO, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/we jest unijnym aktem prawnym dotyczącym przepływu i przetwarzania danych osobowych osób fizycznych. Najprościej rzecz ujmując, RODO jest zestawem przepisów, które informują przedsiębiorców i konsumentów, do czego mają prawo w zakresie prywatnych informacji i w jaki sposób należy się z nimi obchodzić.

RODO z jednej strony zaostrza obowiązek dbania o dane osobowe osób fizycznych, z drugiej jednak – zdejmuje formalizm w tym aspekcie. To od przedsiębiorcy zależy, w jaki sposób i w jakim stopniu będzie prowadził politykę prywatności. Mimo powyższego, rozporządzenie wyszczególnia szereg obowiązków, których przestrzeganie jest obligatoryjne. Najważniejsze z nich to:

  • obowiązek powołania Inspektora Ochrony Danych (IOD) – obowiązek ten dotyczy przedsiębiorstw, w których przetwarzanie danych stanowi podstawę działalności;

  • obowiązek informowania o wycieku danych – RODO nakłada na każdego administratora danych obowiązek poinformowania w ciągu 72 godzin osoby, której dotyczy wyciek, o odkrytym naruszeniu, jeżeli zdarzenie to mogło skutkować trafieniem prywatnych informacji w niepowołane ręce;

  • obowiązek dokumentowania przetwarzania danych osobowych – obowiązek dotyczy prowadzenia rejestru obejmującego rodzaj przetwarzanych danych, cel i sposób ich przetwarzania oraz informację o osobie odpowiedzialnej za przetwarzanie danych. 

Dodatkowo rozporządzenie daje osobom fizycznym realne możliwości do kontrolowania swoich danych osobowych. Najważniejsze uprawnienia to:

  • prawo do dostępu do danych osobowych – konsument ma prawo do udzielenia przez przedsiębiorcę szczegółowych informacji dotyczących posiadanych danych oraz sposobu ich przetwarzania;

  • prawo do przenoszenia danych – każdy konsument może zażądać przeniesienia swoich danych osobowych do innego podmiotu przetwarzającego;

  • prawo do poprawienia danych osobowych – każdy ma prawo do wprowadzania korekt do zebranych przez przedsiębiorstwo danych, które go dotyczą;

  • prawo do bycia zapomnianym – najdalej idące uprawnienie, polega na całkowitym usunięciu zebranych informacji o konkretnej osobie.

RODO a jednoosobowa działalność gospodarcza

W świetle rozporządzenia jego przepisy dotyczą każdego przedsiębiorcy, który prowadzi jednoosobową działalność gospodarczą. Nie ma znaczenia, czym się on zajmuje oraz czy zatrudnia pracowników, czy też nie. Jak to zostało wspomniane na wstępie, RODO dla przedsiębiorcy wymusza przeprowadzenie analizy i oceny ryzyka przetwarzania i pozyskiwania danych osobowych. Taki audyt pozwoli ujawnić rodzaj przetwarzanych danych, sposób ich przetwarzania oraz poziom ich ochrony. Analiza wykaże więc, jaki jest stan zagrożenia przetwarzanych danych osobowych, co pozwoli na podjęcie świadomej decyzji o wprowadzeniu adekwatnych rozwiązań ochronnych w firmie. 

RODO obejmuje jednoosobowe firmy, ale chroni także dane przedsiębiorców znajdujące się w CEIDG na równi z danymi osób fizycznych. Oznacza to, że rozporządzenie oddziałuje na omawianą grupę przedsiębiorców w dwojaki sposób, z jednej strony nakłada na nich obowiązek ochrony danych osobowych kontrahentów, z drugiej – parasol ochronny na równi z konsumentami.

Brak pracowników w jednoosobowej firmie a RODO dla przedsiębiorcy

Należy odróżnić sytuację przedsiębiorcy prowadzącego firmę samodzielnie od takiego, który zatrudnia pracowników. W pierwszym przypadku proces dostosowywania firmy będzie mniej skomplikowany.

Zazwyczaj w jednoosobowej firmie to przedsiębiorca staje się administratorem danych. Należy zastanowić się, w jakich obszarach działalności przedsiębiorstwa dane osobowe osób fizycznych są przetwarzane, tj. wykorzystywane tak, aby w jak największym stopniu chronić dane swoich klientów i kontrahentów.

Nie ma wątpliwości, że przy wystawianiu faktur bądź rachunków musimy mieć na uwadze te sporządzane dla osób fizycznych oraz osób prowadzących działalność gospodarczą. Przetwarzaniem danych osobowych jest również korzystanie z takich narzędzi jak newsletter czy masowa korespondencja. Nawet jeżeli przedsiębiorca korzysta wyłącznie z adresów mailowych, ale w jakikolwiek sposób można powiązać je z konkretnymi osobami, taka korespondencja podlega pod przepisy RODO. Co więcej, nie ma znaczenia, czy będą to adresy klientów, kontrahentów, pracowników czy osób, z którymi przedsiębiorca współpracuje (np. księgowy). 

Wbrew powszechnej opinii dane osobowe to nie tylko imię, nazwisko, PESEL czy NIP. Są to wszystkie informacje pozwalające na identyfikację danej osoby fizycznej, a więc może to być również numer telefonu, adres mailowy, adres korespondencyjny, numer przesyłki poleconej, stanowisko pracy, a nawet informacje o pochodzeniu, przebytych chorobach czy wyznawanej religii.

