Dzisiejszy wpis stanowi kontynuację artykułu napisanego przez Kasię Krzywicką (Prawo Małych Przedsiębiorców) – Działalność nierejestrowana, a RODO. Kiedy przedsiębiorcza mama musi stosować przepisy dotyczące RODO?

Zerknij tutaj:

Działalność nierejestrowana, a RODO. Kiedy przedsiębiorcza mama musi stosować przepisy dotyczące RODO?

Kasia Krzywicka – Prawo Małych Przedsiębiorców: Niemniej jednak, są pewne zasady i reguły, którym powinniśmy się kierować zawsze. Oto mój autorski zbiór:

1. Pamiętajmy o tym, żeby przy pierwszym kontakcie z klientem czy potencjalnym klientem poinformować go o tym, że będziemy przetwarzać jego dane i o wszystkich jego prawach wynikających z takiego przetwarzania.
2. Nie zbierajmy od nikogo danych na zapas i na wszelki wypadek. Zbierajmy tylko tyle ile musimy i na możliwie najkrótsze okresy. Pamiętajmy, że każda dana, która zbieramy musi być uzasadniona. Nie możemy sobie wziąć od kogoś PESEL, bo jakiś tam nasz program tego wymaga albo dlatego, że tak zawsze robiliśmy! Zawsze stosujmy tutaj zasadę Simona Sineka i pytajmy 5 razy „po co?”.
3. Zawierajmy umowy powierzenia. Taką umowę powinniśmy mieć z dostawca newslettera, dostawca hostingu, księgowa czy informatykiem. Pamiętajmy też, że taka umowa jest jednak ważna z perspektywy administratora danych osobowych, którym jesteśmy i warto ja dobrze napisać.
4. Przy takich hasłach jak – zakup bazy danych, dane wrażliwe czy automatyzacja danych niech od razu zapala nam czerwone światło.
5. Bądźmy proaktywni! Nie czekajmy na kontrolę organu albo skargę osoby fizycznej. Od początku prowadźmy RODO skutecznie, efektywnie i rozsądnie! Z wdrożeniem RODO jest jak instalacja klimatyzacji. Lepiej to zrobić w stanie developerskim budynku, niż po zamieszkaniu i zawieszeniu firanek wiercić dziury w ścianach!
6. Pamiętajmy, że RODO to proces. To nie jest tak, że jak raz wprowadzisz sobie RODO i sporządzisz konkretną dokumentacje to potem już tylko wystarczy leżeć i pachnieć. W każdym przypadku kiedy zmieni się Twój model biznesowy lub zmieni się prawo lub zostanie opublikowane orzeczenie, tak jak ostatnio orzeczenie Trybunału w sprawie guzika Facebookowego „Lubię to” to na nas spoczywa odpowiedzialność dostosowania dokumentacji, strony internetowej do obowiązującego 
7. Dokumentuj, udowadniaj i weryfikuj. Pamiętaj, że w RODO liczy się rozliczalność, efekt i wynik. Czyli to Ty jako osoba prowadząca działalność nierejestrowaną musisz wykazać, że stosujesz RODO. A jak chcesz to zrobić jak nie masz rejestru przetwarzania czynności? Jak chcesz to wykazać jeśli nie masz umowy powierzenia danych? Jak chcesz to udokumentować jeśli przy pierwszym kontakcie nie informujesz o przetwarzaniu danych? Jak się wytłumaczysz jeśli Twoja skopiowana z bloga koleżanki polityka prywatności na stronie koresponduje z modelem Twojego biznesu jak piernik z wiatrakiem?
8. Myśl RODO. Wiem, brzmi wymagająco i surowo! A czy idąc ulica myślisz o tym jak oddychasz, albo o tym jak Twoje serce pompuje krew? Sądzę, że nie. Większość z nas myśli o tym co za chwilę będzie robić i czy zdąży na czas. A mimo to oddychasz a Twoje serce bije. I właśnie tak działa RODO w dobrej firmie! Niech działa w tle Twoich wszystkich działań. Podam Ci przykład. Dzisiaj rano miałam spotkanie. Klienci chcą stworzyć w ramach płatnego wydarzenia grupę zamkniętą na Facebooku. Co pojawiło się w mojej głowie? To, że będą administratorem danych osobowych ludzi na tej grupie i trzeba będzie wdrożyć odpowiednie zabezpieczenia.

