Kogo dotyczy RODO?

Jowita Kania-Stachura06 lutego 201830 komentarzy

Szanowni Państwo!

Dzisiaj wracamy do spraw fundamentalnych. Na pytanie kogo dotyczy RODO odpowie Państwu Piotr Potocki, któremu oddaję głos :-).

Od czasu, kiedy prowadzimy w kancelarii bloga, dostajemy wiele wiadomości od czytelników, w których powtarza się pytanie „czy to całe RODO mnie w ogóle dotyczy”? Jak więc mawiał pewien poseł, a niegdyś prokurator – „niniejszym spieszę donieść”, że z dużym prawdopodobieństwem tak!!!

Nie ma bowiem znaczenia, czy ktoś jest tylko mikro przedsiębiorcą i wykonuje działalność, która pozornie w ogóle nie jest związana z bezpieczeństwem danych osobowych, czy też jest spółką informatyczną zajmująca się metaanalizą danych, obowiązki wynikające z RODO mogą ciążyć na każdym podmiocie gospodarczym, jednakże w różnym stopniu.

Ideą przyświecającą twórcom Rozporządzenia było założenie, że pewien – chociażby minimalny standard ochrony danych osobowych – musi spełniać każdy, kto te dane w jakikolwiek sposób przetwarza. Oczywiście, na podmioty duże i masowo wykorzystujące dane nałożono inne obowiązki, niż na niewielkiego administratora, którym może być mała spółka, albo jednoosobowy przedsiębiorca. Jednak decydujące o tym, czy kogoś dotyczy RODO, jest to, czy w związku z prowadzoną działalnością gospodarczą przetwarza dane osobowe osób fizycznych.

Zgodnie z art. 2 ust. 1 RODO, przedmiotowe Rozporządzenie ma zastosowanie w sytuacji przetwarzania danych:
1) w sposób zautomatyzowany, nawet wówczas, kiedy dane osobowe nie stanowią zbioru danych. Oznacza to, że już samo posiadanie w firmie nawet jednej kamery, która rejestruje obraz, powoduje konieczność dostosowania się do postanowień RODO;

2) w sposób częściowo zautomatyzowany, nawet wówczas, kiedy dane osobowe nie stanowią zbioru danych. Przykładem takiego przetwarzania jest już samo posiadanie na komputerze listy klientów, kontrahentów, współpracowników – składającej się z imienia, nazwiska i nazwy firmy – niezależnie od tego, czy dane te zostały zebrane w sposób zautomatyzowany, czy nie;

3) w sposób niezautomatyzowany (manualny), kiedy dane osobowe stanowią część zbioru. Wynika z tego, że pracodawca posiadający ułożone alfabetycznie akta osobowe pracowników również będzie musiał zastosować się do obowiązków wynikających z RODO;

4) w sposób niezautomatyzowany (manualny), kiedy dane osobowe tylko potencjalnie mogą stanowić zbiór danych. Przykładem takiej sytuacji jest już posiadanie danych osobowych, jeszcze nieułożonych, które jednak można potencjalnie pogrupować według jakiegoś kryterium.

Biorąc pod uwagę powyższe, należy stwierdzić, że o ile nie dochodzi do przetwarzania danych „przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze”, to każdy inny rodzaj przetwarzania powinien odbywać się z uwzględnieniem odpowiednich standardów wyznaczonych przez RODO.

Co więcej, wydaje się, że ustawodawca unijny rozszerzył zakres przedmiotowy działań, które podlegają pod regulacje RODO. Na gruncie obecnej ustawy istniały wątpliwości, czy ochrona przysługuje danym przetwarzanym manualnie, które nie stanowiły żadnego zbioru. W przyszłości takie wątpliwości znikną, ponieważ już teraz wiemy, że tak będzie.

Ponadto należy dodać, że przetwarzaniem jest zgodnie z art. 4 pkt 2 RODO „każda operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”. Można wiec przyjąć, że niemal każda operacja dokonywana na danych osobowych będzie ich przetwarzaniem i co za tym idzie będzie implikowała dodatkowe zobowiązania administratora.

Podsumowując, ciężar obowiązku dostosowania standardów postępowania z danymi osobowymi do wymagań RODO został nałożony na bardzo liczną grupę podmiotów prowadzących działalność gospodarczą, w tym na spółki informatyczne, sklepy internetowe, banki, deweloperów, agencje pracy, czy pośredników sprzedaży nieruchomości. Ponadto zalecane jest, aby każdy przedsiębiorca przed dniem 25 maja 2018 r. przeprowadził własny audyt wewnętrzny i sprawdził, czy posiada jakieś dane osobowe osób fizycznych i czy z tego powodu RODO nie nakłada na niego dodatkowych obowiązków.

