Mamy 11 279 opinii naszych Klientów
Zadaj pytanie » Zadaj pytanie »

Indywidualne Porady Prawne

Masz podobny problem?
Opisz nam go i zadaj pytania.

(zadanie pytania do niczego nie zobowiązuje)

Czy spółka której kontrahentami są podmioty gospodarcze podlega pod RODO?

Autor: Monika Wycykał • Opublikowane: 24.04.2018

Jesteśmy spółką jawną, zatrudniamy 4 pracowników, prowadzimy KPiR, nasze roczne obroty wynoszą około 1 mln euro (a więc jesteśmy mikroprzedsiębiorstwem) i naszymi kontrahentami są wyłącznie inne podmioty gospodarcze. Nie sprzedajemy niczego i nie świadczymy usług tzw. konsumentom (osobom fizycznym nieprowadzącym działalności gospodarczej), w związku z czym nie gromadzimy danych dotyczące konsumentów. Gromadzimy jedynie dane innych podmiotowy gospodarczych (takie jak nazwa, adres, NIP), w zakresie niezbędnym do wypełnienia obowiązków sprawozdawczych wynikających z ustawy o PIT, VAT itd.  Czy wobec tego spółka nasza podlega pod RODO? Jeśli tak, to w jakim zakresie?


Masz podobny problem? Kliknij tutaj i zadaj pytanie.

UWAGA! Poniższy tekst stanowi jedynie fragment dłuższej odpowiedzi.

 

Niestety, muszę Pana zmartwić, ale Pańska spółka jak najbardziej podlega przepisom RODO, ponieważ ochrona danych osobowych nie ma absolutnie nic wspólnego z konsumentami czy prawem konsumenckim — dlatego nie należy czynić tego typu rozróżnień. Póki co, Pana spółka podlega pod RODO w pełnym zakresie, przynajmniej do czasu, aż nie zostanie przyjęta nowa ustawa o ochronie danych osobowych, gdzie są przewidywane wyłączenia niektórych obowiązków wynikających z RODO w odniesieniu do mikroprzedsiębiorców. Z tymi wyłączeniami jest taki kłopot, że musi je zaakceptować Komisja Europejska, a tymczasem specjaliści z zakresu ochrony danych osobowych wskazują, że planowane przepisy są zbyt daleko idące, w związku z czym sprzeciw Komisji Europejskiej jest jak najbardziej prawdopodobny. Inna sprawa, że projekt nowej ustawy o ochronie danych osobowych zmienia się w zawrotnym tempie, co powoduje, że przewidywanie ostatecznego kształtu regulacji na chwilę obecną jest wróżeniem z fusów.

 

Pozwoli Pan, że wytłumaczę, na czym opieram swoje twierdzenie o podleganiu przez Pana spółkę przepisom RODO.

 

Wbrew potocznym wyobrażeniom, dane osobowe to nie tylko imię i nazwisko, adres zamieszkania czy numeru telefonu. Tego typu uproszczenia są na porządku dziennym, jednak pozostają w sprzeczności z definicją „danych osobowych”, która jest zawarta w Art. 4 pkt 1 RODO: „»dane osobowe« oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.

 

W związku z powyższym katalog danych osobowych jest otwarty i obejmuje właściwie każdą informację o osobie fizycznej, którą pośrednio lub bezpośrednio da się przypisać tej osobie. Stąd też administratorzy danych osobowych mogą sami nie wiedzieć, ile danych osobowych w rzeczywistości przetwarzają. Dla zobrazowania przytoczę kilka przykładów informacji, które można zakwalifikować jako dane osobowe:

 

  • imię i nazwisko;
  • adres zamieszkania;
  • nick w Internecie;
  • numer telefonu;
  • adres e-mail;
  • imiona rodziców;
  • PESEL;
  • NIP;
  • liczba i płeć dzieci;
  • stan cywilny;
  • nagranie z monitoringu;
  • numer tablicy rejestracyjnej;
  • rozmiar odzieży roboczej;
  • numer buta;
  • zapis trasy z GPS;
  • numer prawa jazdy;
  • data wydania prawa jazdy;
  • dane o lokalizacji danej osoby;
  • odcisk linii papilarnych;
  • informacje o kształcie twarzy;
  • informacje o kształcie tęczówki;
  • głos;
  • wysokość zarobków;
  • numer konta bankowego;
  • informacje o stylu jazdy kierowcy zapisane w komputerze samochodu;
  • informacje o odwiedzanych stronach internetowych;
  • informacje o upodobaniach w zakresie towarów i usług.

 

I tak można wymieniać w nieskończoność. Ważne, aby posiadana informacja pośrednio lub bezpośrednio odnosiła się do osoby fizycznej.

 

(…)

 

Najważniejsze jest przetwarzanie danych osobowych zgodnie z zasadami przewidzianymi w art. 5 RODO:

 

„Art. 5. 1. Dane osobowe muszą być:

a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (»zgodność z prawem, rzetelność i przejrzystość«);

b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami (»ograniczenie celu«);

c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (»minimalizacja danych«);

d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (»prawidłowość«);

e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania");

f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (»integralność i poufność«).

2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”. (…)

 

Informujemy, że świadczymy pomoc prawną z zakresu przedstawionej tematyki.

 

Jeżeli chcesz wiedzieć więcej na ten temat – kliknij tutaj i zapytaj prawnika >>

 

Komentarze (0):

Uwaga!
Szanowni Państwo!
Nasi prawnicy nie odpowiadają na pytania zadawane w formie komentarza pod tekstem. Jeśli chcą Państwo powierzyć swój problem naszym prawnikom, prosimy kliknąć tutaj >>

  • X minus dziewięć =

»Podobne materiały

Inżynier automatyk – wykonywanie zleceń dla niemieckiego odbiorcy

Jestem inżynierem automatykiem. Mam swoją działalność zarejestrowaną na terenie Polski. Wykonuję projekty dla niemieckiej firmy za pośrednictwem pewnej dużej korporacji. Chciałbym współpracować bezpośrednio z firmą, która jest odbiorcą moim zleceń. Rozumiem, że prowadząc taką działalność, muszę: mie

 

Dodanie PKD

Prowadzę jednoosobową działalność. Dostałem ofertę na świadczenie usług kompleksowej obsługi systemu naśnieżania, który już jest zakupiony przez zleceniodawcę. Wiem, że wiąże się to z dodaniem PKD – jaki kod będzie właściwy? Jakim podatkiem należy opodatkować taką usługę?

 

Wezwanie do spełnienia obowiązku statystycznego przez GUS

GUS próbuje doręczyć pewnemu podmiotowi wezwania do spełnienia obowiązku statystycznego poprzez list zwykły (nie polecony) lub przez e-mail. Czy za niespełnienie obowiązku statystycznego, o którego istnieniu podmiot nie został zawiadomiony pismem poleconym, grozi temu podmiotowi grzywna? Czy urząd j

 

Porad przez Internet udzielają
prawnicy z dużym doświadczeniem:
Prawnicy

Zapytaj prawnika

Zadanie pytania do niczego nie zobowiązuje!
Wycenę wyślemy do 1 godziny
wizytówka Szukamy ambitnego prawnika »