Czy RODO dotyczy jednoosobowego przedsiębiorcę zatrudniającego jednego pracownika

Emilia Bartkowiak

Autor: Emilia Bartkowiak

Dodano: 25 czerwca 2018
Pytanie:  Jestem przedsiębiorczynią prowadzącą jednoosobową działalność gospodarczą. Proszę o informację na temat obowiązków wynikających z wejścia RODO w przypadku mikroprzedsiębiorcy z jednym pracownikiem przebywającym na urlopie wychowawczym.
Odpowiedź: 

Dla RODO nie ma znaczenia, czy prowadzi Pani działalność na małą skalę, czy też prowadzone przez Panią przedsiębiorstwo to duża firma.

Aby wdrożyć RODO w firmie (jako przedsiębiorca/firma będzie Pani tzw. Administratorem Danych), należałoby podjąć następujące czynności:

1. Dokonać inwentaryzacji (analizy ryzyka wycieku danych z podsumowaniem), czyli sprawdzić i spisać, w jakich obszarach Państwa firma przetwarza dane osobowe, w jaki sposób je przetwarza i w jaki sposób są one zabezpieczone.

2. Wdrożyć stosowne zabezpieczenia wszystkich danych, o jakich mowa w pkt 1 (firma sama może zdecydować, jakie środki zabezpieczenia wdroży z tym że w przypadku kontroli trzeba będzie wykazać, że ta ochrona była najlepsza i najodpowiedniejsza w tym przypadku.

3. Uzyskać zgodę użytkowników/klientów na przetwarzanie ich danych (mechanizm udzielania zgody musi być czytelny i jasny) – jeśli firma wcześniej uzyskiwała zgody na podstawie zasad zawartych w RODO, po 25 maja 2018 r. takiej zgody nie trzeba uzyskiwać po raz kolejny, w przeciwnym razie będzie to konieczne (należy zadbać o właściwe poinformowanie użytkowników, w jakim celu i przez kogo przetwarzane są ich dane osobowe, konieczne będzie także uwzględnienie w klauzulach danych swojej firmy i danych do kontaktu).

4. Przeprowadzić szkolenie pracowników (w Pani przypadku gdy pracownik wróci z urlopu wychowawczego) w zakresie nowych przepisów RODO oraz zastosowania firmowych procedur ochrony danych osobowych – można to zlecić firmie/podmiotowi specjalizującemu się w tych zagadnieniach.

5. Wprowadzić tzw. rejestr czynności przetwarzania, który zawierać będzie wszystkie kategorie czynności przetwarzania, dokonywane w imieniu administratora (przepisy RODO nie określają precyzyjnie, w jakiej formie taki rejestr musi zostać sporządzony – może to być forma elektroniczna lub papierowa – rejestr taki winien zawierać:

  • nazwę podmiotu (lub podmiotów), który przetwarza dane oraz administratorów, w imieniu których działa podmiot przetwarzający,
  • listę kategorii przetwarzań, wykonywanych w imieniu administratorów,
  • opis środków technicznych, związanych z bezpieczeństwem tj. pseudonimizacja i szyfrowanie danych osobowych itd.

6. Zgłaszać wszelkie stwierdzone naruszenia do Prezesa UODO w ciągu 72 h od jego wykrycia i poinformować osoby, których danych wyciekły (by uniknąć dotkliwej kary finansowej).

Każda firma, która: przechowuje dane osobowe pracowników, klientów i/lub partnerów biznesowych; przetwarza dane osobowe w ramach różnych systemów informatycznych; przetwarza i/lub przechowuje dane osobowe w chmurze; wysyła pocztą tradycyjną i/lub elektroniczną imienne wiadomości, oferty i/lub newslettery; prowadzi rekrutację w formie elektronicznej; gromadzi papierowe dokumenty zawierające dane osobowe; monitoruje urządzenia i stanowisk pracy pracowników podlega RODO.

RODO obejmuje każdego przedsiębiorcę – zarówno dużych korporacji jak i niewielkich firm, nie ma natomiast zastosowania do działalności o charakterze osobistym lub domowym (art. 2 ust. 2 RODO).

Do podstawowych obowiązków w związku z wdrożeniem RODO w firmie należą:

  • wdrożenie odpowiednich zabezpieczeń informatycznych,
  • przechowywanie dokumentów papierowych w sposób zabezpieczający je przed dostępem osób nieupoważnionych,
  • przeszkolenie pracowników w zakresie ochrony danych osobowych,
  • prowadzenie ewidencji osób (pracowników) upoważnionych do dostępu do danych osobowych,
  • podpisanie umowy z firmami, którym powierza się przetwarzanie danych osobowych klientów (np. dostawcą hostingu, biurem rachunkowym, firmą kurierską).

Dane muszą być przetwarzane zgodnie z prawem – np. w oparciu o uzyskana zgodę osoby, której dotyczą. Nadto administratorzy/podmioty przetwarzające dane osobowe muszą prowadzić rejestry czynności przetwarzania i udostępniać je na żądanie organów nadzorczych.

Obowiązek prowadzenia rejestru czynności przetwarzania nie dotyczy jedynie przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

W rejestrze powinny znaleźć się następujące informacje:

  • imię i nazwisko lub nazwa oraz dane kontaktowe administratora danych osobowych; cele przetwarzania danych (np. sprzedaż produktów, wystawianie faktur);
  • kategoria osób, których dane dotyczą, oraz kategorie danych osobowych (np. kategoria klienci – ich imię i nazwisko, adres zamieszkania, adres e-mail);
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
  • informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej (np. w przypadku korzystania usług zewnętrznych firm spoza UE typu CRM lub system mailingowy od amerykańskiej firmy) – gdy ma to zastosowanie;
  • planowany termin usunięcia danych osobowych;
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa – jeżeli jest to możliwe.
  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Emilia Bartkowiak

Autor: Emilia Bartkowiak

Radca prawny, wieloletni współpracownik Kancelarii Radcowskiej, specjalista z zakresu prawa podatkowego i gospodarczego, autorka licznych artykułów, porad, opinii i komentarzy o tematyce podatkowo-gospodarczej
Słowa kluczowe:
ochrona danychrodo
Nie ma jeszcze komentarzy do tego dokumentu.
Zaloguj się aby dodać komentarz