Wyznaczenie IOD w firmie

W poprzednim wpisie, z którym można zapoznać się tutaj, wskazałam, że przedsiębiorca dokonując oceny konieczności wyznaczenia IOD w firmie powinien w pierwszej kolejności zapoznać się z art. 37 ust. 1 RODO. W lit. b) oraz c) tego przepisu wyszczególnione zostały przesłanki, których spełnienie obliguje przedsiębiorcę do wyznaczenia IOD w jego firmie.

Do omówienia pozostała lit. c) wskazanego artykułu, aczkolwiek niektóre przesłanki w niej wskazane będą analogiczne do tych określonych w lit. b). Mianowicie, chodzi o takie przesłanki jak pojęcie głównej działalności administratora polegającej na przetwarzaniu danych oraz pojęcie dużej skali.

Dla przypomnienia, art. 37 ust. 1 lit. c) RODO stanowi o tym, że administrator danych lub procesor wyznaczają IOD, zawsze gdy ich główna działalność polega na przetwarzaniu na dużą skalę danych szczególnych kategorii lub danych dotyczących wyroków skazujących i naruszeń prawa.

Dane szczególnych kategorii

Czym są dane szczególnych kategorii reguluje art. 9 ust. 1 RODO, w którym wymienione zostały takie dane jak:

  • Pochodzenie rasowe lub etniczne,
  • Poglądy polityczne,
  • Przekonania religijne lub światopoglądowe,
  • Przynależność do związków zawodowych,
  • Dane: genetyczne, biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dotyczące zdrowia, seksualności lub orientacji seksualnej.

Przykładem podmiotu, który w związku ze swoją działalnością przetwarza dane szczególnych kategorii na dużą skalę są szpitale.

Dane dotyczące wyroków skazujących i naruszeń prawa

Zarówno art. 10 jak i art. 37 ust. 1 lit. c) RODO stanowią o przetwarzaniu danych dotyczących wyroków skazujących oraz (i) naruszeń prawa. Zastosowanie w art. 10 łącznika „oraz”, natomiast w art. 37 ust. 1 lit. c) łącznika „i” mogłoby sugerować, że obie wskazane przesłanki powinny być stosowane jednocześnie (zarówno przetwarzanie danych dotyczących wyroków skazujących jak i naruszeń prawa).

Jednakże według Wytycznych dotyczących Inspektorów Danych Osobowych Grupy Roboczej Art. 29 ds. ochrony danych, zastosowanie w przypadku tych artykułów powinien mieć łącznik „lub”. W związku z tym przedsiębiorca określając skalę przetwarzania danych musi osobno wziąć pod uwagę dane dotyczące wyroków skazujących oraz dane dotyczące naruszeń prawa.

Przykładem podmiotu, który w związku ze swoją działalnością przetwarza dane dotyczące wyroków skazujących lub naruszeń prawa na dużą skalę są duże kancelarie prawne.

Tak więc, przedsiębiorca, który w ramach swojej głównej działalności na dużą skalę przetwarza dane szczególnych kategorii lub dane dotyczące wyroków skazujących lub też dane dotyczące naruszeń prawa powinien wyznaczyć w swojej firmie IOD.

Rozstrzyganie wątpliwości na korzyść przedsiębiorcy

Od wielu lat przez media nieustannie przewijał się temat potrzeby wprowadzenia zasady, wedle której przedsiębiorcy byliby chronieni w nierównej walce z organami państwowymi. Spośród wielu pomysłów i propozycji z największą aprobatą spotkała się idea wprowadzenia zasady na wzór tej panującej w innych państwach, a mianowicie rozstrzyganie wątpliwości na korzyść przedsiębiorcy. Przy czym nie należy mylić tego z zasadą “co nie jest prawem zabronione, jest dozwolone”, o której pisaliśmy tutaj:

Konstytucja biznesu – co nie jest prawem zabronione, jest dozwolone

Rozstrzyganie wątpliwości na korzyść przedsiębiorcy

Zasadę tę wprowadza art. 11 Prawa przedsiębiorców:

„1. Jeżeli przedmiotem postępowania przed organem jest nałożenie na przedsiębiorcę obowiązku bądź ograniczenie lub odebranie uprawnienia, a w sprawie pozostają wątpliwości co do treści normy prawnej, wątpliwości te są rozstrzygane na korzyść przedsiębiorcy, chyba że sprzeciwiają się temu sporne interesy stron albo interesy osób trzecich, na które wynik postępowania ma bezpośredni wpływ.”

