Administratorem danych osobowych jest… – kto jest kim w RODO?

Temat RODO przewija się w naszym serwisie od pewnego już czasu. Na tym etapie przedsiębiorcy mogli przede wszystkim dowiedzieć się jak rozpocząć pracę nad wdrożeniem nowych przepisów w swojej firmie, o czym informowałam w poniższym wpisie. Natomiast dzisiejszy temat związany jest z prawidłowym oznaczeniem podmiotów na gruncie RODO.

Wdrożenie RODO w firmie – od czego zacząć?

Kto jest kim w RODO?

Specjaliści do spraw ochrony danych osobowych często dla ułatwienia swojej pracy posługują się pewnymi skrótami albo sformułowaniami, które nie zawsze są oczywiste dla przedsiębiorcy. Niektóre z tych uproszczeń wynikają wprost z RODO. Weźmy pod uwagę chociażby takie pojęcia jak ADO, Procesor czy Odbiorca. W jaki sposób odróżnić od siebie te podmioty?

Administrator Danych Osobowych – ADO

RODO stanowi, że Administratorem Danych Osobowych jest osoba fizyczna lub prawna, organ publiczny, jednostka nieposiadająca osobowości prawnej lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Przykład: firma spedycyjna jest administratorem danych kierowców, placówka medyczna jest administratorem danych pacjentów.

Administratora danych charakteryzują następujące cechy:

  • przetwarza dane osobowe we własnym celu,

  • ustala sposoby przetwarzania danych,

  • podejmuje w tym zakresie samodzielne decyzje.

Zapis w klauzuli informacyjnej (pkt 1): Administratorem Państwa danych osobowych jest ___ z siedzibą w ___, ul. ___, wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy w ___ ___ Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem ___, z kapitałem zakładowym w wysokości ___ zł NIP: ___ REGON: ___.

Albo krócej: Administratorem Państwa danych osobowych jest ___ z siedzibą w ___, ul. ___.

Podmiot przetwarzający – Procesor

Definicja podmiotu przetwarzającego jest następująca – jest to osoba fizyczna lub prawna, organ publiczny, jednostka nieposiadająca osobowości prawnej lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Przykład: zewnętrzna obsługa prawna, kadrowa, informatyczna, hosting poczty elektronicznej, firma ochroniarska.

Podmiot przetwarzający charakteryzują następujące cechy:

  • przetwarza dane osobowe w imieniu Administratora Danych,

  • sposoby przetwarzania danych ustala w porozumieniu z Administratorem Danych,

  • nie podejmuje w tym zakresie samodzielnych decyzji, działa na polecenie Administratora Danych.

Zapis w klauzuli informacyjnej (pkt 4): Państwa dane osobowe mogą zostać przekazane następującym odbiorcom – i tu dla przykładu – naszym podwykonawcom, w tym firmom księgowym, informatycznym oraz prawniczym.

Odbiorca danych

Czasem trudno jest ustalić czy dany podmiot jest procesorem czy odbiorcą. Czym więc różnią się te podmioty?

Odbiorca to osoba fizyczna lub prawna, organ publiczny, jednostka nieposiadająca osobowości prawnej lub inny podmiot, któremu ujawnia się dane osobowe.

Przykład: obsługa informatyczna, która ma hipotetycznie dostęp do danych, ale na nich nie pracuje.

Odbiorca:

  • ma dostęp do danych osobowych,

  • nie wykonuje żadnych zadań na danych osobowych,

  • może ale nie musi przeglądać danych.

Zapis w klauzuli informacyjnej – patrz pkt 4.

Aby rozróżnić Administratora Danych od Procesora, a Procesora od Odbiorcy należy zastanowić się w jakim celu konkretny podmiot będzie przetwarzał dane (swoim, czy czyimś), czy będzie podejmował w tym zakresie samodzielne decyzje, czy może działał na czyjeś polecenie oraz czy będzie wykonywał działania na danych. Taka analiza umożliwi stworzenie hierarchii podmiotów zgodnej z RODO. Więcej o obowiązku informacyjnym możesz przeczytać tutaj.

