Działalność nierejestrowana, a RODO. Kiedy przedsiębiorcza mama musi stosować przepisy dotyczące RODO?

Działalność nierejestrowana, to jeden z wątków, który najczęściej pojawia się na tym blogu. Podstawowych informacji o definicji i warunkach prowadzenia tego typu aktywności gospodarczej przez przedsiębiorcze mamy musicie poszukać w artykule dostępnym tutaj :

Działalność nierejestrowana – czy młode mamy skorzystają z tego rozwiąznia?

Inne artykuły dotyczące działalności nierejestrowanej znajdziecie w zakładce Poradnik przedsiębiorczej mamy (kliknij tutaj).

Działalność nierejestrowana, to temat, dla którego ilość wątpliwości mimo licznych artykułów się nie zmniejsza. Czas na rozwianie problemu… czy osoby prowadzące działalność bez rejestracji muszą martwić się o RODO?

Dzisiejszy artykuł – artykuł specjalistyczny, bo dotyczący dość zawiłej tematyki – napisała razem ze mną mecenas Kasia Krzywicka (Prawo Małych Przedsiębiorców). Więcej informacji, o Pani Adwokat przeczytacie na końcu wpisu. Znajdziecie tam również odesłania do jej strony i innych miejsc w sieci, gdzie dzieli się swoją wiedzą.

Teraz oddaję jej stery i zapraszam do lektury!

Co to jest RODO? Co rozumiemy pod pojęciem ochrony danych osobowych? 

Kasia Krzywicka – Prawo Małych Przedsiębiorców: Zacznijmy od początku. RODO to rozporządzenie europejskie. Zgodnie z prawem unijnym rozporządzenie to taki specyficzny akt prawny, który ma zasięg ogólny, wiąże w całości i co najważniejsze jest bezpośrednio stosowane we wszystkich Państwach Członkowskich. Oznacza to tyle, że RODO tak samo obowiązuje w Niemczech, we Francji i u nas w Polsce też.

Co RODO zmieniło? Czy to pierwszy akt prawny o ochronie danych osobowych? Oczywiście, że nie! Ale to pierwszy akt prawny w zakresie ochrony danych osobowych tak dobrze przez nas wszystkich znany!

Dzieje się tak za sprawą jednej z zasad głównych RODO, o której opowiem na prostym przykładzie.

Wyobraźmy sobie fikcyjny kraj, w którym obowiązuje zakaz kradzieży, ale za  nieprzestrzeganie tego zakazu nie ma żadnej kary. Mamy zakaz, ale bez żadnych konsekwencji za jego złamanie. A teraz wyobraźmy sobie drugi fikcyjny kraj, w którym obowiązuje zakaz kradzieży i dodatkowo są przewidziane kary za nieprzestrzeganie tego zakazu. Mało tego, w tym drugim kraju mamy cały system karania w przypadku kradzieży!

A teraz proszę żeby każdy zastanowił się i odpowiedział na pytanie, w którym kraju poczuje się bezpieczniej?

Pewnie większość z nas jednak w tym drugim. I właśnie ten drugi scenariusz mamy po wejściu w życie RODO. I to jest ta RODOwa rewolucja!

Teraz o ochronie danych mówi się dużo, nie dlatego, ze wcześniej nie należało chronić danych, ale przede wszystkim dlatego, ze nie było przewidzianych TAKICH konsekwencji za naruszenie tego nakazu. Dzisiaj, za sprawą RODO, to się zmieniło. A przykładem tej zmiany jest nasza dzisiejsza rozmowa i cenny czas Twojego czytelnika poświęcony na przeczytanie naszej rozmowy.

Teraz kiedy wiemy o co chodzi z RODO i całą tą rewolucją to warto zastanowić się czym są dane osobowe. Często w rozumieniu potocznym dane osobowe to cały plik informacji o danej osobie najlepiej oprawiony w dowód osobisty albo dokument prawa jazdy.

Tak jednak nie jest. Dane osobowe to informacje o każdym z nas, które w sposób pośredni lub bezpośredni służą do zidentyfikowanie Ciebie czy mnie, czyli rozpoznania, stwierdzenia,  że Ty to Ty, a ja to ja.

Na podstawie zdjęcia stopy niewiele osób będzie w stanie stwierdzić kto jest na danej fotografii. Ale już na podstawie zdjęcia twarzy nasza identyfikacja staje się formalnością. Czyli nawet Twój wizerunek jest uznawany za daną osobową. I ma to ogromne znaczenie na przykład dla fotografów!

Tak samo jest z adresem IP użytkownika. Na jego podstawie i przy zastosowaniu odpowiednich technik jest możliwość zidentyfikowania konkretnej osoby. Dlatego teraz w politykach prywatności na blogach, które prowadzimy nawet hobbystycznie mamy obowiązek to uwzględnić!

Czyli nasze dane to nie tylko imię, nazwisko, adres zamieszkania oraz e-mail, ale także wszystko co Cie pośrednio, czyli nie wprost będzie identyfikować.

