stat

Dane osobowe samozatrudnionych a nowe przepisy

Od 25 maja 2018 r. podmioty, które wykorzystują dane osobowe osób prowadzących jednoosobowe działalności gospodarcze stały się administratorami tych danych osobowych.
Od 25 maja 2018 r. podmioty, które wykorzystują dane osobowe osób prowadzących jednoosobowe działalności gospodarcze stały się administratorami tych danych osobowych. fot. 123rf

Od kilku dni obowiązuje w Polsce unijne rozporządzenie o ochronie danych osobowych - RODO. Wielu przedsiębiorców nie zdaje sobie z tego sprawy, że są zobowiązani do stosowania w swojej działalności RODO, nawet jeżeli nie zatrudniają pracowników i nawet jeżeli nie świadczą usług na rzecz konsumentów.



Model biznesowy wielu przedsiębiorstw polega na świadczeniu usług wyłącznie na rzecz innych przedsiębiorców, którzy to bardzo często działają w formie jednoosobowej działalności gospodarczej, tzw. samozatrudnienia. Już sama nazwa działalności takiego samozatrudnionego zawiera w sobie dane osobowe, gdyż zgodnie z art. 43 4 kodeksu cywilnego: "Firmą osoby fizycznej jest jej imię i nazwisko. Nie wyklucza to włączenia do firmy pseudonimu lub określeń wskazujących na przedmiot działalności przedsiębiorcy, miejsce jej prowadzenia oraz innych określeń dowolnie obranych".

Imię, nazwisko osoby prowadzącej jednoosobową działalność gospodarczą, nazwa firmy, e-mail, nr telefonu, NIP, REGON, adres siedziby i wiele innych informacji są danymi osobowymi w rozumieniu RODO. Na pierwszy rzut oka mogłoby się wydawać, że skoro większość z tych danych osobowych jest publicznie dostępna np. za pośrednictwem Centralnej Ewidencji i Informacji o Działalności Gospodarczej lub za pośrednictwem strony internetowej samego przedsiębiorcy, to dane te nie będą podlegały ochronie przewidzianej w RODO. Niestety rzeczywistość jest bardziej skomplikowana niż się z pozoru wydaje, gdyż RODO nie wprowadza wyłączeń co do przetwarzania danych osobowych samozatrudnionych.

Przy okazji wejścia w życie RODO dojdzie do nowelizacji szeregu ustaw, w tym także do uchwalenia nowej ustawy o ochronie danych osobowych w miejsce aktualnie obowiązującej. Dotychczasową podstawą prawną wyłączającą jawne dane i informacje udostępniane przez CEIDG spod obowiązywania przepisów dotychczasowej ustawy o ochronie danych osobowych był art. 50 ustawy o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy. Ustawodawca w projektowanych zmianach - póki co - nie przewidział nowelizacji art. 50 tego przepisu stąd brak (przynajmniej na razie) podstaw do wyłączenia stosowania nowej ustawy o ochronie danych osobowych oraz RODO w stosunku do tych danych Oznacza to, że od 25 maja 2018 r. podmioty, które wykorzystują dane osobowe osób prowadzących jednoosobowe działalności gospodarcze (choćby do wystawienia faktury VAT) stały się administratorami tych danych osobowych, co z kolei pociągnie za sobą konieczność realizacji wszystkich obowiązków narzuconych na administratorów przez RODO.

Do podstawowych obowiązków administratorów, które wprowadza RODO należą m.in.:


  1. informowanie osób, od których pozyskuje się dane osobowe, o przysługujących im prawach;

  2. weryfikowanie, czy występują podstawy prawne (np. zgoda, umowa, przepis prawny) i prawnie uzasadnione cele do przetwarzanych danych osobowych;

  3. monitorowanie, czy i które zbędne dane osobowe należałoby usunąć (np. kserokopie lub skany dowodów osobistych);

  4. sprawdzanie jakim podmiotom zewnętrznym zamierza się udostępniać dane osobowe (np. dostawcom usług poczty elektronicznej, biurom rachunkowym, firmom informatycznym, kancelariom prawnym itp.), a następnie zawarcie z nimi umów powierzenia przetwarzania danych osobowych;

  5. stałe monitorowanie ryzyk związanych z bezpieczeństwem danych osobowych;

  6. wprowadzanie odpowiednich dla danego przedsiębiorstwa środków organizacyjnych (np. umowy poufności dla pracowników, polityka zarządzania hasłami, polityka czystego biurka, polityka wynoszenia mobilnych urządzeń przechowujących dane, itp.) oraz technicznych (np. alarm, szafki i szuflady na klucz, agencja ochrony mienia, monitoring, komputery zabezpieczone programami antywirusowymi), które mają za zadanie zminimalizować ryzyko utraty, zniszczenia lub wycieku danych;

  7. informowanie Prezesa Urzędu Ochrony Danych Osobowych o wystąpieniu naruszenia ochrony danych osobowych (np. o zagubieniu pendrive'a z danymi osobowymi) w ciągu 72 h od momentu stwierdzenia naruszenia.


Ponadto w niektórych przypadkach może zaistnieć obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, a także wyznaczenia Inspektora Ochrony Danych Osobowych, czyli osoby, która będzie czuwała nad ochroną danych osobowych w firmie. Należy również pamiętać, iż RODO wprowadza zasadę rozliczalności, która statuuje obowiązek wykazania przez administratorów, że przestrzegają przepisów RODO.

Przedsiębiorcy we własnym interesie powinni przeanalizować, czy RODO obejmie ich działalność, gdyż unijny prawodawca za naruszanie przepisów RODO przewidział dotkliwe kary pieniężne, o których pisaliśmy w artykule: Ochrona praw w razie naruszenia RODO.

Dodaj zdjęcie do artykułu

Opinie (41)

Dodaj opinię

Dodaj opinię

Odpowiedz

Klikając "wyślij", akceptujesz regulamin dodawania opinii.
zamknij

Portal trojmiasto.pl nie ponosi odpowiedzialności za treść opinii.

Moim zdaniem

Najczęściej czytane