Obowiązek informacyjny RODO

Zasady korzystania z Ulgi na start

Początki bycia przedsiębiorcą nie są proste. Poza oczywistym wykonywaniem zleconej pracy związanej z prowadzoną przez nas działalnością, spoczywają na nas nowe obowiązki, z którymi nie musielibyśmy się spotkać pracują na etacie. Jednym z takich obowiązków jest opłacanie składek ZUS. Dla początkującego przedsiębiorcy jest to nierzadko duże obciążenie. Rzadko kto przecież od razu zdobywa wiele zleceń, z których może spokojnie opłacić wszystkie składki. Mimo, że “świeży” przedsiębiorca może korzystać z tzw. “małego zusu” (w 2018 r. ok. 520zł) to i tak jest to często duża część jego zarobków.

Ulga na start – lekarstwo na trudy rozkręcenia biznesu

Receptą na tę sytuację miało być wprowadzone przez Konstytucję Biznesu rozwiązanie o nazwie Ulga na start, którą szeroko omówiliśmy w poniższym wpisie:

Ulga na start – kiedy przedsiębiorca nie zapłaci składek ZUS?

Ulga na start, a raczej problem na start

Coś co miało być niejako zbawieniem dla początkujących przedsiębiorców, przez jedną interpretację Zakładu Ubezpieczeń Społecznych rozgrzało swerwisy informacyjne i podniosło ciśnienie wielu przedsiębiorcom. Otóż ZUS w swojej interpretacji stwierdził, że “korzystający z nowych ulg nie będą traktowani przez ZUS jako przedsiębiorcy, ale zleceniobiorcy.” Było to bezpośrednie uderzenie nie tylko w jeden z najgłośniejszych projektów rządu, ale również w samych przedsiębiorców. Traktowanie ich jako zleceniobiorców, oznaczałoby że składkę za nich odprowadzać będzie usługobiorca, co spowodowałoby wzrost ceny usługi.

Z interpretacją można zapoznać się tutaj -> interpretacja

Zasady korzystania z Ulgi na start

Do całej sytuacji dość szybko odniosło się Ministerstwo Przedsiębiorczości i Technologii, które wraz z  Ministerstwem Rodziny, Pracy i Polityki Społecznej oraz Zakładem Ubezpieczeń Społecznych wydały wspólne stanowisko, opisujące zasady korzystania z Ulgi na start. Możemy w nim przeczytać, że:

zleceniodawcy nie mają obowiązku odprowadzania składek na ubezpieczenia społeczne za kontrahentów, którzy korzystają z ulgi na start.

Zgodnie z Prawem przedsiębiorców, w okresie korzystania z ulgi na start przedsiębiorcy nie podlegają obowiązkowym ubezpieczeniom społecznym w ramach prowadzonej działalności gospodarczej. Dotyczy to świadczenia usług i realizowania zleceń w ramach tej działalności.

Stanowisko ZUS

Do samej sprawy odniósł się również Zakład Ubezpieczeń Społecznych w udostępnionej na swojej stronie informacji:

Zakład Ubezpieczeń Społecznych wyjaśnia, że umowa agencyjna, umowa zlecenia albo umowa o świadczenie usług, do której  zgodnie z Kodeksem cywilnym stosuje się przepisy dotyczące zlecenia, może być uznana co do zasady jako wykonywana w ramach prowadzonej działalności gospodarczej, pod warunkiem że:

  • jej przedmiot jest taki sam jak przedmiot prowadzonej działalności,
  • osiągane przychody są opodatkowane jako przychód z działalności gospodarczej.

Całość informacji znajdziecie tutaj.

Jedna interpretacja wystarczyła by w Internecie się zagotowało, oficjalne stanowiska trochę ostudzą emocje, a przyszłość pokaże jak wszelkie rozliczenia wyjdą w praktyce.

Rzecznik małych i średnich przedsiębiorców – siedziba

22 czerwca 2018 r. został powołany na pierwszą 6 letnią kadencję rzecznik małych i średnich przedsiębiorców, a został nim Adam Abramowicz. Instytucja rzecznika ma być jednym z filarów Konstytucji Biznesu i gwarantem jej prawidłowego wdrożenia. O tej nowej instytucji wspominaliśmy na łamach naszego serwisu m.in. w tym wpisie, jak również tu:

Rzecznik Małych i Średnich Przedsiębiorców

Z pierwszych rozmów przeprowadzonych z nowo powołanym rzecznikiem klaruje się struktura i kierunek w jakim będzie zmierzało konstruowanie tego nowego urzędu. Zgodnie z tym co mówi rzecznik małych i średnich przedsiębiorców – siedziba będzie w Warszawie, a do tego mają funkcjonować cztery biura terenowe, których lokalizacja nie została jeszcze ujawniona (być może jedna z nich znajdzie się w Toruniu?). Ponadto ma zostać uruchomiony portal przedsiębiorcy.

Sam rzecznik podkreśla, że będzie skrupulatnie podchodził do powierzonych zadań i ma zamiar korzystać z uprawnień do wystąpienia o ukaranie urzędników łamiących przepisy. Całość wywiadu do przeczytania tutaj.

Czekamy na dalsze kroki, w końcu 1 września się zbliża, a od wtedy jak Pan Rzecznik zapowiedział, urząd rozpocznie już pracę.

zdjęcie dzięki uprzejmości: RECity

Obowiązek informacyjny RODO

Około 25 maja tego roku mój e-mail zalała fala wiadomości od administratorów, którzy przetwarzają moje dane. W ten sposób administratorzy dążyli do wypełnienia obowiązku informacyjnego, wynikającego z RODO.

Obowiązek informacyjny to żadna nowość na gruncie przepisów o ochronie danych osobowych, jednakże zgodnie z przepisami RODO od 25 maja obowiązek ten uległ rozszerzeniu. Obecnie, w tak zwanej klauzuli informacyjnej należy zawrzeć szereg informacji, które szczegółowo określone zostały przepisami RODO. Jednocześnie ustawodawca europejski wskazuje, że klauzule informacyjne powinny zostać podane w zwięzłej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Tego typu zapisy, które z jednej strony szczegółowo stanowią o zakresie klauzuli informacyjnej, a z drugiej wskazują na jej jasną i prostą formę powodują, że stworzenie odpowiedniej klauzuli informacyjnej nie jest zadaniem łatwym.

Możemy wyróżnić dwa rodzaje obowiązku informacyjnego. Pierwszy z nich odnosi się do sytuacji, kiedy dane zbierane są bezpośrednio od osoby, której dotyczą (np. dane otrzymane bezpośrednio od pacjenta). Drugi rodzaj obowiązku informacyjnego dotyczy danych, które zbierane są w inny sposób (np. dane kandydata do pracy otrzymane od firmy rekrutacyjnej).

W przypadku danych zbieranych bezpośrednio od osoby, której dotyczą, w klauzuli informacyjnej należy zawrzeć następujące informacje:

  1. kto jest administratorem danych oraz kontakt do niego,
  2. dane inspektora ochrony danych osobowych, jeżeli został powołany,
  3. cele przetwarzania i podstawę prawną przetwarzania danych,
  4. prawnie uzasadniony interes administratora jeżeli przetwarzanie danych odbywa się na podstawie art. 6 ust. 1 lit. f RODO,
  5. odbiorców danych lub kategorie odbiorców,
  6. zamiar przekazania danych do państwa trzeciego lub organizacji międzynarodowej,
  7. okres, przez który dane będą przechowywane lub kryteria jego ustalenia,
  8. prawo do dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu, prawo do przenoszenia danych,
  9. możliwość cofnięcia zgody na przetwarzanie danych,
  10. prawo do wniesienia skargi do PUODO,
  11. informację czy podanie danych jest obowiązkowe czy dobrowolne,
  12. informację o profilowaniu.

W przypadku danych zebranych w innych sposób, w klauzuli informacyjnej należy również zawrzeć informację o kategoriach przetwarzanych danych oraz o źródle pochodzenia tych danych.

Wszystkie z wymienionych powyżej punktów wymagają odrębnego omówienia w kolejnych wpisach, w których pojawią się również przykłady zapisów stosowanych w klauzulach informacyjnych.

Wracając do zasypywania mojej skrzynki e-mail klauzulami informacyjnymi, z przykrością informuję, że spośród administratorów, którzy przesłali mi swoje klauzule informacyjne niewielu sprostało zadaniu. Długość klauzul (czasem po kilka stron), ich nieczytelność i niezrozumiałość nie tylko miały wpływ na mój humor, ale również świadczyły o niespełnieniu wymagań określonych przepisami RODO.

Wdrożenie RODO w firmie – od czego zacząć?

Ochrona danych osobowych nie jest niczym nowym. Przed 25 maja 2018 r. przedsiębiorcy również musieli odpowiednio zabezpieczać dane, zgodnie z przepisami poprzedniej ustawy o ochronie danych osobowych.

Nie w każdym więc przypadku przedsiębiorca musi zaczynać wdrażanie RODO od zera. Wszystko zależy od tego, na ile przestrzegał przepisów poprzedniej ustawy o ochronie danych osobowych oraz aktów wykonawczych.

Wdrożenie RODO w firmie powinno rozpocząć się od przeprowadzenia audytu w zakresie ochrony danych, dzięki któremu przedsiębiorca będzie mógł określić stan wyjściowy i zaplanować odpowiednie działania wdrożeniowe.

Po pierwsze, celem audytu jest ocena poziomu ochrony danych w firmie na chwilę obecną. Na tym etapie ważne jest określenie:

  1. czy na gruncie starej ustawy stworzona została dokumentacja, taka jak polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym,
  2. czy z procesorami (podmiotami, które przetwarzają dane w imieniu przedsiębiorcy) zostały zawarte umowy o powierzeniu przetwarzania danych osobowych,
  3. czy osoby bądź też podmioty, które mają dostęp do danych zostały zobowiązane do zachowania poufności tych danych,
  4. jakie są zabezpieczenia systemu informatycznego, w którym przetwarzane są dane,
  5. jakie rozwiązania organizacyjne i techniczne wprowadzone zostały w firmie, czy w tym zakresie przeprowadzone zostały szkolenia dla pracowników.

RODO nie stanowi o tym w jaki sposób mamy chronić dane. Dlaczego więc nie wykorzystać tego co już mamy? Dokumentacja, co do zasady będzie wymagała aktualizacji i dostosowania do przepisów RODO, jednakże jej sens i cel pozostaną te same. Warto również wykorzystać mechanizmy i zasady ochrony danych, które już funkcjonują w firmie, odpowiednio je uzupełniając i usprawniając.

Po drugie, audyt umożliwi przedsiębiorcy po raz kolejny spojrzeć na firmę z perspektywy ochrony danych i ustalić jakie kategorie danych są przetwarzane w firmie, na jakiej podstawie prawnej, czy też w jakim celu. Ustalenia te są niezbędne do aktualizacji istniejącej dokumentacji, ale również do stworzenia nowej dokumentacji, wymaganej przepisami RODO, chociażby Rejestru czynności przetwarzania danych.

Ponadto, RODO wymaga od przedsiębiorcy podejścia opartego na ryzyku. Co to oznacza w praktyce? W każdej sytuacji przedsiębiorca musi mieć na względzie, że z przyczyn od niego zależnych bądź też niezależnych może dojść do naruszenia ochrony danych w firmie. W związku z tym, w trakcie audytu należy określić poszczególne ryzyka oraz zagrożenia związane z przetwarzanymi danymi, co będzie wstępem do stworzenia dokumentu o nazwie analiza ryzyka, a także podjęcia działań zapobiegawczych oraz zaplanowania ewentualnych działań naprawczych.

Niestety, do dnia 25 maja tego roku ochrona danych najczęściej kończyła się na stworzeniu odpowiedniej, wymaganej prawem dokumentacji. Jednym spośród szeregu celów określonych przez RODO jest, aby ochrona danych nie była tylko na piśmie, ale również w praktyce, to znaczy w codziennej pracy przedsiębiorcy i jego pracowników.

Dlatego ważne jest, aby wdrożenie RODO było szczegółowo zaplanowane i poprzedzone audytem zgodności działania przedsiębiorcy z przepisami o ochronie danych.

1 2 3 4 5 19 Strona 3 z 19