Muszę w tym miejscu podkreślić, że co do zasady rozstrzyganie wątpliwości na korzyść przedsiębiorcy nie będzie miało zastosowania w sporach między przedsiębiorcami, a to z powodu wyżej wspomnianych spornych interesów stron.

Głównym polem do stosowania tej reguły będą wszelkie postępowania kontrolne, rejestrowe, a także podatkowe, w których często pojawiają się rozbieżne stanowiska między przedsiębiorcą, a organem państwowym. Sytuacje na tyle nowe lub spowodowane nowymi przepisami, że brak jest odpowiadającej im interpretacji lub orzecznictwa, na którym którakolwiek ze stron mogłaby się oprzeć.

Oczywiście przytaczana wyżej zasada nie może stać w sprzeczności z interesem publicznym, co ustawodawca zastrzegł w ust. 2:

„Przepisu ust. 1 nie stosuje się, jeśli wymaga tego ważny interes publiczny, w tym istotne interesy państwa, a w szczególności jego bezpieczeństwa, obronności lub porządku publicznego.”

Uzasadnieniem dla tego zastrzeżenia wydaje się fakt ciągle rozwijających się technologii i powstawania między innymi nowych środków płatniczych, które to nie są odpowiednio uregulowane w przepisach prawnych.

Myślę, że wprowadzenie tej zasady i stojącej obok niej zasady z art. 10 mówiącej o domniemaniu uczciwości przedsiębiorcy to krok w dobrym kierunku, by polskie prawo stawało się coraz bardziej przyjazne dla przedsiębiorców. A nóż dojdziemy do rozwiązań i świadomości urzędników norweskich, którzy kilkukrotnie mieli podstawy by zamknąć przedsiębiorstwo dwóch Polaków, którzy rozpoczynając inwestycję naruszyli przepisy i narazili się na kary w: urzędzie skarbowym, firmie energetycznej i nadzorze budowlanym. W gminie uznano jednak, że “robią więcej dobrego niż złego” i trzeba im pomóc.

Więcej o tej historii przeczytasz tutaj.

A poniżej przeczytasz o domniemaniu uczciwości przedsiebiorcy:

Domniemana uczciwość przedsiębiorcy w nowym Prawie przedsiębiorców

Czy Twoja firma potrzebuje Inspektora Ochrony Danych?

Temat związany z wyznaczeniem Inspektora Ochrony Danych (tak zwanego IOD) nie jest łatwy i do tego bardzo obszerny. Podzieliłam go więc na dwie części. Poniżej pierwsza z nich.

Nie każdy przedsiębiorca musi wyznaczyć w swojej firmie IOD. Pierwszym krokiem przedsiębiorcy w celu ustalenia czy ciąży na nim obowiązek wyznaczenia IOD jest sięgnięcie do art. 37 ust. 1 RODO, który stanowi, że Administrator i podmiot przetwarzający wyznaczają IOD, zawsze gdy:

a) Ta litera nie dotyczy podmiotów prywatnych,

b) Główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) Główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Niestety po przeczytaniu tego artykułu wciąż niełatwo jest ustalić czy wyznaczenie IOD w danej firmie jest obowiązkowe. Konieczna jest więc jego analiza. Zaczniemy od lit. b), poprzez wyszczególnienie trzech przesłanek, których łączne wystąpienie będzie obligowało przedsiębiorcę do wyznaczenia w jego firmie IOD. Pomocna będzie w tym preambuła RODO oraz Wytyczne dotyczące inspektorów ochrony danych Grupy Roboczej Art. 29 ds. ochrony danych.

