Joanna Rułkowska

prawniczka

Ekspertka w temacie małych biznesów i pasjonatka praw kobiet. Autorka książki Biznes Mamy i programu wsparcia w postaci Akademii Małego Biznesu. Laureatka konkursu Kobieta E-commerce 2023 w kategorii Przedsiębiorcza Mama. Specjalizuje się w budowaniu profesjonalnych i zgodnych z prawem pasów startowych od działalności nierejestrowanej do biznesu marzeń. Wierzy, że każda chwila to szansa, by wszystko zmienić.
[Więcej >>>]

Działalność nierejestrowana a RODO. Dowiedz się jak w pięciu krokach zadbać o bezpieczeństwo przetwarzania danych osobowych w małym biznesie?

Joanna Rułkowska08 lutego 2024

Działalność nierejestrowana a RODO

Skoro trafiłaś na ten artykuł to zapewne jesteś jedną z osób, które są świadome, iż działalność nierejestrowana choć jest świetnym sposobem testowania pomysłu na swój biznes to w niektórych obszarach trzeba zadbać o formalności. Jednym z rodzajów formalności, które spędzają sen z powiek początkującym przedsiębiorcom jest RODO.

Działalność nierejestrowana a RODO

RODO to skrót od nazwy Ogólne Rozporządzenie o Ochronie Danych Osobowych.

Jest to Unijny akt prawny, który wiąże wszystkie Państwa Członkowskie Unii Europejskiej.

Rozporządzenie dotyczy zasad przetwarzania, wykorzystywania oraz przechowywania danych osobowych.

Rozporządzenie nie określa dokładnie, kogo dotyczą wprowadzane przepisy, ale wskazuje, do kogo się one nie odnoszą.

Podmioty, które rozporządzenie wymienia jako te, których RODO nie dotyczy to osoby fizyczne, które w działalności niemającej związku z działalnością zawodową lub handlową, przetwarzają dane osobowe, np. dane adresowe.

Prowadząc działalność nierejestrowaną, sprzedając swoje produkty czy świadcząc usługi na 100% przetwarzasz dane osobowe swoich klientów i musisz dostosować swoje działania do tego, by były one zgodne z RODO.

>>> Dlaczego osoby prowadzące działalność nierejestrowaną są Administratorami danych osobowych? Działalność bez rejestracji a RODO? Jesteś administratorem danych osobowych!

Przetwarzanie danych osobowych oznacza każdą czynność, która jest związana z ich użyciem.

Dane osobowe są to dane o osobie fizyczne, które pozwalają na określenie jej tożsamości.

Obowiązkiem każdego przedsiębiorcy (w tym nierejestrowanego) jest stosowanie się do zasad ochrony danych osobowych.

>>> Zasady określone w RODO obowiązują każdego przedsiębiorcę, niezależnie od skali prowadzonej działalności – Działalność nierejestrowana a RODO? Poznaj podstawowe zasady wdrożeniowe w 2024 roku!

Większość osób prowadzących działalność nierejestrowaną niesłusznie uważa, że do wdrożenia RODO wystarczy prawidłowo przygotowana polityka prywatności lub klauzule informacyjne.

To ogromny błąd.

To są dokumenty informacyjne dla osób, których dane przetwarzasz.

A ty, jako przedsiębiorca masz dużo więcej obowiązków. Ty musisz zadbać o BEZPIECZEŃSTWO danych osobowych, które przetwarzasz!

Obowiązek ten wynika z zasady integralności i poufności danych.

Działalność nierejestrowana a RODO. Poznaj pięć praktycznych wskazówek jak zadbać o bezpieczeństwo przetwarzania danych

Wskazówka #1 Wprowadź organizacyjne środki dbania o bezpieczeństwo danych osobowych

Organizacyjne środki dbania o bezpieczeństwo danych to procedury organizacyjne ułatwiające dbanie o bezpieczeństwo przetwarzania danych osobowych.

Przykładowa dokumentacja związana z przetwarzaniem danych osobowych w Twojej działalności nierejestrowanej może składać się z takich dokumentów jak:

  • Polityka ochrony danych osobowych
  • Procedura szacowania ryzyka
  • Dokumentacja potwierdzająca wdrożenie technicznych i organizacyjnych środków bezpieczeństwa z ich spisem
  • Procedura postępowania z ryzykiem
  • Procedura prowadzenia oceny skutków dla ochrony danych (DPIA)
  • Procedura archiwizacji oraz usuwania dokumentów zawierających dane osobowe
  • Procedura logowania do systemów IT oraz korzystania ze służbowej poczty elektronicznej
  • Procedura wykonywania i odtwarzania kopii zapasowych
  • Procedura konserwacji i serwisowania urządzeń
  • Procedura użytkowania telefonu komórkowego
  • Procedura ochrony przed szkodliwym oprogramowaniem
  • Procedura nadawania haseł
  • Procedura postępowania w przypadku naruszenia bezpieczeństwa danych osobowych
  • Rejestr czynności przetwarzania danych,
  • Rejestr naruszeń
  • Polityka czystego biurka
  • Instrukcja zarządzania systemami IT.

Wskazówka #2 Wprowadź techniczne środki dbania o bezpieczeństwo danych

Wśród technicznych środków można wyróżnić te które są związane z komputerem oraz te dotyczące korzystania z internetu.

Przykładowe środki bezpieczeństwa które możesz zastosować w swojej działalności nierejestrowanej to:

  • Szyfrowanie
  • Zabezpieczenie przed działalnością szkodliwego oprogramowania
  • Archiwizacja i tworzenie kopii zapasowych (backup) danych
  • Uwierzytelnianie w systemach IT oraz w dostępie do strony www
  • Prawidłowe zarządzanie uprawnieniami dostępowymi do systemów informatycznych
  • Zewnętrzne, profesjonalne wsparcie techniczne przy obsłudze strony www/sklepu online
  • Wybór bezpiecznego hostingu , domeny i operatora płatności.

Wskazówka #3 Wykonaj analizę ryzyka i testuj wybrane środki bezpieczeństwa

Analizę ryzyka musisz wykonać po to, by zapobiec naruszeniu danych osobowych.

Praktyczne wskazówki:

  • Przeprowadź inwentaryzację przetwarzanych danych osobowych i określ czy dane są przetwarzane zgodnie z prawem
  • Określ listę zagrożeń, w wyniku których może nastąpić naruszenie ochrony danych osobowych i określ prawdopodobieństwo wystąpienia
  • Opisz skutki wystąpienia danego ryzyka i wskaż środki zapobiegawcze lub minimalizujące skutki takiego ryzyka
  • Przetestuj wybrane środki bezpieczeństwa pod kątem naruszenia.

Wskazówka #4 Prowadzenie ewidencji naruszeń bezpieczeństwa i wyciąganie wniosków z incydentów

Zgodnie z RODO naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Przykładowe rodzaje naruszeń które wystąpić u przedsiębiorców prowadzących działalność nierejestrowaną:

  • Wykasowanie plików z komputera
  • Wylanie kawy na komputer z danymi
  • Wyciek danych z systemu
  • Nieukrywanie adresów e-mailowych przy wysyłce masowej
  • Utrata nośników danych
  • Nieprawidłowe usunięcie danych
  • Zgubienie niezabezpieczonego telefonu
  • Utrata konta na Facebooku lub Instagramie
  • Wprowadzenie zmian w bazie danych przez nieuprawnioną osobę
  • Zniszczenie kopii zapasowych
  • Przełamanie zabezpieczeń na stronie www i w sklepie online
  • Utrata klucza szyfrującego (w sytuacji zaszyfrowanych danych).

Zgodnie z zasadą rozliczalności, osoby prowadzące działalność nierejestrowaną powinny jako administratorzy danych osobowych rejestrować wszystkie naruszenia.

Jakie informacje powinny być zawarte w rejestrze naruszeń?

  • przyczyny naruszenia
  • przebieg naruszenia
  • naruszone dane osobowe
  • skutki i konsekwencje naruszenia
  • jakie działania naprawcze podjął administrator.

Wskazówka #5 Zgłaszaj naruszenia ochrony danych osobowych do Urzędu Ochrony Danych Osobowych

W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Uzyskanie tego stopnia pewności, poprzedzone powinno być wykonaniem postępowania, w którym zostanie ocenione, czy doszło do naruszenia.

Jako administrator musisz więc przeprowadzić szczegółową analizę naruszenia, zapisać wszystko w rejestrze naruszeń i w przypadku wystąpienia ryzyka określonego w wyżej wymienionych przepisach powinnaś zgłosić takie naruszenie danych w Twojej działalności nierejestrowanej do Prezesa Urzędu Ochrony Danych oraz osobom, których naruszenie dotyczy.

***

Potrzebujesz pomocy we wdrożeniu RODO w swojej działalności nierejestrowanej?

RODO w działalności nierejestrowanej

Skorzystaj z kursu (szkolenie i wzory dokumentów), który dla Ciebie przygotowałam!

Więcej o kursie przeczytasz tutaj: RODO W DZIAŁALNOŚCI NIEREJESTROWANEJ

***

Podstawa prawna:

  • ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
  • Ustawa z dnia 6 marca 2018 r. – Prawo przedsiębiorców

Bibliografia:

  • “RODO przewodnik ze wzorami” pod. red. Macieja Gawrońskiego
  • “Jak samodzielnie wdrożyć RODO w firmie?” Damian Dziuba, Magdalena Wolańska

          Joanna Rułkowska
          prawniczka

Zdjęcie: Kelly Sikkema

***

Faktury a działalność bez rejestracji 2024?

Faktury, jako jeden ze sposobów dokumentowania sprzedaży przez osoby prowadzące działalność bez rejestracji

Faktury, to jedno z najważniejszy zagadnień do opanowania przed startem z małym biznesem.

Osoby prowadzącej działalność bez rejestracji mają bowiem różne obowiązki księgowe.

W zależności od tego, czy musisz zarejestrować się jako podatnik czynny VAT, czy nie te obowiązki będą różne [Czytaj dalej…]

W czym mogę Ci pomóc?

Na blogu jest wiele artykułów, w których dzielę się swoją wiedzą bezpłatnie.

Jeżeli potrzebujesz indywidualnej płatnej pomocy prawnej, to zapraszam Cię do kontaktu.

Przedstaw mi swój problem, a ja zaproponuję, co możemy wspólnie w tej sprawie zrobić i ile będzie kosztować moja praca.

Joanna Rułkowska

    Twoje dane osobowe będą przetwarzane przez Joannę Rułkowską w celu obsługi przesłanego zapytania. Szczegóły: polityka prywatności.

    Komentarze (0)

    { 0 komentarze… dodaj teraz swój }

    Dodaj komentarz

    Twoje dane osobowe będą przetwarzane przez Joannę Rułkowską w celu obsługi komentarzy. Szczegóły: polityka prywatności.

    Poprzedni wpis:

    Następny wpis: