Działalność nierejestrowana a RODO
Skoro trafiłaś na ten artykuł to zapewne jesteś jedną z osób, które są świadome, iż działalność nierejestrowana choć jest świetnym sposobem testowania pomysłu na swój biznes to w niektórych obszarach trzeba zadbać o formalności. Jednym z rodzajów formalności, które spędzają sen z powiek początkującym przedsiębiorcom jest RODO.
RODO to skrót od nazwy Ogólne Rozporządzenie o Ochronie Danych Osobowych.
Jest to Unijny akt prawny, który wiąże wszystkie Państwa Członkowskie Unii Europejskiej.
Rozporządzenie dotyczy zasad przetwarzania, wykorzystywania oraz przechowywania danych osobowych.
Rozporządzenie nie określa dokładnie, kogo dotyczą wprowadzane przepisy, ale wskazuje, do kogo się one nie odnoszą.
Podmioty, które rozporządzenie wymienia jako te, których RODO nie dotyczy to osoby fizyczne, które w działalności niemającej związku z działalnością zawodową lub handlową, przetwarzają dane osobowe, np. dane adresowe.
Prowadząc działalność nierejestrowaną, sprzedając swoje produkty czy świadcząc usługi na 100% przetwarzasz dane osobowe swoich klientów i musisz dostosować swoje działania do tego, by były one zgodne z RODO.
>>> Dlaczego osoby prowadzące działalność nierejestrowaną są Administratorami danych osobowych? Działalność bez rejestracji a RODO? Jesteś administratorem danych osobowych!
Przetwarzanie danych osobowych oznacza każdą czynność, która jest związana z ich użyciem.
Dane osobowe są to dane o osobie fizyczne, które pozwalają na określenie jej tożsamości.
Obowiązkiem każdego przedsiębiorcy (w tym nierejestrowanego) jest stosowanie się do zasad ochrony danych osobowych.
>>> Zasady określone w RODO obowiązują każdego przedsiębiorcę, niezależnie od skali prowadzonej działalności – Działalność nierejestrowana a RODO? Poznaj podstawowe zasady wdrożeniowe w 2024 roku!
Większość osób prowadzących działalność nierejestrowaną niesłusznie uważa, że do wdrożenia RODO wystarczy prawidłowo przygotowana polityka prywatności lub klauzule informacyjne.
To ogromny błąd.
To są dokumenty informacyjne dla osób, których dane przetwarzasz.
A ty, jako przedsiębiorca masz dużo więcej obowiązków. Ty musisz zadbać o BEZPIECZEŃSTWO danych osobowych, które przetwarzasz!
Obowiązek ten wynika z zasady integralności i poufności danych.
Działalność nierejestrowana a RODO. Poznaj pięć praktycznych wskazówek jak zadbać o bezpieczeństwo przetwarzania danych
Wskazówka #1 Wprowadź organizacyjne środki dbania o bezpieczeństwo danych osobowych
Organizacyjne środki dbania o bezpieczeństwo danych to procedury organizacyjne ułatwiające dbanie o bezpieczeństwo przetwarzania danych osobowych.
Przykładowa dokumentacja związana z przetwarzaniem danych osobowych w Twojej działalności nierejestrowanej może składać się z takich dokumentów jak:
- Polityka ochrony danych osobowych
- Procedura szacowania ryzyka
- Dokumentacja potwierdzająca wdrożenie technicznych i organizacyjnych środków bezpieczeństwa z ich spisem
- Procedura postępowania z ryzykiem
- Procedura prowadzenia oceny skutków dla ochrony danych (DPIA)
- Procedura archiwizacji oraz usuwania dokumentów zawierających dane osobowe
- Procedura logowania do systemów IT oraz korzystania ze służbowej poczty elektronicznej
- Procedura wykonywania i odtwarzania kopii zapasowych
- Procedura konserwacji i serwisowania urządzeń
- Procedura użytkowania telefonu komórkowego
- Procedura ochrony przed szkodliwym oprogramowaniem
- Procedura nadawania haseł
- Procedura postępowania w przypadku naruszenia bezpieczeństwa danych osobowych
- Rejestr czynności przetwarzania danych,
- Rejestr naruszeń
- Polityka czystego biurka
- Instrukcja zarządzania systemami IT.
Wskazówka #2 Wprowadź techniczne środki dbania o bezpieczeństwo danych
Wśród technicznych środków można wyróżnić te które są związane z komputerem oraz te dotyczące korzystania z internetu.