Główna działalność administratora polegająca na operacjach przetwarzania danych

Zgodnie z motywem 97 RODO przetwarzanie danych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Możemy wyróżnić dwa rodzaje takiego przetwarzania:

  1. Gdy przetwarzanie jest główną działalnością administratora np. elektroniczny pomiar czasu na masowych imprezach sportowych,
  2. Gdy przetwarzanie jest nierozerwalnie związane z główną działalnością administratora np. świadczenie usług medycznych nie byłoby możliwe bez przetwarzania danych medycznych.

Prowadzenie listy płac czy też korzystanie ze standardowej obsługi IT uznawane jest za czynności poboczne przedsiębiorcy, a nie jego działalność główną, w związku z czym w takiej sytuacji powoływanie IOD nie jest konieczne.

A teraz przerwa na kawę…

… i wracamy do tematu.

Duża skala przetwarzania

Również w przypadku tego pojęcia definicję znajdziemy w preambule RODO (motyw 91 RODO). Definicja ta obejmuje przetwarzanie:

  1. znacznej ilości danych na szczeblu regionalnym, krajowym lub międzynarodowym,
  2. mogące wpłynąć na dużą liczbę osób, których dane dotyczą,
  3. mogące powodować duże ryzyko:
  • gdy zgodnie ze stanem wiedzy technicznej stosowana jest na dużą skalę nowa technologia oraz
  • naruszenia praw lub wolności osób, których dane dotyczą, w szczególności gdy operacje te utrudniają wykonywanie przysługujących im praw.

Grupa robocza art. 29 ds. ochrony danych zaleca dodatkowe uwzględnienie następujących czynników przy określaniu „dużej skali”:

  1. Liczby osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa,
  2. Zakresu przetwarzanych danych osobowych,
  3. Okresu przetwarzania danych oraz
  4. Zakresu geograficznego przetwarzania danych osobowych.

No dobrze, teoria teorią, ale wciąż nie znamy dokładnej cyfry. W trakcie prac legislacyjnych nad RODO zaproponowano, aby było to przetwarzanie danych dotyczące 5000 osób średniorocznie. Jednakże ostatecznie zamiast tego zwrotu użyto pojęcia „na dużą skalę”. Biorąc jednak pod uwagę wykładnię autentyczną wydaje się, że pomocniczo można korzystać ze wskazanej liczby.

Przykład przetwarzania na dużą skalę: Przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności.

Przetwarzaniem danych na dużą skalę nie będzie natomiast przetwarzanie danych pacjentów, dokonywane przez pojedynczego lekarza.

Regularne i systematyczne monitorowanie

W przypadku tej przesłanki mamy do czynienia z trzema słowami, które wymagają odrębnego wyjaśnienia.

Monitorowanie według RODO dotyczy przede wszystkim form śledzenia i profilowania w sieci, ale nie tylko. Mówiąc o monitoringu należy pamiętać również o m. in. monitoringu wizyjnym, monitorowaniu danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych czy też urządzeniach skomunikowanych np. inteligentnych licznikach.

Regularne monitorowanie musi być stałe albo występujące w określonych odstępach czasu przez ustalony okres.

Przez pojęcie systematycznego monitorowania należy rozumieć monitorowanie występujące zgodnie z określonym systemem, zaaranżowane, zorganizowane lub metodyczne, odbywające się w ramach generalnego planu zbierania danych, przeprowadzone w ramach określonej strategii.

W ten sposób przebrnęliśmy przez przesłanki z art. 37 ust. 1 lit. b) RODO. Przedsiębiorca, który spełnia wszystkie z opisanych przesłanek musi wyznaczyć w swojej firmie IOD.

Zgodnie z zapowiedzią ciąg dalszy nastąpi.