RODO nakłada dodatkowe obostrzenia na administratorów, którzy w ramach współpracy z innymi podmiotami przekazują posiadane bazy danych osobowych. Chodzi tu np. o współpracę z biurem księgowym, które posiada faktury przedsiębiorcy, o programistę czy moderatora strony internetowej firmy, który ma dostęp do bazy newslettera oraz kont użytkowników, jak również o firmę kurierską, która ma wgląd w dane adresatów nadanych przesyłek. W takich wypadkach przedsiębiorca jest zobowiązany zawrzeć z powyższymi podmiotami umowę o przetwarzaniu danych osobowych oraz prowadzić ewidencję osób upoważnionych do przetwarzania zebranych przez niego informacji o klientach.

Przedsiębiorca zatrudniający pracowników a RODO

W sytuacji, gdy przedsiębiorca zatrudnia pracowników, proces wdrażania RODO dla przedsiębiorcy jest odrobinę bardziej skomplikowany. Przede wszystkim powinien on przeprowadzić „szkolenie”, w ramach którego przekaże pracownikom wszelkie niezbędne informacje dotyczące ochrony danych osobowych. Następnie powinien uzyskać od nich dobrowolne zgody na przetwarzanie ich danych osobowych, poinformować ich o sposobie przetwarzania tych danych oraz o przysługujących im prawach, m.in. do wglądu w dane, ich zmiany, przeniesienia czy zostania zapomnianym. Dodatkowo przedsiębiorca musi także poinformować pracowników o sposobie administrowania baz danych osobowych.

W mikrofirmach zazwyczaj to przedsiębiorca zostaje administratorem, ale firmy małe i średnie coraz częściej decydują się na zatrudnianie profesjonalnych pracowników zajmujących się przetwarzaniem danych osobowych, tzw. Inspektorów Ochrony Danych Osobowych. 

Jakie dokumenty wymagają przepisy RODO dla przedsiębiorcy?

Omawiane rozporządzenie unijne całkowicie zmieniło podejście do ochrony danych osób fizycznych. Zaostrzyło sankcje, ale jednocześnie pozostawiło duży luz decyzyjny administratorom w kwestii wyboru narzędzi i dokumentacji do realizowania ochrony danych. Przepisy RODO dla przedsiębiorcy wspominają o potrzebnych ewidencjach, regulaminach czy klauzulach, jednakże nie reguluje wytycznych, według których należy je przygotowywać i prowadzić. Z tego względu to administrator danych musi zadecydować, jak prowadzić politykę prywatności w firmie i w jakim stopniu zabezpieczać bazy danych swoich klientów i kontrahentów. 

Mimo powyższego, przepisy RODO dla przedsiębiorcy wprowadziło jedną bardzo ważną zasadę, którą muszą respektować wszyscy przedsiębiorcy, mianowicie cała dokumentacja, w tym regulaminy, ewidencje i zbiory informacji muszą być sporządzone w zrozumiałym i prostym języku, tak, aby każda osoba mogła się zapoznać z dokumentacją i ją w całości zrozumieć.

Rodzaj i sposób ochrony zależy przede wszystkim od specyfiki branży, charakteru firmy, a także jej wielkości, jednakże mimo to można wskazać dokumentację, w którą powinien zaopatrzyć się każdy przedsiębiorca. Jest to:

  • polityka bezpieczeństwa danych osobowych;

  • polityka kluczy;

  • dokument inwentaryzacji zasobów informacyjnych;

  • dokument ewidencji zawartych umów powierzenia przetwarzania danych osobowych;

  • dokument rejestru czynności przetwarzania;

  • wykaz obszaru przetwarzania;

  • wykaz przetwarzanych zbiorów danych osobowych;

  • protokół szacowania ryzyka dla dokumentów tradycyjnych oraz elektronicznych;

  • dokumentacja klauzul informacyjnych;

  • dokumentacja podstawowych zasad zabezpieczenia danych i zgłaszania naruszeń;

  • dokument opisujący procedurę naruszenia przetwarzanych danych osobowych.

RODO dla przedsiębiorcy w jednoosobowej firmie – podsumowanie

Od wejścia rozporządzenia w życie minął już przeszło rok, jednakże w dalszym ciągu mikro-, mali i średni przedsiębiorcy mają z nim problemy – niektórzy wdrożyli go częściowo, inni nie wykonali nawet audytu. Wielu z przedsiębiorców prowadzących jednoosobową firmę wciąż nie jest pewna, czy w ich przypadku są zobowiązani do wprowadzenia procesów ochrony danych osobowych na takich samych zasadach co duże przedsiębiorstwa. W każdym wypadku na takie pytanie należy odpowiedzieć twierdząco. RODO ma zastosowanie do każdego przedsiębiorcy, dla przepisów o ochronie danych osobowych nie ma znaczenia wielkość, rodzaj ani charakter prowadzonej działalności. 

Jeżeli więc prowadzisz jednoosobową działalność i nie zdążyłeś jeszcze wprowadzić RODO w swojej firmie, śpiesz się. Przy małych działalnościach nie będzie to szczególnie skomplikowane, a pozwoli na uchronienie się przed bardzo wysokimi karami finansowymi – nawet do 4% obrotu rocznego firmy lub 20 mln euro.