Kolejnym ważnym aspektem RODO jest to że rozporządzenie ma zastosowanie do osób fizycznych. Ostatnio miałam na temat RODO ciekawą osobę z właścicielką firmy, u której kupowałam artykuły szkoleniowe. Pani poprosił mnie o moje dane – imię, nazwisko, adres oraz adres e-mail. W trakcie naszej krótkiej rozmowy wysłała mi dwa mejle. Zaczęłam z nią rozmowę od tego, że dysponuje całym szeregiem danych o klientach i że musi to być wymagające po wejściu w życie RODO. Pani mi powiedziała, że to nieprawda, że ludzie źle interpretują RODO i stosują też do firm, a przecież RODO ma zastosowanie tylko do osób fizycznych.

Takie rozmowy dostarczają mi ogromnej wiedzy! Przede wszystkim poznaje społeczne, ludzkie rozumienie RODO i co najważniejsze wielokrotnie zaczynam widzieć w tym jakąś logikę!

W tym wypadku sprzedawca nie miał do końca racji.  Prawdą jest, że RODO obowiązuje tylko osoby fizyczne. Dlatego nie będziemy chronić adresów firmy czy numerów telefonów spółek. Ale….ja byłam tam w charakterze klienta – osoby fizycznej i ochrona moich danych mi się po prostu należała!

A co to jest ta ochrona danych osobowych? Czy to rzeczywiście jest takie wymagające i arcytrudne? Ochrona danych osobowych to wszystkie działania, które musimy podjąć niezależnie od tego jaka mamy formę działalności, żeby chronić dane naszych pracowników, kontrahentów czy nawet czytelników bloga.

W jaki sposób ich chronić? Na przykład poprzez poinformowanie ich że w ogóle mamy ich dane tylko dlatego, ze odwiedzili twoja stronę, wysłali zapytanie ofertowe lub podpisali z nimi umowę o współpracy. W każdej z tych trzech sytuacji po prostu zbieramy dane osobowe. RODO nie mówi, że teraz nie możemy tego robić. RODO mówi po prostu, że masz to robić w odpowiedni sposób. A ten odpowiedni sposób to na przykład poinformowanie, uprzedzanie o tym, że będziemy dane przetwarzać, jak długo, na jakiej podstawie etc.  Formę w jakiej chcesz to zrobić możesz dostosować do modelu biznesowego i stylu pracy. RODO tutaj nic nie narzuca. Należy tylko pamiętać o tym, żeby poźniej można było wykazać, że działamy zgodnie z RODO. Wobec tego preferowane są wszelkie formy zostawiające ślad jak np. korespondencja mejlowa.

Czy przedsiębiorcze mamy prowadzące działalność nierejestrowaną muszą wdrożyć RODO? 

Joanna Rułkowska: Tak. Oczywiście, że tak. RODO chroni dane osobowe. Jeśli prowadzimy działalność bez rejestracji i przetwarzamy jakiekolwiek dane osobowe, to musimy dostosować tę działalność do RODO. RODO nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej, czyli bez związku z działalnością zawodową lub handlową. Działalność nierejestrowana jest działalnością zawodową. Przy RODO nie ma znaczenia forma prowadzenia działalności zawodowej: można prowadzić działalność nierejestrowaną, założyć spółkę z o.o. lub być przedsiębiorcą wpisanych w CEiDG – w każdej z tych sytuacji należy przestrzegać przepisów RODO.

Kiedy dokładnie należy wdrożyć RODO? 

Kasia Krzywicka – Prawo Małych Przedsiębiorców: Z mojej perspektywy, czyli prawnika zajmującego się RODO, drugorzędne znaczenie ma to czy ktoś ma działalność rejestrowaną, nierejestrowaną czy tylko pisze bloga jak dzieci pójdą spać. Dla mnie najważniejsza jest odpowiedź na pytanie skąd dane osoba ma dane swoich czytelników, klientów, kontrahentów oraz jaki jest to rodzaj danych. Jakie ma obszary swojej działalności, czy działa w internecie, jak działa, kto jest jej klientem i jakimi drogami ten klient czy też potencjalny klient przychodzi? Kolejne ważne pytania to jakimi danymi dysponuje z konkretnego kanału.

To są najważniejsze pytanie z perspektywy RODO. Jeśli chcesz dobrze wdrożyć RODO w działalności nierejestrowane to po prostu zapomnij w jakiej formie działasz, a skup się na tym skąd masz dane i jakie są to dane, czyli co wiesz o ludziach, którzy z Tobą współpracują lub którzy kupują od Ciebie produkt czy usługę.

Kolejnym niezwykle ważnym krokiem jest zastanowienie się na jakiej podstawie w konkretnym przypadku te dane naszych klientów, kontrahentów, czytelników bloga, subskrybentów newslettera przetwarzamy. Zupełnie inna podstawa przetwarzania będzie w przypadku kiedy ktoś zapisuje się na nasza newsletter – tutaj musimy zdobyć jego zgodę, a zupełnie inna będzie podstawa, kiedy ktoś pyta nas o ofertę lub kupuje od nas produkt.