A jak już teraz wiesz o co chodzi z RODO i jesteś trochę przerażona/przerażony to pamiętaj, że to tylko tak wygląda teraz. Najtrudniejszy jest zawsze pierwszy krok. Zastanów się więc teraz nad sferami RODO w Twojej firmie. Tą widoczną (polityka prywatności, zgody do newslettera, treścią pierwszego maila do klienta) i zacznij od niej. Potem przyjdzie czas na szczegóły!

Kary…?

Ludzi motywuje do zmian albo inspiracja, albo strach. Ja wolę motywować przez inspirację, wiec zanim przejdę do tematu kar to chciałabym powiedzieć jeszcze trzy słowa o tym po co wdrażać RODO.

Wracając ze świat Wielkanocnych w tym roku zauważyłam, że całe lotnisko Zaventem w Brukseli było pokryte wielkimi ekranami z informacją od Google, że firma chroni nasze dane. Pokazywano szczegółowe statystyki ile firma wydaje na ochronę naszych danych i ile osób jest w to zaangażowanych. Z tych wszystkich ekranów niemalże krzyczał do nas następujący wniosek – dbamy o Twoje dane, jesteśmy idealnym partnerem dla Ciebie do prowadzenie biznesu.

Jak myślisz po co Google to robi? Po co wydają pieniądze na kampanie informacyjną o ochronie danych osobowych na taką skalę? I wreszcie co jest ich celem?

Firmy robią to co działa, to co przynosi wynik i co przekłada się na wzrost. A dbanie o dane osobowe i ochronę prywatności to długodystansowy cel i nie przynosi efektów od razu. Ale działa i przekłada się na wyniki firmy. Bierzmy więc przykład od największych i róbmy to co działa, to co przynosi wynik!

A teraz po tym wstępie przejdę do kar. Konsekwencje za nieprzestrzeganie RODO, albo wprowadzenie byle jak mogą być dotkliwe.… Nieprawidłowe przetwarzanie danych osobowych może prowadzić do odpowiedzialności administracyjnej, czyli tych wszystkim wysokich kar oraz odpowiedzialności cywilnej, o które w mojej ocenie znacznie mniej się mówi. Myślę jednak, że … do czasu!

Odpowiedzialność administracyjna jest realizowana przez organ nadzorczy, a cywilna może być dochodzona przez każdego z nas, jeżeli tylko uznamy, że nasze dane osobowe były przetwarzane niezgodnie z obowiązującymi przepisami, wówczas możemy realizować swoje prawa bezpośrednio przed sądem.

RODO przewiduje dwa przedziały administracyjnych kar pieniężnych.

1. Do 10 milinów euro, a w przypadku przedsiębiorcy lub grupy przedsiębiorstw o łącznym światowym obrocie przekraczającym 500 mln euro – do 2% całkowitego światowego obrotu z poprzedniego roku;
2. Do 20 milionów euro, a w przypadku przedsiębiorstwa lub grupy przedsiębiorstw o łącznym światowym obrocie przekraczających 500 mln euro – do 4% całkowitego światowego obrotu z poprzedniego roku.

Tak jak widzimy kary pieniężne mogą być naprawdę wysokie. Do tej pory dość wysokie kary za naruszenia ochrony przetwarzania danych nałożono na  British Airways, szpital w Hadze czy Facebook we Włoszech.

Warto jednak pamiętać, że to nie są jedyne konsekwencje, które mogą spotkać osoby przetwarzające dane niezgodnie z RODO. Prawo w obecnym kształcie przewiduje także inne konsekwencje w przypadku naruszenia prawa przez administratora lub podmiot przetwarzających. Warto pamiętać, że w RODO mamy samodzielną podstawę roszczeń odszkodowawczych.