{ 30 komentarze… przeczytaj je poniżej albo dodaj swój }

Karolina Zbyt Luty 8, 2018 o 00:56

Szanowni Państwo, rozumiem duże podmioty … a ja prowadzę małą firmę na Podlasiu, jest to DGosp., zatrudniam 3 osoby. W mediach raz mówią, że mnie RODO nie dotyczy, a raz że dotyczy. Szczerze mówiąc – nic nie rozumiem i nic nie wiem. Czy moja firma również podlega pod te przepisy?

Karolina

Odpowiedz

Jowita Kania-Stachura Luty 8, 2018 o 11:22

Szanowna Pani Karolino!
Jeśli przetwarza Pani dane osobowe osób fizycznych to w pewnym zakresie RODO będzie Pani dotyczyło. Szczegółowe obowiązki zależeć będą od tego jakie dane Pani przetwarza i w jakim zakresie. Może się jednak okazać, że nie taki diabeł straszny jak go malują, a cała dokumentacja to dwie kartki papieru, które z łatwością przygotuje Pani sama. Proszę pytać jeśli coś Panią nurtuje. Będziemy starali się wszystko stopniowo wyjaśniać w naszych wpisach.
Pozdrawiam
Jowita Kania-Stachura

Odpowiedz

Andrzej Kwiecień 6, 2018 o 13:27

Witam prowadzę jednoosobową działalność gospodarczą jest to sklep – dane pobierane są tylko w celu złożenia zamówienia przez klienta na zakup lub usługę i wystawienia potem faktury z tego tytułu.Jak mają się przepisy RODO w tej sytuacji.

Odpowiedz

Jowita Kania-Stachura Kwiecień 10, 2018 o 15:02

RODO dotyczy wszystkich z tym, że zakres obowiązków obciążających poszczególnych przedsiębiorców jest różny, a zależy od chociażby od tego co oprócz wystawienia faktury „robi” Pan z zebranymi danymi.

Odpowiedz

Jowita Kania-Stachura Kwiecień 16, 2018 o 10:43

Szanowny Panie!
Obowiązki w zakresie przestrzegania danych osobowych ciążące na osobach prowadzących sklepy internetowe istniały już poprzednio. Wynikają one nie tylko z dotychczasowej ustawy o ochronie danych osobowych, ale również z ustawy o oświadczeniu usług drogą elektroniczną oraz z ustawy prawo telekomunikacyjne. Z tego względu uczulam Pana także na sprawdzenie, czy na podstawie ww. aktów prawnych nie ciążą na Panu dodatkowe zobowiązania, chociażby polegające na sporządzeniu regulaminu świadczenia usług drogą elektroniczną. Dla małych sklepów internetowych przepisy RODO wydają się być mniej restrykcyjne, niż wymogi obecnej ustawy. Pana klienci powinni być poinformowani o informacjach o administratorze i uprawnieniach osób fizycznych (art. 13 RODO) oraz zapewne należy przygotować rejestr czynności przetwarzania. Dodatkowo, jeżeli zbiera Pan dane klientów i rozsyła im jakiś newsletter, to konieczne jest zdobycie na takie działania zgody klienta. Możliwe, że przechowuje Pan dane klienta na wynajmowanych serwerach, bądź utrzymaniem Pańskiego systemu informatycznego zajmuje się firma zewnętrzna, jeżeli tak, to w takiej sytuacji powinien się Pan zastanowić, czy nie należy zawrzeć z nią umowy powierzenia danych do przetwarzania.

Odpowiedz

Leszek Kwiecień 21, 2018 o 19:55

Witam, jeśli prowadzę warsztat samochodowy i wystawiam tylko rachunki kontrahentom to dotyczy mnie Rodo? Rachunki wystawiam ręcznie na druczkach, nie trzymam tych danych na żadnym nośniku pamięci. W jaki sposób zastosować przepisy Rodo jeśli mnie dotyczą. Dziękuję za odp