Pierwszym podstawowym błędem RODO jest mieszanie podstaw przetwarzania danych i łączenie ich w jakieś przedziwne konstrukcje. Często jest tak, że zawieramy z kimś umowę i dana osoba przetwarza nasze dane. Podstawą przetwarzanie tych danych jest właśnie ta nasza umowa. I sytuacja byłaby prosta gdybyśmy tylko my sami jej nie komplikowali … dorzucając jakieś dodatkowego oświadczenie o wyrażeniu zgody. To nie jest potrzebne. Pozyskiwanie zgody na przetwarzanie danych osobowych niezbędne do realizacji konkretnej umowy jest  po prostu błędem. Wbrew temu z czym się często spotykam to nie jest podwójna poprawność (dwie zgody zamiast jednej) to jest po prostu błąd! I to podwójny. Po pierwsze taka zgoda nie jest dobrowolna, a taka zgodnie z RODO zgoda ma być! O jakiej dobrowolności tu mówimy jeśli te dane są potrzebne do realizacji umowy?

Po drugie możemy wprowadzić taką osobę, która zawarła z nami umowę w błąd, bo w jej umyśle może pojawiać się UZASADNIONE przekonanie, że jak wycofa zgodę to my już nie będziemy przetwarzać jej danych. Ale tak się nie stanie, bo takie dane powinniśmy przetwarzać do momentu przedawnienia roszczeń wynikających z danej umowy. Oczywiście w praktyce zdarzają się wyjątki od tej zasady (jak od każdej) na przykład w sytuacji kiedy do realizacji umowy niezbędne jest przetwarzanie danych osobowych szczególnej kategorii, ale tym się może tutaj zajmować nie będziemy…

Wracając do tematu analizy RODO poniżej wskazuję podstawowe pytania do dobrego wdrożenia RODO: 

  1. Skąd przychodzą do mnie dane osobowe?
  2. Kogo to są dane? np. klient, kontrahent, subskrybent, czytelnik newslettera?
  3. Jakie to są dane np. adres, numer telefonu, imię, nazwisko, wizerunek danej osoby?

Po zastanowieniu się nad tymi kwestami i rozpisaniu sobie dokładnie tych  zagadnień pora wziąć kartkę papieru i podzielić ja na dwie części. Po lewej stronie wpiszmy sobie elementy naszego świata biznesowego offline, a po prawej stronie elementy świata biznesowego online.

Zastanówmy się jak działamy na każdej z tych płaszczyzn. Czy mamy swoja stronę internetową? Czy mamy formularz kontaktu? Czy korzystamy ze wsparcia pomocy technicznej czy rachunkowej? W jaki sposób kontaktujemy się z klientem? Czy informujemy go o przetwarzaniu przez nas jego danych osobowych? Czy spełniamy obowiązek informacyjny? Czy mamy politykę prywatności na blogu? W jaki sposób wygląda nasz fanpage na Facebooku?

Na tym etapie muszę lojalnie uprzedzić, że nie ma czegoś takiego jak uniwersalne RODO dla każdego. RODO to nie jest pakiet darmowym rozmów telefonicznych adresowany „do firm”. Zupełnie inaczej będzie wyglądało RODO u osoby, która wykonuje w ramach działalności nierejestrowanej paznokcie hybrydowe, zupełnie inaczej u blogera, który współpracuje z markami, a jeszcze inaczej u osoby, która robi kocyki wełniane dla dzieci i sprzedaje na Facebooku.

Z uwagi na obszerność materiału, dalszą część artykułu przeczytacie w kolejnym – odrębnym wpisie. W następnej części RODOwpisu przeczytacie m.in. o podstawowych zasadach i regułach wdrażania RODO.

Podstawa prawna:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

 

Kasia Krzywicka – Prawo Małych Przedsiębiorców

Prawnik, adwokat, certyfikowany inspektor ochrony danych osobowych przez Uniwersytet w Maastricht, wpiera małych i średnich przedsiębiorców w oswajaniu RODO i nie tylko.

Wpisy, które mogą Cię zainteresować:

Prawa matek, a działalność nierejestrowana. Sześć plusów i minusów prowadzenia działalności nieewidencjonowanej.

Działalność bez rejestracji – czy i jak prowadzić ewidencję kosztów i przychodów?

Biznes i macierzyństwo? Świadczenie rodzicielskie, a działalność nierejestrowana.

Działalność nierejestrowana, a świadczenie pielęgnacyjne 2019.

Działalność nierejestrowana, a urlop macierzyński 2019.

Działalność nierejestrowana, a umowa zlecenia.

Działalność nierejestrowana, a podatek od towarów i usług (VAT 2019).

Urlop wychowawczy, a prowadzenie działalności nierejestrowanej.

Hits: 780

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Close

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie. Więcej informacji.

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close