Kasa fiskalna w działalności nieewidencjonowanej

Działalność nieewidencjonowana

Pisaliśmy już o tym, że ustawa Prawo Przedsiębiorców wprowadza pojęcie działalności nieewidencjonowanej. Nie jest to działalność gospodarcza, choć ma z nią dużo wspólnego, przypomnę więc jaka jest jej ustawowa definicja:

działalność wykonywana przez osobę fizyczną, której przychód należny z tej działalności nie przekracza w żadnym miesiącu 50% kwoty minimalnego wynagrodzenia, o którym mowa w ustawie z dnia 10 października 2002 r. o minimalnym wynagrodzeniu za pracę i która w okresie ostatnich 60 miesięcy nie wykonywała działalności gospodarczej

Zaś więcej w tym temacie przeczytacie we wpisie:

Działalność nieewidencjonowana w Prawie przedsiębiorców

Dzisiaj chciałbym poruszyć kwestię, która rodzi wiele zapytań, a mianowicie tytułowe zagadnienie: kasa fiskalna w działalności nieewidencjonowanej. 

Faktura w działalności nieewidencjonowanej

O tym czy osoba prowadząca działalność nieewidencjonowaną może wystawiać fakturę wspominaliśmy w tym wpisie.

Kasa fiskalna w działalności nieewidencjonowanej

Najpierw muszę podkreślić, że kasa fiskalna dotyczy tylko sytuacji gdy sprzedaży dokonujesz na rzecz osób fizycznych nieprowadzących działalności gospodarczej i rolników ryczałtowych. W przypadku sprzedaży na rzecz przedsiębiorców, co do zasady będziesz wystawiał faktury. Podstawowe informacje odnośnie kas fiskalnych znajdują się w ustawie o VAT.

Możemy wyróżnić trzy kategorie obowiązku posiadania kasy fiskalnej. Podatnik może mieć obowiązek stosowania kasy fiskalnej od pierwszej sprzedaży, może stosować kasę fiskalną dobrowolnie lub może korzystać ze zwolnienia z kasy fiskalnej.

Obowiązkowa kasa fiskalna, w działalności bez rejestracji

Wykonując działalność bez rejestracji obowiązkowo od pierwszej sprzedaży należy stosować kasę fiskalną, w przypadku:

  1. dostawy m.in. :
    • gazu płynnego,
    • części do silników, silników spalinowych wewnętrznego spalania w rodzaju stosowanych do napędu pojazdów, nadwozi do pojazdów silnikowych, przyczep i naczep, kontenerów, części przyczep, naczep i pozostałych pojazdów bez napędu mechanicznego, części i akcesoriów do pojazdów silnikowych (z wyłączeniem motocykli), silników spalinowych tłokowych wewnętrznego spalania w rodzaju stosowanych w motocyklach,
    • wyrobów przeznaczonych do użycia, oferowanych na sprzedaż lub używanych jako paliwa silnikowe albo jako dodatki lub domieszki do paliw silnikowych,
    • sprzętu radiowego, telewizyjnego i telekomunikacyjnego, z wyłączeniem lamp elektronowych i innych elementów elektronicznych oraz części do aparatów i urządzeń do operowania dźwiękiem i obrazem, anten, sprzętu fotograficznego, z wyłączeniem części i akcesoriów do sprzętu i wyposażenia fotograficznego,
    • wyrobów z metali szlachetnych lub z udziałem tych metali, których dostawa nie może korzystać ze zwolnienia podmiotowego z VAT,
    • zapisanych i niezapisanych nośników danych cyfrowych i analogowych,
    • wyrobów tytoniowych, napojów alkoholowych o zawartości alkoholu powyżej 1,2% oraz napojów alkoholowych będących mieszaniną piwa i napojów bezalkoholowych, w których zawartość alkoholu przekracza 0,5%, bez względu na symbol PKWiU, z wyłączeniem towarów dostarczanych na pokładach samolotów,
    • perfum i wód toaletowych, z wyłączeniem towarów dostarczanych na pokładach samolotów,
  2. świadczenia usług:
    • przewozów pasażerskich w samochodowej komunikacji, z wyłączeniem przewozów wymienionych w poz. 15 i 16 załącznika do rozporządzenia, przewozu osób oraz ich bagażu podręcznego taksówkami,
    • naprawy pojazdów silnikowych oraz motorowerów (w tym naprawy opon, ich zakładania, bieżnikowania i regenerowania), w zakresie wymiany opon lub kół dla pojazdów silnikowych oraz motorowerów, w zakresie badań i przeglądów technicznych pojazdów,
    • w zakresie opieki medycznej świadczonej przez lekarzy i lekarzy dentystów, z wyłączeniem usług świadczonych przez osoby wymienione w poz. 51 załącznika do rozporządzenia,
    • prawniczych, z wyłączeniem usług określonych w poz. 28 załącznika do rozporządzenia, doradztwa podatkowego,
    • związanych z wyżywieniem, wyłącznie świadczonych przez stacjonarne placówki gastronomiczne, w tym również sezonowo oraz usług przygotowywania żywności dla odbiorców zewnętrznych (catering),
    • fryzjerskich, kosmetycznych i kosmetologicznych.