Odpowiedz

Jowita Kania-Stachura Kwiecień 23, 2018 o 10:41

Szanowny Panie!
Bardzo dziękuję za pytanie. Poruszył Pan bardzo ważną kwestię, czyli konieczność przestrzegania zasad przetwarzania danych osobowych przez niewielkie podmioty, które wyłącznie incydentalnie zajmują się tym zagadnieniem. Po pierwsze trzeba pamiętać, że pewne obowiązki związane z przestrzeganiem danych osobowych ciążą na Panu już na podstawie obecnie obowiązującej ustawy, co więcej są to obowiązki „sztywne” i nie do końca zależne od skali przetwarzania danych. Przepisy RODO są tutaj bardziej liberalne. Oczywiście samo RODO dotyczy również Pana i nakłada pewne obowiązki, które powinny zostać wykonane. W pierwszej kolejności zalecałabym upewnić się, czy wspomniane przez Pana „druczki” są przechowywane w bezpiecznym miejscu, najlepiej w jakiejś zamykanej na klucz szafce. Takie fizyczne zabezpieczenie jest również przykładem spełniania obowiązków RODO. Ponadto zalecam w samym warsztacie wywiesić informację ogólnie dostępną dla Pana klientów, z której wynikałoby kto jest administratorem danych i jakie prawa ma osoba fizyczna. Możliwe również, iż konieczne stanie się zawarcie jakiejś umowy z firmą księgową, dotyczącej powierzenia danych do przetwarzania. Proszę jednak pamiętać, że moja odpowiedź to tylko pewne wskazówki, a nie rzetelna porada prawna, która wymaga szczegółowego poznania stanu faktycznego.Pozdrawiam

Odpowiedz

STANISŁAW Kwiecień 24, 2018 o 19:18

Szanowna Pani.
Prowadzę działalność gospodarczą w zakresie elektroniki i automatyki, firma jednoosobowa, jestem na emeryturze.
Realizuję zlecenia od firm, wystawiam faktury na druczkach „Faktura A5” u klienta, nie trzymam tych danych na żadnym nośniku pamięci.
W jaki sposób zastosować przepisy RODO, jeśli mnie dotyczą?
Serdecznie dziękuję za odpowiedź.
Stanisław
24.04.2018

Odpowiedz

Katarzyna Maj 2, 2018 o 12:40

Dzień dobry,
czy przepisy RODO dotyczą mnie w sytuacji, gdy prowadzę jednoosobową działalność gospodarczą i mam jednego klienta, którym jest Sp. z o.o.? Wydaje mi się, że nie, gdyż w mojej działalności nie gromadzę żadnych danych osób fizycznych, zaś faktury wystawiane są na spółkę, nie na konkretną osobę, ale zaczęłam mieć mam obawy. Będę wdzięczna za odpowiedź.

Odpowiedz

Jowita Kania-Stachura Maj 2, 2018 o 13:29

Szanowna Pani Katarzyno!
Może Pani spać spokojnie. Ochronie podlegają dane osób fizycznych.
Pozdrawiam

Odpowiedz

Katarzyna Maj 7, 2018 o 09:24

Bardzo dziękuję za odpowiedź, kamień spadł mi z serca.
Pozdrawiam serdecznie.

Odpowiedz

Jola Maj 9, 2018 o 21:32

Witam, prowadzę mobilną działalność kosmetyczną, jedyne dane klientek jakie zapisuje są w moim kalendarzu tj imię, nazwisko. Czy RODO też mnie dotyczy? Jeśli tak to od czego powinnam zacząć.?

Odpowiedz

Jowita Kania-Stachura Maj 14, 2018 o 11:22

Postaramy się o tym jeszcze napisać.

Odpowiedz

Wioleta Maj 16, 2018 o 10:14

Witam,

prowadzę jednoosobową działalność gospodarczą w celu współpracy z agencją promocyjną. Wystawiam tylko dwie faktury w miesiącu właśnie tej agencji. nie zbieram i nie przetwarzam żadnych danych osobowych. nie zatrudniam pracowników. Czy obowiązuje mnie RODO?

Odpowiedz

Jowita Kania-Stachura Maj 16, 2018 o 15:01

Szanowna Pani!
Tak jak pisaliśmy RODO dotyczy każdego przedsiębiorcy, ale w różnym zakresie. Odpowiedź na pytanie jaki zakres odnosi się do Pani zależy np. od tego w jakiej formie organizacyjno-prawnej prowadzona jest działalność agencji, z którą Pani współpracuje.

Odpowiedz

Ozi Maj 16, 2018 o 16:22

Witam serdecznie,

prowadzę jednoosobową działalność gospodarczą. Posiadam dodatkowo stronę internetową (branża turystyczna), na której posiadam formularz kontaktowy. Wiem, że podlegam w takim wypadku pod RODO i jestem na etapie wdrażania wszystkich wymagań informacyjnych dla użytko9wników strony.

Formularz wykorzystuję tylko i wyłącznie w celu udzielenia odpowiedzi na temat atrakcji turystycznej.
W tym narzędziu zbieram takie dane: imię, nazwisko, adres e-mail. Storna oparta jest na WordPressie, więc dodatkowo będzie dochodził adres IP, pliki coockies, oraz sprawa związana z Google Analytics.
Od strony technicznej jak najbardziej sobie poradzę.

Nurtuje mnie jednak pytanie czy muszę w związku z tym przygotowywać jakieś wewnętrzne dokumenty typu Polityka Bezpieczeństwa i Instrukcja, rejestr czynności przetwarzania, etc.?

jeśli muszę, to proszę o podpowiedź, jakie to miałyby być dokumenty. Szukam info w internecie, ale teraz są tak sprzeczne wiadomości, że trudno ustalić co potrzeba, a co nie w/w.

Dziękuję za pomoc:)

Odpowiedz

Iza Maj 21, 2018 o 01:25

Witam. Prowadzę autohandel. Faktury wystawiam w programie do fakturowania, wydrukowane dokumenty przekazuję do księgowej. Dane klienta przekazuję również do firmy ubezpieczeniowej. Czy poza tymi podmiotami, które przetwarzają dane moich klientów, muszę też wypisać różne instytucje państwowe, którym podlega moja firma, w razie np. kontroli podatkowej?

Odpowiedz

Jowita Kania-Stachura Maj 21, 2018 o 14:05

Szanowna Pani!Rozumiem, że Pani pytanie dotyczy rejestru czynności przetwarzania i pyta Pani o to czy w takim rejestrze trzeba wskazywać podmioty publiczne jako odbiorców? Jeśli o to chodzi to odpowiedź brzmi -NIE! Organy publiczne nie są uznawane za odbiorców, oczywiście jeśli dane te otrzymują w ramach konkretnego postępowania i przetwarzają je zgodnie z przepisami.

Odpowiedz

Magda Wełpa Maj 21, 2018 o 12:36

Witam,prowadze firme jednoosobowa(sklep spożywczy),.W programie magazynowym posiadam dane dostawców,przekazuje je tylko do księgowej,nigdzie więcej ich nie udostępniam,czy w takim przypadku dotyczy mnie RODO.Czekam na odpowiedż,z gory dziękuje.

Odpowiedz

Jowita Kania-Stachura Maj 21, 2018 o 14:06

Szanowna Pani! Tak! Ponieważ Państwa pytania na ten temat się powtarzają postaramy się napisać o tym jeszcze raz.

Odpowiedz

Ilona Maj 23, 2018 o 22:13

Witam,
prowadzę działalność zajmującą się sprzedażą węglem, w której wystawiam dowody dostawy wyrobów węglowych, gdzie wpisuję dane osób fizycznych – imię, nazwisko i adres, ponadto zatrudniam pracowników i wystawiam faktury na firmy. Jakie konkretnie dokumenty muszę utworzyć i jakie rejestry prowadzić?
Z góry dziękuję za odpowiedź.

Odpowiedz

Halina Maj 24, 2018 o 14:46

Czy w rejestrze przetwarzania należy ująć akty notarialne zwierane przez Spółkę z o.o. z inną Spółką ? W aktach notarialnych ujęte są dane osobowe osób zarządzających Spółką takie jak imię , nazwisko numer PESEL numer dowodu osobistego , adres zamieszkania.
Drugie pytanie czy w rejestrze ująć takie dokumenty sporządzane przez Spółkę jak RCA , RZA , RMUA , RSA , Rp-7 – są to dokumenty pracowników przesyłane do ZUS.
Trzecie pytanie czy ujmować zawarte umowy przez Spółkę z dostawcami mediów gdzie zawarte są dane osobowe osób zarządzających spółką i czy ujmować umowy najmu zawarte przez Spółkę z osobami fizycznymi prowadzącymi jednoosobową działalność gospodarczą.

Odpowiedz

Iza Maj 24, 2018 o 16:48

Dzień Dobry

Prowadzę jednoosobową działalność. Świadczę usługi wynajęcia miejsca parkingowego za parkingu niestrzeżonym. Wystawiam faktury ręcznie na osoby prywatne i firmy. Nie posiadam komputerów w których przechwywałabym dane. Faktury przekazuję do księgowości. Jak to wygląda w moim przypadku bo słysze różne opinie. Dziękuję za odpowiedź.