Przykładowe środki bezpieczeństwa które możesz zastosować w swojej działalności nierejestrowanej to:
- Szyfrowanie
- Zabezpieczenie przed działalnością szkodliwego oprogramowania
- Archiwizacja i tworzenie kopii zapasowych (backup) danych
- Uwierzytelnianie w systemach IT oraz w dostępie do strony www
- Prawidłowe zarządzanie uprawnieniami dostępowymi do systemów informatycznych
- Zewnętrzne, profesjonalne wsparcie techniczne przy obsłudze strony www/sklepu online
- Wybór bezpiecznego hostingu , domeny i operatora płatności.
Wskazówka #3 Wykonaj analizę ryzyka i testuj wybrane środki bezpieczeństwa
Analizę ryzyka musisz wykonać po to, by zapobiec naruszeniu danych osobowych.
Praktyczne wskazówki:
- Przeprowadź inwentaryzację przetwarzanych danych osobowych i określ czy dane są przetwarzane zgodnie z prawem
- Określ listę zagrożeń, w wyniku których może nastąpić naruszenie ochrony danych osobowych i określ prawdopodobieństwo wystąpienia
- Opisz skutki wystąpienia danego ryzyka i wskaż środki zapobiegawcze lub minimalizujące skutki takiego ryzyka
- Przetestuj wybrane środki bezpieczeństwa pod kątem naruszenia.
Wskazówka #4 Prowadzenie ewidencji naruszeń bezpieczeństwa i wyciąganie wniosków z incydentów
Zgodnie z RODO naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Przykładowe rodzaje naruszeń które wystąpić u przedsiębiorców prowadzących działalność nierejestrowaną:
- Wykasowanie plików z komputera
- Wylanie kawy na komputer z danymi
- Wyciek danych z systemu
- Nieukrywanie adresów e-mailowych przy wysyłce masowej
- Utrata nośników danych
- Nieprawidłowe usunięcie danych
- Zgubienie niezabezpieczonego telefonu
- Utrata konta na Facebooku lub Instagramie
- Wprowadzenie zmian w bazie danych przez nieuprawnioną osobę
- Zniszczenie kopii zapasowych
- Przełamanie zabezpieczeń na stronie www i w sklepie online
- Utrata klucza szyfrującego (w sytuacji zaszyfrowanych danych).
Zgodnie z zasadą rozliczalności, osoby prowadzące działalność nierejestrowaną powinny jako administratorzy danych osobowych rejestrować wszystkie naruszenia.
Jakie informacje powinny być zawarte w rejestrze naruszeń?
- przyczyny naruszenia
- przebieg naruszenia
- naruszone dane osobowe
- skutki i konsekwencje naruszenia
- jakie działania naprawcze podjął administrator.
Wskazówka #5 Zgłaszaj naruszenia ochrony danych osobowych do Urzędu Ochrony Danych Osobowych
W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
Uzyskanie tego stopnia pewności, poprzedzone powinno być wykonaniem postępowania, w którym zostanie ocenione, czy doszło do naruszenia.
Jako administrator musisz więc przeprowadzić szczegółową analizę naruszenia, zapisać wszystko w rejestrze naruszeń i w przypadku wystąpienia ryzyka określonego w wyżej wymienionych przepisach powinnaś zgłosić takie naruszenie danych w Twojej działalności nierejestrowanej do Prezesa Urzędu Ochrony Danych oraz osobom, których naruszenie dotyczy.
***
Potrzebujesz pomocy we wdrożeniu RODO w swojej działalności nierejestrowanej?
Skorzystaj z kursu (szkolenie i wzory dokumentów), który dla Ciebie przygotowałam!
Więcej o kursie przeczytasz tutaj: RODO W DZIAŁALNOŚCI NIEREJESTROWANEJ
***
Podstawa prawna:
- ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- Ustawa z dnia 6 marca 2018 r. – Prawo przedsiębiorców
Bibliografia:
- “RODO przewodnik ze wzorami” pod. red. Macieja Gawrońskiego
- “Jak samodzielnie wdrożyć RODO w firmie?” Damian Dziuba, Magdalena Wolańska
Joanna Rułkowska
prawniczka
Zdjęcie: Kelly Sikkema
***
Faktury a działalność bez rejestracji 2024?
Faktury, jako jeden ze sposobów dokumentowania sprzedaży przez osoby prowadzące działalność bez rejestracji
Faktury, to jedno z najważniejszy zagadnień do opanowania przed startem z małym biznesem.
Osoby prowadzącej działalność bez rejestracji mają bowiem różne obowiązki księgowe.
W zależności od tego, czy musisz zarejestrować się jako podatnik czynny VAT, czy nie te obowiązki będą różne [Czytaj dalej…]
{ 0 komentarze… dodaj teraz swój }