RODO 2018 – Nowe obowiązki dla przedsiębiorców

 

25 maja 2018 roku wchodzą w życie regulacje prawne, dotyczące ochrony danych osobowych. Są one oparte o Rozporządzenie Parlamentu Europejskiego i Rady UE z 27 kwietnia 2016, czyli ,,RODO”, zwane także „GDPR” lub „Ogólnym Rozporządzeniem o Ochronie Danych”, to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Brak dostosowania się do nowych regulacji może skończyć się bardzo przykrymi konsekwencjami, bowiem urząd może nałożyć karę finansową w wysokości do 10 000 000 EUR lub do 2% rocznego globalnego obrotu.

Wyróźniamy kilka pojęć, używanych przy omawianiu tego rozporządzenia:

ADO – Administrator Danych Osobowych – jest nim najczęściej przedsiębiorca, który pozyskał i przetwarza dane osobowe w celu świadzenia jakiejś usługi.
ABI – Administrator Bezpieczeństwa Informacji – pracownik lub zewnętrzna firma dbająca o właściwe zapezpieczenie danych w firmie. Przed wejściem w życie tego rozporządzenia nie było obowiązku powoływania administratora bezpieczeństwa informacji (ABI), a unijne rozporządzenie to zmienia. Jednocześnie od maja 2018 ABI nazywany jest Inspektorem Ochrony Danych.
IOD (DPO) – Inspektor Ochrony Danych – jego zadaniem jest należyte zabezpieczenie danych osobowych, a także analiza ryzyka związanego z wyciekiem tych danych poprzez niepowołane osoby lub stosowanie niedostatecznych zabezpieczeń. DPO powinien doradzać administratorowi danych/podmiotowi przetwarzającemu, jaki audyt lub jakie szkolenie personelu należy przeprowadzić, a także jakie środki należy przedsięwziąć, aby zapewnić właściwy poziom bezpieczeństwa.
Incydent ODO – jednym z nowych obowiązków przedsiębiorcy jest powiadomienie urzędu o wycieku danych wrażliwych. W momencie, w którym sami przyznajemy się do popełnionego błędu, możemy liczyć na łagodniejsze potraktowanie przez GIODO. Może także zaistnieć potrzeba informowania o wycieku także osób, których dane wypłynęły.

Nowe rozporządzenie reguluje kwestie dotyczące ochrony danych osobowych osób przebywających na terenie Unii Europejskiej, zasad ich przechowywania, zabezpieczania, udostępniania i usuwania. Nie określa jednach ścisłych reguł, w jaki sposób ta ochrona ma być realizowana. Każda firma musi uwzględnić specyfikę swojej branży i w zależności od tego wdrożyć odpowiednie procedury. Istnieje jednak kilka zasad, które każdy administrator danych osobowych musi przestrzegać:

  1. Każda firma, przetwarzająca dane osobowe, musi udowodnić, że otrzymała zgodę na ich przetwarzanie, poprzez podpisanie stosownego oświadczenia, lub też zaznaczenie opcji w formularzu elektronicznym (domyślne zaznaczenie zgody nie jest dopuszczalne). Zakres przetwarzania tych danych dotyczy tylko tych działań, na które klient pierwotnie wyraził zgodę.
  2. Każda osoba fizyczna  powinna mieć  prawo  dostępu do  zebranych  danych  jej  dotyczących, na każde żądanie (np. lista dat, rozmów telefonicznych, adresów IP – wszystko, co było gromadzone).
  3. Każda osoba fizyczna powinna mieć prawo do sprostowania danych osobowych jej dotyczących oraz prawo do „bycia  zapomnianym”, wyjątek stanowią tutaj obowiązki rozliczeniowe – nie możemy skasować danych osobowych np. z rejestru faktur.

 

Jakie obowiązki obejmą przedsiębiorców po wejściu nowego prawa:

  1. Prowadzenie rejestru przetwarzania danych osobowych – obowiązek zgłaszania do RODO informacji o zbiorach danych osobowych, okreslający zakres przetwarzanych danych, a także informację o administratorze (ADI) i współadministratorze (IOD).
  2. Administrator zbierający dane osobowe będzie zobowiązany udzielić informacji na temat danych kontaktowych do IOD, a także określić, z czego wynika prośba o podanie danych (np. przepisy ustawowe, treść umowy lub warunek konieczny do jej zawarcia). Nowym obowiązkiem jest podanie informacji o użyciu profilowania, czyli algorytmów podejmujących decyzje w sposób zautomatyzowany.
  3. Konieczność powołania Inspektora Ochrony Danych Osobowych, informującego RODO o zakresie przetwarzanych danych, a także przeprowadzającego audyty w zakresie ich ochrony.
  4. Wprowadzenie rozwiązań umożliwiających udostępnienie danej osobie na żądanie wszelkich zgromadzonych informacji na jej temat, w ciągu miesiąca od żądania.
  5. Wdrożenie procedur umożliwiających realizację prawa do zapomnienia.
  6. Ochrona danych na etapie projektowania – zbieramy tylko te dane, które są niezbędne, już na etapie projektowania dbamy o możliwość realizacji nowych obowiązków ochrony danych.
  7. Opracowanie procedur i dokumentów związanych ze zgłaszaniem naruszeń w zakresie ochrony danych (konieczność zgłoszenia wycw ciągu 72 godzin), zgód na przetwarzanie danych, odpowiednich klauzuli podawanych użytkownikom podczas podpisywania umów, upoważnień dla pracowników do przetwarzania danych osobowych itd.
  8. Od każdego nowego kontrahenta, klienta czy pracownika, powinniśmy uzyskać zgodę na przetwarzanie danych osobowych. Na tym oświadczenu powinien być jasno określony cel przetwarzania tych danych i dane administratora.
  9. Konieczność rejestracji zgód na przetwarzanie i na profilowanie danych osobowych.
  10. Zabezpieczenie zbiorów danych osobowych poprzez: stosowanie oprogramowania zabezpieczającego, ograniczenie dostępu do danych za pomocą haseł i kont użytkowników z odpowiednio ustawionymi uprawnieniami. W przypadku dokumentów papierowych zamykanie ich w specjalnych pomieszczeniach lub szafach.

RODO a program Small Business

Realizacja nowych obowiązków to w dużej mierze kwestia organizacji pracy i przygotowania odpowiedniej dokumentacji. Najważniejsze kwestie, jakie dotyczą pracy w Small Business to realizacja trzech punktów:

  1. Realizacja prawa do udostępnienia informacji o przetwarzanych osobie, której dane przechowujemy. Dane osobowe można udostępnić poprzez wydruk, lub też przygotowanie pliku PDF zawierającego informacje o: administratorze danych osobowych, listę zgromadzonych danych i informacje o zgodach na przetwarzanie. Taka funkcjonalność jest dostępna w rejestrze osób fizycznych pod klawiszem F3 pod nazwą „Wykaz danych osobowych”.

 

Po wydruku lub zapisaniu do pliku PDF otrzymujemy informację o danych zebranych w programie:

Informacje o zgodach na przetwarzanie i udostępnianie danych innym podmiotom jest przechowywana w tabeli kontrahentów, w rubryce opcje, i stamtąd jest umieszczana na wydruku:

Pozostałe cele przetwarzania danych osobowych nie są określane w programie i powinny być zaznaczone ręcznie na wydruku, lub poprzez skopiowanie i edycję bieżącej formatki.

2. Realizacja prawa do zapomnienia. Należy zwrócić uwagę na fakt, że mimo takiego obowiązku nie należy usuwać danych, których gromadzenie wynika z obowiązków prawnych. Zatem zarówno rejestr faktur dla osób fizycznych, czy też lista płacowa, podlegają obowiązkowi przechowywania jeszcze przez kilka lat od wystawienia. Można dokonać anonimizacji danych poprzez wymazanie lub nadpisanie danych osobowych w rejestrze kontrahentów. Nie ma to jednak wpływu na już wystawione dokumenty, które powinny pozostać nienaruszone.

3. Konieczność prowadzenia rejestru przetwarzania danych osobowych. Taki obowiązek obejmuje tylko podmioty, które zatrudniają powyżej 250 pracowników, a także firmy, które przetwarzają: dane wrażliwe, informacje o wyrokach skazujących lub naruszeniach prawa dotyczących danej osoby, przetwarzają dane na szeroką skalę i/lub w szerokim zakresie, przetwarzanie nie ma charakteru sporadycznego. Rejestr przetwarzania danych osobowych również można przygotować poprzez przygotowanie odpowiedniej formatki wzoru wydruku w tabeli osób fizycznych. W najbliższym czasie taka przykładowa formatka będzie dostępna w najnowszej wersji programu Small Business.

Nowa wersja zawierająca możliwość prowadzenia rejestru przetwarzania danych osobowych i możliwość automatycznej anonimizacji będzie dostępna 26 maja. Dla użytkowników posiadających aktywną subskrypcję programu nowa wersja będzie dostępna za darmo.

KASY ONLINE – czy już się bać??

Według szacunków Ministerstwa Finansów wpływy do budżetu z tytułu podatku VAT wzrosną w przyszłości o 1-2 proc. w wyniku uszczelnienia systemu ewidencjonowania sprzedaży z wykorzystaniem kas online.

Z informacji przedstawianych przez fiskusa wynika, że zarówno rozporządzenie techniczne jak i zmiany w podatku VAT powinny być gotowe w I kwartale 2018 roku. Natomiast 1 stycznia 2019 roku stanie się terminem od którego zaczniemy sukcesywnie wprowadzać na rynek nowe urządzenia fiskalne. Wymiana kas rozpocznie się od branż najbardziej narażonych na nieprawidłowości fiskalne, obejmując stopniowo kolejne sektory handlu. Za nieco ponad rok na rynku funkcjonować będą dwa typy kas fiskalnych – kasy online oraz kasy bez funkcji online, czyli z elektronicznym lub papierowym zapisem kopii. Osoby które zdecydują się rozpocząć działalność gospodarczą po tym terminie zostaną zachęcone do zakupu nowych urządzeń online z dofinansowaniem rządowym w wysokości tysiąca złotych. Z uwagi na to, iż obecne na rynku kasy posiadają czteroletnią homologację, nie można tak po prostu zabronić ich używania wraz z wejściem w życie nowych przepisów. Dlatego też rząd zdecydował się na dopłatę – w zwiększonej kwocie – ale tylko do zakupu nowych kas online, która powinna zwiększyć liczbę aktywacji kas online w początkowym okresie całego przedsięwzięcia.

Read moreKASY ONLINE – czy już się bać??

Nowi podatnicy

Przypominamy, że od 1 kwietnia 2018 r., bez względu na poziom obrotów, obowiązkiem rejestracji za pomocą kas fiskalnych zostaną objęte:

– kantory, czyli usługi w zakresie wymiany walut (z wyłączeniem usług świadczonych przez bank i SKOKi)

– kasy biletowe wesołych miasteczek, parków rozrywki, dyskotek, sal tanecznych, przedstawień cyrkowych, czyli część usług związanych z rozrywką, rekreacją i kulturą.

Treść rozporządzenia  – http://dziennikustaw.gov.pl/DU/2017/2454

Komunikat dotyczący opodatkowania VAT sprzedaży toreb na zakupy z tworzyw sztucznych

Ministerstwo Finansów opublikowało komunikat dotyczący opodatkowania VAT sprzedaży toreb na zakupy z tworzyw sztucznych. Zgodnie z treścią komunikatu „Opłata recyklingowa jest dochodem budżetu państwa i powinna być wpłacana do 15 marca roku następującego po roku kalendarzowym, w którym została pobrana – na rachunek
bieżący dochodów Ministerstwa Środowiska. Z uwagi na termin przekazywania opłaty recyklingowej (nastąpi to po
raz pierwszy do 15 marca 2019 r.) w chwili obecnej taki rachunek jeszcze nie został utworzony.”

Read moreKomunikat dotyczący opodatkowania VAT sprzedaży toreb na zakupy z tworzyw sztucznych

To jest wersja demonstracyjna sklepu do celów testowych— Zamówienia nie będą realizowane. Zamknij

%d bloggers like this: