Dane osobowe w programach księgowych - obowiązki RODO

Przedsiębiorcy mają obowiązek przestrzegania przepisów o ochronie danych osobowych (RODO) - również w przypadku gdy wykorzystują takie dane wyłącznie w celach księgowych, np. w celu wystawiania faktur, prowadzenia ewidencji i ksiąg rachunkowych. Obowiązek przestrzegania przepisów RODO dotyczy także danych osobowych pracowników. W artykule wskazujemy, jakie obowiązki ciążą na przedsiębiorcach (podatnikach i pracodawcach) w związku z wykorzystywaniem przez nich danych osobowych w celach księgowych.

Zasadą jest, że każde przetwarzanie danych osobowych osób fizycznych podlega pod przepisy o ochronie danych osobowych. Ochronie RODO podlegają zatem również dane osób fizycznych prowadzących jednoosobową działalność gospodarczą.

Oznacza to, że przedsiębiorca ma obowiązek stosowania przepisów o ochronie danych osobowych, jeśli chodzi o dane osób prowadzących jednoosobową działalność gospodarczą wykorzystywane dla celów księgowych. Podstawą przetwarzania danych osobowych takich osób jest uzasadniony interes osoby prowadzącej działalność gospodarczą. Przepisom o ochronie danych podlegają również dane osobowe pracowników, które są przetwarzane na podstawie obowiązku prawnego, konieczności wykonania umowy, prawnie uzasadnionego interesu pracodawcy lub zgody pracownika.

Podsumowując, podstawą przetwarzania danych osobowych osób fizycznych prowadzących jednoosobową działalność gospodarczą, np. w celach wystawienia faktur, jest:

• konieczność wykonania umowy, której stroną jest osoba fizyczna (art. 6 ust. 1 lit. b RODO),
• uzasadniony interes przedsiębiorcy (art. 6 ust. 1 lit. b RODO).

Natomiast podstawą przetwarzania danych osobowych pracowników jest:

• konieczność wykonania umowy, której stroną jest pracownik (art. 6 ust. 1 lit. b),
• obowiązek prawny pracodawcy (art. 6 ust. 1 lit. c RODO),
• prawnie uzasadniony interes przedsiębiorcy (art. 6 ust. 1 lit. f RODO), lub
• zgoda pracownika (art. 6 ust. 1 lit. a RODO).

Obowiązki przedsiębiorcy jako administratora danych osobowych

Przedsiębiorca jest zobowiązany w szczególności dopełnić wobec swoich kontrahentów obowiązków informacyjnych w tym zakresie (art. 13-14 RODO), ale nie tylko. Na przedsiębiorcy jako administratorze danych osobowych ww. osób ciążą również inne obowiązki wynikające z przepisów RODO.

1. Obowiązki informacyjne

Wykonanie obowiązku informacyjnego wobec osoby fizycznej, której dane są przetwarzane, w tym pracownika (art. 13 RODO), powinno nastąpić podczas pozyskiwania danych osobowych. Z kolei w przypadku pozyskania danych z innego źródła (np. z CEIDG) obowiązek powinien zostać wykonany, co do zasady, w rozsądnym terminie po pozyskaniu danych osobowych - najpóźniej w ciągu miesiąca - mając na uwadze konkretne okoliczności przetwarzania danych osobowych (art. 14 ust. 3 lit. a RODO).

Przykład

Przedsiębiorca odebrał zgody pracowników na przetwarzanie danych osobowych w celu wykonania specjalnych identyfikatorów firmowych z wizerunkiem pracowników. W takim przypadku, oprócz odebrania wyraźnej zgody z określeniem celów przetwarzania danych, konieczne jest przekazanie pracownikom klauzuli informacyjnej o przetwarzaniu ich danych osobowych w powyższych celach.

2. Obowiązek prowadzenia rejestru czynności przetwarzania danych (RCPD)

Każdy administrator danych jest zobowiązany do prowadzenia wewnętrznego rejestru czynności przetwarzania danych (RCPD).

Z obowiązku prowadzenia rejestru czynności przetwarzania danych osobowych, obciążającego administratora i przetwarzającego, są zwolnieni tylko ci przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób, którzy łącznie spełniają następujące kryteria:

- przetwarzanie, którego dokonują, nie powoduje ryzyka naruszenia praw lub wolności osób, których dane dotyczą,

- przetwarzanie ma charakter sporadyczny,

- przetwarzanie nie obejmuje szczególnych kategorii danych osobowych ani danych osobowych dotyczących wyroków skazujących i naruszeń prawa (art. 30 ust. 5 RODO).

W rejestrze należy zamieszczać następujące informacje:

1. imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także inspektora ochrony danych,
2. cele przetwarzania,
3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
5. gdy ma to zastosowanie - o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej,
6. jeżeli jest to możliwe - planowane terminy usunięcia poszczególnych kategorii danych,
7. jeżeli jest to możliwe - ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

UWAGA!

Rejestry mają mieć formę pisemną, przy czym mogą być sporządzone również w formie elektronicznej (art. 30 ust. 3 RODO). Rejestr podlega obowiązkowi udostępnienia na żądanie organu nadzorczego.