Oznacza to, że każdy z nas w przypadku niegodnego z prawem przetwarzania naszych danych może równolegle z innymi środkami ochrony prawnej dochodzić przed sądem zapłaty konkretnej sumy pieniężnej w ramach odszkodowania lub zadośćuczynienia. Zatem to, że dany podmiot zostanie ukarany karą grzywny od organu nie oznacza, że limit kar się wyczerpał i my jako osoby, które na tym ucierały nie możemy dochodzić zapłaty konkretnej sumy pieniężnej.

Całkiem niedawno takie odszkodowania w wysokości 500 euro zostało przekazane osobie w Holandii, której wniosek bez animizacji, zatem z jej danymi podróżował po instytucjach państwowych jako przykład prawidłowo wypełnionego wniosku.

Warto pamiętać o tej odpowiedzialność odszkodowawczej. Zdarza się, że mały przedsiębiorca, bloger czy osoba prowadząca działalność nierejestrowaną po usłyszeniu wysokości kar administracyjnych wyłącza swoją czujność. Często wychodzimy z założenia, że może i RODO dotyczy wszystkich, ale dosięga tylko tych największych.

To jednak nie jest prawdą. Przede wszystkim za sprawa zmieniającego się prawa oraz naszej… świadomości! Oczywiście, są przedsiębiorcy którzy taką sumę wpiszą  sobie w koszt ryzyka, bo to dla nich żadna kwota. Okay, przyjmuję to do świadomości, ale co z renomą i pozycją na rynku danego przedsiębiorcy? Czy w ten sposób zbudujemy sobie wizerunek profesjonalisty na rynku, czy takie działania są na naszą korzyść?

Jeśli by tak było to Google nie angażowałoby ogromnych środków finansowych żeby swoimi ekranami pokryć lotnisko w okresie świątecznym. Gdyby chodziło tu tylko o wydanie pieniędzy to myślę, że są na to prostsze i przyjemniejsze projekty jak np. organizacja wyjazdu integracyjnego. A jednak z jakiś powodów dbają o swoją reputację i wizerunek profesjonalisty. Dzisiaj w dużej mierze stabilną markę buduje się poprzez odpowiedzialne podejście do danych osobowych. Ja w to wierzę.

Podstawa prawna:

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

 

Kasia Krzywicka – Prawo Małych Przedsiębiorców

Prawnik, adwokat, certyfikowany inspektor ochrony danych osobowych przez Uniwersytet w Maastricht, wpiera małych i średnich przedsiębiorców w oswajaniu RODO i nie tylko.

• Strona www – www.kasiakrzywicka.pl
• LinkedIn – Katarzyna Krzywicka
• Instagram – Kasia Krzywicka – Prawo Małych Przedsiębiorców
• Facebook – Kasia Krzywicka
• YouTube – Kasia Krzywicka

 

Jeśli interesuje Cię temat biznesu na próbę zastanów się nad zakupem e-booka o działalności nierejestrowanej. Przygotowałam dla Ciebie kompleksowe opracowanie. Kompendium wiedzy prawnej, księgowej i macierzyńskiej na temat działalności bez rejestracji.

Więcej szczegółów jest dostępnych w zakładce sklep.

Wpisy, które mogą Cię zainteresować:

Działalność nierejestrowana, a RODO. Kiedy przedsiębiorcza mama musi stosować przepisy dotyczące RODO?

https://www.prawo-mamy.pl/2019/06/18/dzialalnoscnierejestrowana-2/

Urlop wychowawczy, a prowadzenie działalności nierejestrowanej.

Działalność nierejestrowana, a podatek od towarów i usług (VAT 2019).

https://www.prawo-mamy.pl/2019/01/30/dzialalnoscnierejestrowana/

Działalność nierejestrowana, a urlop macierzyński 2019.

Działalność nierejestrowana, a świadczenie pielęgnacyjne 2019.

Biznes i macierzyństwo? Świadczenie rodzicielskie, a działalność nierejestrowana.

https://www.prawo-mamy.pl/2018/05/09/dzialalnosc2/