W dzisiejszych czasach, kiedy technologia staje się nieodłączną częścią prowadzenia biznesu, ochrona danych osobowych staje się kluczowym elementem działalności nawet dla osób prowadzących działalność nierejestrowaną. Zasady określone w RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych) są istotnym punktem odniesienia, który powinien być zrozumiany i przestrzegany przez każdego przedsiębiorcę, niezależnie od skali prowadzonej działalności.
Zasada świadomości
Jako osoba prowadząca działalność nierejestrowaną musisz wdrożyć RODO i w prawidłowy sposób zadbać o ochronę danych osobowych.
Musisz być świadoma tego, że jesteś administratorem danych Twoich klientów.
Pamiętaj, że będziesz administratorem także wtedy gdy jeszcze nie masz klientów, ale przetwarzasz np. dane poprzez wiadomości mailowe w celu ewentualnej współpracy czy transakcji czy wtedy gdy przetwarzasz dane w celach marketingowych (np. poprzez newsletter).
Działalność nierejestrowana a RODO – zasada legalności
Przetwarzanie danych osobowych jest możliwe tylko wtedy, gdy osoba prowadząca działalność nierejestrowaną dokonuje przetwarzania w oparciu o jedną z przesłanek ujętych w RODO.
Przesłanki legalności na które najczęściej powołują się osoby prowadzące działalność nierejestrowaną:
- przetwarzanie jest niezbędne w celu realizacji umowy,
- przetwarzanie odbywa się w ramach wypełnienia obowiązku prawnego ciążącego na administratorze,
- przetwarzanie odbywa się na podstawie prawnie uzasadnionego interesu realizowanego przez administratora,
- przetwarzanie odbywa się na podstawie zgody udzielonej przez osobę której dane przetwarzasz.
Zasada rzetelności
Zasada rzetelnego i przejrzystego przetwarzania danych osobowych wymaga, by osoba której dane dotyczą była informowana o prowadzeniu operacji przetwarzania i jej celach.
Wszystkie informacje kierowane przez osobę prowadzącą działalność nierejestrowaną do osoby, której dane mają być przetwarzane powinny być zwięzłe, łatwo dostępne i zrozumiałe.
Ważne jest formułowanie informacji jasnym i prostym językiem.
Zasada minimalizacji danych
Dane osobowe mogą być gromadzone i wykorzystywane przez osobę prowadzącą działalność nierejestrowaną jedynie w zakresie, w jakim są niezbędne do określonego celu.
Nie możesz przetwarzać (w tym także przechowywać), danych które nie są konieczne do realizacji konkretnego celu ich przetwarzania.
Przykład:
Nie możesz przetwarzać np. numeru PESEL osoby która chce jednie skorzystać z formularza kontaktowego dostępnego na Twojej stronie.
Do realizacji celu powinny wystarczyć dane mailowe, ewentualnie imię.
Działalność nierejestrowana a RODO – zasada prawidłowego powierzenia danych
Jeśli jako osoba prowadząca działalność nierejestrowaną powierzasz dane osobowe zewnętrznemu podmiotowi masz obowiązek podpisać z tym podmiotem specjalną umowę tzw. umowę powierzenia przetwarzania danych osobowych (UPPDO).
>>> Kluczowym elementem utrzymania działalności nierejestrowanej jest limit przychodu należnego. O tym w jaki sposób zarządzać tym limitem przeczytasz w: 7 zasad liczenia limitu działalności nierejestrowanej w 2024 roku
Podmioty z którymi najczęściej osoby prowadzące działalność nierejestrowaną zawierają umowę powierzenia przetwarzania danych, to:
- księgowa
- firma (system) do fakturowania
- hostingodawca
- wirtualna asystentka
- firma obsługująca newsletter
- firma kurierska.
Zasada ograniczenia czasowego
Jest to zasada ograniczenia przechowywania.
Dane osobowe mogą być przetwarzane (w tym przechowywane) przez osobę prowadzącą działalność nierejestrowaną jedynie przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
Jak to wygląda w praktyce?
Po wykonaniu zawartej umowy lub upływie wskazanego w przepisach prawa okresu przechowywania danych, dane powinny zostać usunięte lub zanonimizowane.
Musisz więc przemyśleć proces usuwania danych i stosować się do wewnętrznych procedur.
Działalność nierejestrowana a RODO – zasada poufności
Dane muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych.
Co to oznacza w praktyce?
Osoba prowadząca działalność nierejestrowaną musi zapewnić właściwą ochronę przed:
- niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz
- przypadkową utratą, zniszczeniem lub uszkodzeniem.
Należy tego dokonać za pomocą odpowiednich środków technicznych (np. zabezpieczenia IT, fizyczne) lub organizacyjnych (wewnętrzne procedury).
>>> Jakie dodatkowe obowiązki czekają niektórych nierejestrowanych przedsiębiorców? Bieżące obowiązki prawne i księgowe związane z działalnością nierejestrowaną
Zasada respektowania praw osób, których dane przetwarzasz.
Każdej osobie, której dane przetwarzasz przysługuje szereg praw. M.in. prawo do:
- informacji (tzw. obowiązek informacyjny)
- wycofania zgody na przetwarzanie danych
- przenoszenia danych
- bycia zapomnianym
- dostępu do swoich danych
- sprostowania
- ograniczenia przetwarzania
- prawo do sprzeciwu.
Inne RODO zasady, które muszą respektować osoby prowadzące działalność nierejestrowaną to:
- Zasada zgłaszania naruszeń
- Zasada rozliczalności
- Zasada prawidłowości (uaktualniania).
Kurs online: 10 kroków do wdrożenia RODO w Twojej działalności nierejestrowanej w 2024 roku!
Mam nadzieję, że rozjaśniłam Ci trochę kwestię bycia administratorem danych osobowych.
Jeśli potrzebujesz pomocy we wdrożeniu RODO w Twojej działalności nierejestrowanej zachęcam Cię do zapoznania się ze szkoleniem: 10 kroków do wdrożenia RODO w małym biznesie!
Podstawa prawna:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Bibliografia:
- „RODO przewodnik ze wzorami” pod. red. Macieja Gawrńskiego
- „Jak samodzielnie wdrożyć RODO w firmie?” Damian Diuba, Magdalena Wolańska.
Joanna Rułkowska
prawniczka
Zdjęcie drogowskazu pochodzi z serwisu Unsplash
***
Działalność bez rejestracji a RODO? Jesteś administratorem danych osobowych!
Administrator danych osobowych to podmiot, który decyduje o tym, w jakim celu i w jaki sposób będzie przetwarzał dane osobowe.
Tym podmiotem jeśli chodzi o przedsiębiorców może być albo spółka, albo osoba fizyczna, która prowadzi indywidualną działalność gospodarczą (lub nierejestrowaną) [Czytaj dalej…]
{ 0 komentarze… dodaj teraz swój }