3. Obowiązek przeprowadzania analizy ryzyka

Przedsiębiorca jako administrator danych osobowych ma obowiązek przeprowadzenia analizy ryzyka w przypadku poszczególnych kategorii danych, a niektórych przypadkach także szacowania ryzyka.

Administrator jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych dla zapewnienia odpowiedniego stopnia bezpieczeństwa danych. Zabezpieczenie to może być dokonane przez:

- pseudonimizację i szyfryzację danych osobowych,

- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,

- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,

- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

4. Obowiązek wdrożenia procedur ochrony danych osobowych

RODO nie wskazuje wprost, jakie konkretnie dokumenty, procedury i polityki należy wdrożyć. Przydatne mogą okazać się dokumenty w postaci polityki ochrony danych osobowych, instrukcje zarządzania systemem informatycznym czy procedury o charakterze etycznym, np. Kodeksy Dobrych Praktyk.

5. Obowiązek wyznaczenia inspektora danych osobowych

Administrator musi w niektórych sytuacjach wyznaczyć inspektora danych osobowych. Obowiązek wyznaczenia takiego inspektora dotyczy:

• organów lub podmiotów publicznych (wyjątek stanowią sądy w zakresie sprawowania wymiaru sprawiedliwości),
• podmiotów, których główna działalność polega na przetwarzaniu danych i które ze względu na swój charakter, zakres lub cel wymagają regularnego i systematycznego monitorowania osób na dużą skalę,
• podmiotów zajmujących się przede wszystkim przetwarzaniem na dużą skalę danych wrażliwych.

6. Przeszkolenie kierownictwa i pracowników

Wskazane jest przeszkolenie kierownictwa i pracowników działu kadr, jak również wprowadzenie systemu kontroli wewnętrznej, który może być także elementem polityki bezpieczeństwa i ochrony danych osobowych.

7. Zgłaszanie naruszeń ochrony danych osobowych

W przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - musi zgłaszać je organowi nadzorczemu (UODO), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki musi ponadto zawiadamiać osobę, której danych to dotyczy, o takim naruszeniu.

8. Prowadzenie rejestru naruszeń

Administrator lub IOD ma także obowiązek prowadzenia rejestru naruszeń. Rejestr obejmuje zarówno te zdarzenia, które zostały zgłoszone organowi nadzorczemu, jak i zdarzenia, które nie zostały zgłoszone do organu nadzorczego, gdyż zdaniem administratora nie było ku temu podstaw.

Przykład

Przedsiębiorca omyłkowo wysłał fakturę dla osoby prowadzącej działalność gospodarczą na adres innego przedsiębiorcy niż właściwy adresat. W takim przypadku incydent ten powinien zostać odnotowany w rejestrze naruszeń. Jeśli faktura nie dotyczy danych o istotnym znaczeniu dla przedsiębiorcy, nie ma konieczności zgłaszania incydentu do UODO.

Dane osobowe z CEIDG w programie księgowym - obowiązki RODO

Przedsiębiorcy powinni wiedzieć, że baza kontrahentów w programie księgowym zawierająca ogólnodostępne dane (np. pochodzące z CEIDG) również podlega RODO. Zatem przedsiębiorca podlega przepisom o ochronie danych osobowych w zakresie przetwarzanych danych osobowych osób fizycznych, które zbiera w oparciu o CEIDG.

Zgodnie z art. 43 ust. 1 ustawy z 6 marca 2018 r. o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy (Dz.U. z 2018 r. poz. 647) CEIDG udostępnia zawarte w niej dane i informacje (o których mowa w art. 5 ust. 1 i 2 ustawy), z wyjątkiem numeru PESEL, daty urodzenia oraz danych kontaktowych (o których mowa w art. 5 ust. 1 pkt 7 tej ustawy), w przypadku gdy, podając je, osoba uprawniona sprzeciwiła się ich udostępnianiu w CEIDG.

Obowiązująca przed rozpoczęciem stosowania RODO do 30 kwietnia 2018 r. ustawa o swobodzie działalności gospodarczej wprost wyłączała zastosowanie przepisów dot. ochrony danych osobowych w stosunku do jawnych danych i informacji udostępnianych przez CEIDG. Obecnie obowiązujące przepisy ustawy - Prawo przedsiębiorców z 6 marca 2018 r. (Dz.U. z 2018 r. poz. 646), nie przewiduje wyłączeń w stosunku do przedsiębiorców prowadzących działalność w formie jednoosobowej działalności gospodarczej. W konsekwencji należy przyjąć, że gromadzenie ogólnodostępnych w internecie danych osób fizycznych prowadzących działalność (dane podane w Centralnej Ewidencji i Informacji o Działalności Gospodarczej) stanowi przetwarzanie danych osobowych w rozumieniu RODO.

Zgodnie z motywem 14 RODO ochrona zapewniana rozporządzeniem powinna mieć zastosowanie do osób fizycznych - niezależnie od ich obywatelstwa czy miejsca zamieszkania - w związku z przetwarzaniem ich danych osobowych. RODO nie wyłącza też stosowania przepisów o ochronie danych osobowych w stosunku do osób fizycznych prowadzących działalność gospodarczą. Zatem przetwarzanie danych osób fizycznych pochodzących z CEIDG musi odbywać się w pełnej zgodzie z RODO. W szczególności konieczne jest wypełnienie obowiązku informacyjnego.

UWAGA!

Przetwarzanie danych osób fizycznych z CEIDG musi odbywać się w pełnej zgodzie z RODO. W szczególności konieczne jest wypełnienie obowiązku informacyjnego.

Przykład

Przedsiębiorca posiadający bazę kontrahentów stworzoną w oparciu o dane z CEIDG powinien poinformować swoich kontrahentów o przetwarzaniu ich danych osobowych. Może to uczynić e-mailowo, listownie lub w inny skuteczny sposób. Na nim jednak będzie spoczywał obowiązek wykazania, że to uczynił (zgodnie z zasadą rozliczalności).

Wzór klauzuli informacyjnej RODO

Każdy administrator danych musi sam odpowiedzieć sobie na pytanie, jak ma poinformować o przetwarzaniu przez siebie danych osobowych. RODO zostawia dużą swobodę administratorom baz danych w zakresie obowiązku informacyjnego (art. 13-14 RODO), ale taki obowiązek istnieje. Brak takiej informacji uniemożliwia osobie fizycznej skorzystanie z jej praw zagwarantowanych przez RODO, np. prawa do usunięcia danych, sprostowania itp. Przedstawiamy przykładowy wzór klauzuli informacyjnej.

Wzór klauzuli informacyjnej zgodnej z RODO dla kontrahentów, których dane pozyskano na podstawie CEIDG

W oparciu o art. 14 RODO poniżej przedstawiam informacje o przetwarzaniu Pana/Pani danych osobowych.

1. Administratorem Pana/Pani danych osobowych jest ……………., prowadzący/ca działalność gospodarczą pod firmą……….., ul. …………, e-mail: …………..

(jeśli jest wyznaczony IOD) Powołaliśmy Inspektora Ochrony Danych Osobowych, z którym można się skontaktować pod numerem tel.: ………… od poniedziałku do piątku w godz. …….. lub za pomocą adresu e-mailowego: …………..

2. Pana/Pani dane pozyskaliśmy w oparciu o powszechnie dostępne dane zamieszczone w CEIDG.

4. Pana/Pani dane osobowe będą przetwarzane w następujących celach:

- dla prawidłowej realizacji zawartej z Panem/Panią umowy o świadczenie usług,

- dla celów podatkowych,

- dla dochodzenia roszczeń wynikających z przepisów prawa cywilnego, jeśli takie się pojawią.

5. Podanie przez Pana/Panią danych jest dobrowolne, lecz konieczne do zawarcia i wykonania umowy.

6. Podstawą prawną przetwarzania Pana/Pani danych jest:

- art. 6 ust. 1 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. UE. L. z 2016 r. Nr 119, str. 1) - dalej RODO, (tzn. przetwarzanie jest niezbędne do wykonania umowy, której Pan/Pani jest stroną lub do podjęcia działań na Pana/Pani żądanie przed zawarciem umowy),

- art. 6 ust. 1 lit. c RODO (tzn. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego, który na nas ciąży, np. obowiązek archiwizacyjny),

- art. 9 ust. 2 lit. f RODO (tzn. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń).

7. Odbiorcami Pana/Pani danych osobowych będą podmioty, którym mamy obowiązek przekazywać dane na gruncie obowiązujących przepisów prawa, np. urząd skarbowy, ZUS, a także podmioty świadczące dla nas usługi księgowe, dostarczające przesyłki kurierskie i pocztowe, firmy obsługujące programy księgowe.

8. Pana/Pani dane osobowe będą przechowywane przez czas wykonywania umowy oraz do czasu upływu terminu przedawnienia ewentualnych roszczeń wynikających z umowy i w związku z realizacją 5-letniego obowiązku archiwizacyjnego.

9. Pana/Pani dane nie podlegają automatycznemu profilowaniu.

RODO nie dotyczy osób prawnych

Przedsiębiorca nie ma obowiązków wynikających z RODO w zakresie danych osób prawnych pozyskanych z rejestru KRS. Rozporządzenie RODO nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.

Zastosowanie RODO jest zatem wyłączone wobec przedsiębiorców, którzy posiadają osobowość prawną. Osoby fizyczne wykonujące działalność gospodarczą nie posiadają statusu osoby prawnej. Istotą prowadzenia działalności gospodarczej przez osoby fizyczne jest to, że funkcjonują w obrocie gospodarczym jako osoba fizyczna oraz podlegają wpisowi do CEIDG.

UWAGA!

Przedsiębiorca nie musi informować kontrahenta będącego osobą prawną, że przetwarza jego dane dostępne w oparciu o KRS.

PODSTAWA PRAWNA:

• motyw 14, art. 6 ust. 1 lit 1, b.c, f, art. 13-14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - Dz.Urz. UE. L. z 2016 r. Nr 119, str. 1

Małgorzata Mędrala

radca prawny, doktor nauk prawnych, autorka wielu publikacji z zakresu prawa pracy