+48 12 210 08 78 (pon-pt 9-20, sob 9-13) info@sovaaccounting.pl

Co to jest RODO?

GDPR (General Data Protection Regulation), czyli rozporządzenie o Ochronie Danych Osobowych 2016/679, powszechnie nazywane RODO to akt prawny, który na nowo definiuje zagadnienia ochrony danych osobowych. Obowiązywać będzie w całej Unii Europejskiej od dnia 25.05.2018 r.  

Ideą RODO jest ujednolicenie przepisów dotyczących ochrony danych osobowych. Każdy kraj ma możliwość doprecyzowania regulacji w ramach własnej ustawy o ochronie danych osobowych, jednakże nie może być ona sprzeczna z rozporządzeniem ogólnym.
W Polsce 22 maja 2018 r. Prezydent RP podpisał ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych.


O jakie dane chodzi?


Zgodnie z art. 4 ust. 1 rozporządzenia RODO:

„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Najprościej rzecz ujmując, całe rozporządzenie ma na celu ochronę danych, za pomocą których można zidentyfikować osobę fizyczną. Danymi takimi są m.in.:  imię i nazwisko, numer PESEL, numer identyfikacyjny, adres IP, adres zamieszkania, numer telefonu, a także prywatny adres mailowy.

 

Kogo dotyczy RODO?

Każdy podmiot przetwarzający dane zobowiązany jest do stosowania RODO. Może to być przedsiębiorca działający na terenie UE, a nawet oddział w Unii Europejskiej przedsiębiorcy mającego siedzibę poza Unią. Nie ma znaczenia narodowość osób, których dane osobowe są przetwarzane. Nie ma znaczenia to, gdzie są przetwarzane dane osobowe (gdzie znajdują się serwery).
Wyłączenie od stosowania rozporządzenia występuje w przypadku przetwarzania danych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze.

 

Kiedy przetwarzasz dane?

Zgodnie z art. 4 ust. 2 rozporządzenia RODO:

„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych, lub zestawach danych osobowych w sposób zautomatyzowany, lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

Przykłady:

  • wysyłasz newsletter – przetwarzasz dane osobowe subskrybentów 
  • zatrudniasz współpracowników – przetwarzasz dane niezbędne do zatrudnienia
  • sprzedajesz produkty – przetwarzasz dane osobowe kupujących

 

Co zmienia RODO?

 

RODO znosi obowiązek:

  • rejestracji zbiorów danych osobowych,
  • zmiany hasła co 30 dni (a także nie ingeruje w formę hasła),
  • sporządzenia umowy powierzenia na piśmie
  • sformułowania polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznym

RODO wprowadza m.in.:

  • minimalizację wykorzystywania danych, czyli przetwarzania danych niezbędnych dla danego celu,
  • obowiązek zgłoszenia incydentu naruszenia ochrony danych osobowych w ciągu 72 godzin do Prezesa Urzędu Ochrony Danych Osobowych
  • konieczność poinformowania klienta (tj. osoby, której dane dotyczą) o sytuacji, w której doszło do naruszenia ochrony jego danych osobowych
  • prawo do bycia zapomnianym, czyli uprawnienie osoby fizycznej do złożenia wniosku o usunięcie wszelkich danych osobowych z bazy danych przedsiębiorcy
  • prawo do żądania przekazania danych osobowych innemu podmiotowi, tj. możliwość wnioskowania o to, aby jeden podmiot przekazał dane osobowe, przykładowo innemu przedsiębiorcy
  • konieczność określenia przedziału czasu, przez który dane osobowe będą przechowywane, a w sytuacji, gdy nie jest to możliwe, ustalenie kryteriów wyznaczenia tego okresu np. dane klienta będą przechowywane do momentu ustania współpracy.

 

RODO, a wystawianie faktur

RODO poniekąd odnosi się także do fakturowania. W art. 6 wskazuje, że przetwarzanie danych jest zgodne z prawem, gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, czyli na Tobie, jeśli prowadzisz działalność – takim obowiązkiem jest obowiązek wystawiania faktur. Jednocześnie RODO wskazuje, że w takiej sytuacji wyłącza się prawo do usunięcia danych (prawo wprowadza obowiązek przechowywania dokumentów fiskalnych) i prawo do żądania przekazania danych.

 

Zewnętrzne usługi księgowe, a RODO

W takiej sytuacji dochodzi do powierzenia przetwarzania danych osobowych. Biuro rachunkowe przetwarza w ramach księgowania dane osobowe widoczne na fakturach, a także dane twoich współpracowników w ramach obsługi kadrowej. Z kolei dostawca systemu do fakturowania – przechowuje po swojej stronie dane osób, które są na fakturach.

Jeśli w ramach outsourcingu usług związanych z prowadzeniem działalności, powierzasz podmiotom przetwarzanie danych,  jako administrator powinieneś:

  • sprawdzić każdy z nich, pod względem wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO, a więc chroniło prawa osób, których dane dotyczą,
  • zawrzeć z każdym z nich umowę powierzenia – standardem jest umowa zawierana w formie pisemnej, aczkolwiek RODO dopuszcza możliwość zawarcia jej również w formie elektronicznej.

 

RODO, a mały przedsiębiorca w praktyce

Nie panikuj, jeśli nie zdążyłeś przebrnąć przez treść rozporządzenia RODO, na chłodno zastanów się w jakim zakresie przetwarzasz dane klientów i czy przypadkiem nie posiadasz ich za dużo – jeśli tak usuń zbędne dane.  Przywiąż szczególną uwagę do wprowadzenia właściwych metod zabezpieczenia danych, których przetwarzanie jest niezbędne do prowadzenia Twojej działalności – RODO wprowadza odpowiedzialność na zasadzie ryzyka, a więc sam musisz ocenić czy stosowane przez Ciebie metody zabezpieczania danych są wystarczające.

 

Przydatne linki

Przewodnik dla przetwarzających dane:
https://legalgeek.pl/law-how-rodo/

Przewodnik dla MŚP:
http://www.mpit.gov.pl/media/50521/PrzewodnikMSP_RODO_2018.pdf

Informator Ministerstwa Cyfryzacji:
https://www.gov.pl/cyfryzacja/rodo-informator

RODO dla branży internetowej, poradnik sukcesywnie aktualizowany:
https://rodo.iab.org.pl

Guide to the General Data Protection Regulation (GDPR):
https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/

 

Masz jakiekolwiek pytania dotyczące artykułu  – napisz do nas, a jeśli chcesz być na bieżąco odwiedź naszą stronę na facebooku. Jeśli zastanawiasz się nad wyborem optymalnej formy działalności gospodarczej -umów się na bezpłatną konsultację.

General Data Protection Regulation – GDPR/RODO w spółce LTD
5 (100%) 5 votes