Nowe usługi objęte obowiązkiem rejestracji w kasie fiskalnej

Zgodnie z nowymi przepisami, obowiązkowi rejestrowania na kasie, bez względu na wysokość obrotu podatnika, podlegają usługi:

  • kulturalne i rozrywkowe – wyłącznie w zakresie wstępu na przedstawienia cyrkowe
  • związane z rozrywką i rekreacją – wyłącznie w zakresie wstępu do wesołych miasteczek, parków rozrywki, na dyskoteki, sale taneczne
  • w zakresie wymiany walut, z wyłączeniem usług świadczonych przez banki i spółdzielcze kasy oszczędnościowo-kredytowe

Zasadniczo wymienione powyżej usługi powinny być ewidencjonowane na kasie fiskalnej już od pierwszej sprzedaży. Tak będzie od 1.04.2018 r. Ustawodawca wprowadził jednak okres dostosowawczy na wprowadzenie kasy dla podatników, którzy z tytułu wykonywania tych czynności tracą prawo do zwolnienia podmiotowego, przysługującego ze względu na nieprzekroczenie limitu obrotów.

Zwolnienie z kasy fiskalnej w działalności bez rejestracji

Jeśli przedmiotem działalności bez rejestracji nie są usługi i towary wymienione wyżej, podatnik ma możliwość skorzystania ze zwolnienia, więc kasa fiskalna w działalności nieewidencjonowanej nie będzie wymagana. W rozporządzeniu w sprawie zwolnienia z obowiązku prowadzenia kas przewidziane są dwa typu zwolnień:

  • podmiotowe ze względu na limit 20 000 zł netto w skali roku. (By można było prowadzić działalność nieewidencjonowaną przychód nie może przekroczyć 50% wynagrodzenia minimalnego w każdym miesiącu.)
  • przedmiotowe ze względu na rodzaj świadczonych usług (literalnie wymienione są w załączniku do rozporządzenia).

Warto pamiętać, że korzystanie ze zwolnienia przedmiotowego jest obligatoryjne, natomiast ze zwolnienia podmiotowego dobrowolne.

Tak więc kasa fiskalna w działalności nieewidencjonowanej, choć działalności nie musimy rejestrować bywa obowiązkowa. O tym jak połączyć tę działalność z innymi formami zatrudnienia możecie przeczytać tutaj:

Jak połączyć działalność nieewidencjonowaną i inne formy zatrudnienia?

Administratorem danych osobowych jest… – kto jest kim w RODO?

Temat RODO przewija się w naszym serwisie od pewnego już czasu. Na tym etapie przedsiębiorcy mogli przede wszystkim dowiedzieć się jak rozpocząć pracę nad wdrożeniem nowych przepisów w swojej firmie, o czym informowałam w poniższym wpisie. Natomiast dzisiejszy temat związany jest z prawidłowym oznaczeniem podmiotów na gruncie RODO.

Wdrożenie RODO w firmie – od czego zacząć?

Kto jest kim w RODO?

Specjaliści do spraw ochrony danych osobowych często dla ułatwienia swojej pracy posługują się pewnymi skrótami albo sformułowaniami, które nie zawsze są oczywiste dla przedsiębiorcy. Niektóre z tych uproszczeń wynikają wprost z RODO. Weźmy pod uwagę chociażby takie pojęcia jak ADO, Procesor czy Odbiorca. W jaki sposób odróżnić od siebie te podmioty?

Administrator Danych Osobowych – ADO

RODO stanowi, że Administratorem Danych Osobowych jest osoba fizyczna lub prawna, organ publiczny, jednostka nieposiadająca osobowości prawnej lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Przykład: firma spedycyjna jest administratorem danych kierowców, placówka medyczna jest administratorem danych pacjentów.

Administratora danych charakteryzują następujące cechy:

  • przetwarza dane osobowe we własnym celu,

  • ustala sposoby przetwarzania danych,

  • podejmuje w tym zakresie samodzielne decyzje.

Zapis w klauzuli informacyjnej (pkt 1): Administratorem Państwa danych osobowych jest ___ z siedzibą w ___, ul. ___, wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy w ___ ___ Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem ___, z kapitałem zakładowym w wysokości ___ zł NIP: ___ REGON: ___.

Albo krócej: Administratorem Państwa danych osobowych jest ___ z siedzibą w ___, ul. ___.

Podmiot przetwarzający – Procesor

Definicja podmiotu przetwarzającego jest następująca – jest to osoba fizyczna lub prawna, organ publiczny, jednostka nieposiadająca osobowości prawnej lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Przykład: zewnętrzna obsługa prawna, kadrowa, informatyczna, hosting poczty elektronicznej, firma ochroniarska.

Podmiot przetwarzający charakteryzują następujące cechy:

  • przetwarza dane osobowe w imieniu Administratora Danych,

  • sposoby przetwarzania danych ustala w porozumieniu z Administratorem Danych,

  • nie podejmuje w tym zakresie samodzielnych decyzji, działa na polecenie Administratora Danych.

Zapis w klauzuli informacyjnej (pkt 4): Państwa dane osobowe mogą zostać przekazane następującym odbiorcom – i tu dla przykładu – naszym podwykonawcom, w tym firmom księgowym, informatycznym oraz prawniczym.

Odbiorca danych

Czasem trudno jest ustalić czy dany podmiot jest procesorem czy odbiorcą. Czym więc różnią się te podmioty?

Odbiorca to osoba fizyczna lub prawna, organ publiczny, jednostka nieposiadająca osobowości prawnej lub inny podmiot, któremu ujawnia się dane osobowe.

Przykład: obsługa informatyczna, która ma hipotetycznie dostęp do danych, ale na nich nie pracuje.

Odbiorca:

  • ma dostęp do danych osobowych,

  • nie wykonuje żadnych zadań na danych osobowych,

  • może ale nie musi przeglądać danych.

Zapis w klauzuli informacyjnej – patrz pkt 4.

Aby rozróżnić Administratora Danych od Procesora, a Procesora od Odbiorcy należy zastanowić się w jakim celu konkretny podmiot będzie przetwarzał dane (swoim, czy czyimś), czy będzie podejmował w tym zakresie samodzielne decyzje, czy może działał na czyjeś polecenie oraz czy będzie wykonywał działania na danych. Taka analiza umożliwi stworzenie hierarchii podmiotów zgodnej z RODO. Więcej o obowiązku informacyjnym możesz przeczytać tutaj.

Obowiązek informacyjny RODO

1 2 3 18 Strona 1 z 18