Odpowiedz

Jan Maj 24, 2018 o 19:02

Witam a w takich trzech przypadkach: nie prowadzę dzialanosci gospodarczej (pracuje na etacie)
ale posiadam 3 strony internetowe: i :
1. w pierwszej jest mozliwosc rejestracji uzytkownikow (sa razrejestrowani – jakies podstawowe dane imie nazwisko itp) na stronie są reklamy z googla i przyciski z mediow spoloecznosciowych ?
2. w drugiej sa reklamy z googla , oraz przyciski z mediow spolecznosciowych?
3. nie ma reklam nie ma mozliwosci rejestracji..

wszystkie strony sa na hostingu zewnętrznym..

w ktorym przypadku podlegam rodo?

Odpowiedz

Marcin Maj 24, 2018 o 22:57

witam,
prowadzę 1 osobową działalność gospodarczą – produkcja oraz sprzedaż towarów za pośrednictwem sklepu internetowego. Wśród klientów mam zarówno dane osób fizycznych, osób fizycznych prowadzących działalność 1 osobową jak moja oraz spółki prawa handlowego – głównie sp. z o.o. Pytanie – czy ta ostatnia grupa kontrahentów wymaga również zgód na przedwarzanie danych? Z powyższych komentarzy domyślam się że nie – ale chcę się upewnić. Dodatkowo jako kontrahent dla dostawców surowców do produkcji (niektórzy z nich są również osobami fizycznymi) – księgowo przetwarzam dane osobowe w postaci danych na FV – czy w związku z tym z każdym z dostawców będących osobami fizycznymi muszę również podpisywać zgodę na przetwarzanie ich danych – jeżeli jestem odbiorcą FV?
dziękuję za odpowiedź

Odpowiedz

Andrzej Maj 27, 2018 o 18:41

Witam. Jestem emerytem. Prowadzę 1-osobową firmę budowlaną i moje pytanie brzmi: od kogo mam uzyskać zgodę na przetwarzanie danych? Wyliczam kontrahentów: wspólnota mieszkaniowa, inna firma budowlana, T-Mobile itp. Otrzymuję faktury za rozmowy komórkowe, za internet, za wynajem garażu. Czy mam do tych firm wysyłać informacje, aby wyrazili zgodę na przetwarzanie ich danych? Księguję ich faktury 1 x w miesiącu. Proszę o pomoc.

Odpowiedz

Waldemar Czerwiec 5, 2018 o 13:00

Nie prowadzę działalności gospodarczej , ale mam bloga gdzie jest formularz kontaktowy, newsletter oraz możliwość komentowania.
Czy RODO dotyczy takich osób jak ja , tzn prowadzących blogi czy inne strony prywatne ?

Odpowiedz

Jowita Kania-Stachura Czerwiec 20, 2018 o 12:21

Rzetelna odpowiedź na to pytanie zależy od dokładnego ustalenia stanu faktycznego, ale nie jest wykluczone, że RODO dotyczyć będzie również Pana.

Odpowiedz

ZBIGNIEW Czerwiec 13, 2018 o 07:50

czy RODO dotyczy ankiet anonimowych dla celów statystycznych?

Odpowiedz

Jowita Kania-Stachura Czerwiec 20, 2018 o 12:17

Skoro ankiety są anonimowe to nie zawierają danych osobowych.

Odpowiedz

Dodaj komentarz

Wyrażając swoją opinię w powyższym formularzu wyrażasz zgodę na przetwarzanie przez Kania Stachura Toś Kancelaria Radców Prawnych Twoich danych osobowych w celach ekspozycji treści komentarza zgodnie z zasadami ochrony danych osobowych wyrażonymi w Polityce Prywatności

Administratorem danych osobowych jest Kania Stachura Toś Kancelaria Radców Prawnych z siedzibą w Krakowie.

Kontakt z Administratorem jest możliwy pod adresem jowita.kania@kancelariakst.pl.

Pozostałe informacje dotyczące ochrony Twoich danych osobowych w tym w szczególności prawo dostępu, aktualizacji tych danych, ograniczenia przetwarzania, przenoszenia danych oraz wniesienia sprzeciwu na dalsze ich przetwarzanie znajdują się w tutejszej Polityce Prywatności. W sprawach spornych przysługuje Tobie prawo wniesienia skargi do Generalnego Inspektora Ochrony Danych Osobowych.

Poprzedni wpis:

Następny wpis: