Jak do RODO powinna przygotować się osoba prowadząca jednoosobową działalność gospodarczą?

1. Czy RODO dotyczy osoby prowadzącej jednoosobową działalność gospodarczą? Jeśli tak to w jakim zakresie?

RODO dotyczy osób prowadzących jednoosobową działalność gospodarczą.

Według obecnych projektów ustaw:

Po pierwsze osoby prowadzące jednoosobową działalność gospodarczą będą musiały co do zasady w pełni stosować RODO.

Po drugie, należy zauważyć, że dotychczas danymi przedsiębiorców pozyskanymi z CEIDG nie trzeba się było szczególnie martwić. Natomiast  na gruncie RODO dane osób prowadzących jednoosobową działalność gospodarczą będą musiały być  chronione tak samo jak „zwykłych osób fizycznych”.

2. Jak do RODO powinna przygotować się osoba prowadząca jednoosobową działalność gospodarczą nie zatrudniającą pracowników?

Na przygotowanie się do RODO zostało 6 tygodni. Osoba prowadząca jednoosobową działalność gospodarczą musi przeprowadzić wieloaspektową analizę i ocenę ryzyk. Następnie na podstawie wyników ww. analizy i oceny, musi wdrożyć adekwatne rozwiązania. Na rynku pojawiają się oferty „sprzedam dokumentację zgodną z RODO”. Zawsze mam wtedy wątpliwość czy ta dokumentacja będzie adekwatna do sytuacji danego podmiotu. Ponadto samo posiadanie dokumentacji i położenie jej na półkę nie oznacza, że będą Państwo zgodni z RODO. Ostrzegam przed złudnym poczuciem bezpieczeństwa. Trzeba wdrożyć skuteczne i realnie funkcjonujące procedury. Kupno gotowej dokumentacji to tylko jeden krok we wdrożeniu RODO. 

Polecamy: RODO 2019. Plusy i minusy zmian od 4 maja

Jeżeli ktoś nie zatrudnia pracowników to zmniejsza się ilość danych osobowych, które przetwarza i musi chronić. 

3. A jak powinien przygotować się przedsiębiorca zatrudniający pracowników?

Cały czas trwają jeszcze prace nad nowelizacją Kodeksu pracy w związku z RODO. Na pewno Pracodawcy muszą się przygotować do wypełnienia nowych obowiązków, np. obowiązków informacyjnych wobec swoich pracowników oraz uzyskać dobrowolne zgody na przetwarzania części danych osobowych swoich pracowników (tych, które nie będą przetwarzane na podstawie prawa pracy). Przy czym zalecam minimalizować ilość danych pracowników przetwarzanych na podstawie zgody.

4. Co powinien zrobić przedsiębiorca mając jednoosobową działalność gospodarczą, w której jedyne przetwarzane dane to dane do faktur klientów?

Jeżeli wystawiacie Państwo faktury osobom fizycznym lub osobą prowadzącym działalność gospodarczą na podstawie CEIDG i są to jedyne przetwarzane przez Państwa dane osobowe, to wieloaspektowa analiza i ocena ryzyk będzie dotyczyła tylko tych danych. Oczywiście będziecie musieli Państwo opracować adekwatne dokumenty i polityki oraz wypełnić obowiązki określone w RODO.

5. Jakie dokumenty, polityki powinna posiadać osoba prowadząca jednoosobową działalność gospodarczą?

Obecnie odpowiedź na to pytanie możemy znaleźć w  Rozporządzeniu z dnia 22 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024). I zakładam, że każda osoba prowadząca działalność gospodarczą taką dokumentację ma.

Stety lub niestety  RODO zmienia filozofię ochrony danych osobowych. Nakazuje aby każda firma posiadała adekwatną dokumenty, polityki itd.

Czy to oznacza, że całą obecną dokumentację będzie należało wyrzucić do kosza? Moim zdaniem nie. Zwłaszcza, jeżeli wdrożyli Państwo skuteczne systemy ochrony danych osobowych. W mojej ocenie dokumentację należy zaktualizować i uzupełnić.

Na przykład zgodnie z RODO, powinniście Państwo posiadać jako administratorzy rejestry czynności przetwarzania danych osobowych lub jako podmioty przetwarzające rejestry wszystkich kategorii czynności przetwarzania.

Należy też wprowadzić nowe procedury wymagane przez RODO, np. zgłaszania naruszeń ochrony danych osobowych.

6. Jak należy poinformować klientów oraz kontrahentów o zmianach w ochronie danych osobowych?

Należy sprawdzić czy i jaki ciąży na Państwu obowiązek informacyjny. Zakres informacji podawanych klientom zależy od tego czy firmy uzyskały dane od osoby, której dane dotyczą czy w inny sposób. RODO wskazuje, o czym należy poinformować. Jeżeli Państwa kontrahenci, prowadzą działalność na podstawie wpisu do CEIDG, na gruncie RODO również wobec nich będą mieli Państwo obowiązek informacyjny (chyba, że coś się zmieni w projektach ustaw).

Ponadto firmy będą miały obowiązek np. bezzwłocznego zawiadamiania osób których dane dotyczą o naruszeniu ochrony danych osobowych, jeżeli naruszenie to może powodować wysokie ryzyko naruszenia praw lub wolności tej osoby.

7. Jakie kary grożą osobie prowadzącej jednoosobową działalność gospodarczą w związku z niedostosowaniem działalność do RODO?

Osobie prowadzącej jednoosobową działalność gospodarczą, w związku z niedostosowanie się do RODO grozi:

1. kara administracyjna sięgająca 20 mln EUR lub 4% obrotu,
2. odpowiedzialność karna grzywna, kara ograniczenia wolności lub kara pozbawienia wolności do lat trzech.

Oczywiście 20 mln EURO to górny pułap. Zakładam, że kary w praktyce będą niższe choć surowe i dotkliwe.

8. Kiedy GIODO może skontrolować prowadzącego jednoosobową działalność gospodarczą?

Obecnie GIODO może skontrolować osobę prowadzącą jednoosobową działalność gospodarczą prowadząc kontrolę doraźną np. w związku z rozpatrywaną skargą lub w ramach kontroli sektorowych. Oczywiście GIODO powinien zawiadomić podmiot o zamiarze przeprowadzenia Kontroli co najmniej 7 dni wcześniej.

GIODO ma zastąpić PUODO. Poza tym na gruncie projektów nowych przepisów mówi się o kontrolach planowanych lub prowadzonych na podstawie uzyskanych przez Prezesa Urzędu informacji lub w ramach monitorowania stosowania RODO.

Dziękuję za rozmowę: Marta Pawłowska-Ptaszyńska