RODO obowiązuje każdego przedsiębiorcę prowadzącego działalność na terenie Unii Europejskiej. W tym zakresie nie ma żadnego wyjątku. Rozporządzeniu podlega zarówno przedsiębiorstwo zatrudniające ponad 250 osób, oddział firmy w UE, jak i jednoosobowa działalność gospodarcza. Nie ma znaczenia, ani narodowość osób, których dane są przetwarzane, ani to gdzie te dane są przechowywane (na terenie jakiego państwa znajdują się serwery). W świetle RODO najważniejszy jest zakres i cel przetwarzanych informacji. Z tego względu, dane nie powinny być przechowywane na „wszelki wypadek”.
Przykładowo, osoba prowadząca wysyłkę ręcznie robionej biżuterii po otrzymaniu informacji, że przesyłka dotarła, powinna „niezwłocznie” usunąć dane klienta (w tym przypadku najpewniej będzie to telefon kontaktowy, adres i imię i nazwisko). Dlaczego? Przedsiębiorca bowiem zrealizował swój cel, jakim była sprzedaż biżuterii.
Jednak RODO podlegają także osoby, które owszem prowadzą jednoosobową działalność gospodarczą, ale wykonują swoje usługi na rzecz jednej firmy. Jak w takim wypadku powinniśmy administrować danymi, aby było to zgodne z wytycznymi unijnego rozporządzenia?
Nowak, a nie prezes administratorem danych
Zgodnie z RODO, wyróżniamy dwa podmioty, które mogą przetwarzać dane osobowe: administrator danych i podmiot przetwarzający dane. Za administratora danych uznaje się osobę prawną lub fizyczną, która określa cele i sposoby przechowywania informacji pozwalających na identyfikację. Przykładowo, administratorem jest spółka, ale nie jej prezes bądź dyrektor.
Z kolei, podmiotem przetwarzającym dane jest taka osoba bądź jednostka, która wykonuje polecenia administratora w kontekście przetwarzania i przechowywania informacji. Działa na podstawie umowy z administratorem. Przykładowo, zewnętrzne biuro rachunkowe, które przetwarza zlecone mu informacje, jest tak zwanym procesorem (podmiotem przetwarzającym dane). Według rozporządzenia, taka jednostka powinna podpisać odpowiednią umowę z administratorem. Jest to tak zwana umowa powierzenia, w której muszą zostać zawarte zasady przetwarzania informacji.
Jeśli weźmiemy pod uwagę powyższe, kim w takim razie jest przedsiębiorca prowadzący jednoosobową działalność gospodarczą? W świetle RODO, taka osoba jest administratorem danych. Dotyczy to jednak podmiotów, które wyłącznie do celów swojej działalności przetwarzają informacje. Administratorem danych będzie więc fotograf Jan Nowak, który współpracuje z różnymi klientami i przechowuje o nich informacje. Inaczej wygląda to w przypadku samozatrudnionych w organizacjach. Mimo, że przetwarzają oni dane to nie są ich administratorami, lecz podmiotami przetwarzającymi informacje. Firma podobnie jak w przypadku wspomnianego biura rachunkowego powinna podpisać z Tobą umowę powierzenia.
Wysyłasz newsletter? Pamiętaj o RODO
Jeśli w firmie, z którą współpracujesz prowadzisz wysyłkę newslettera, oznacza to, że przetwarzasz dane. Można uznać, że kiedy korzystasz z baz danych dostępnych w firmie, bez względu na to czy jest to baza kontrahentów, pracowników, klientów czy dziennikarzy, przetwarzasz dane osobowe. Warto bowiem pamiętać, że dane osobowe to wszelkie informacje pozwalające na identyfikację, czyli numer telefonu, imię i nazwisko, adres mailowy i korespondencyjny. A nawet numer przesyłki poleconej czy numer IP. Zgodnie z unijnym rozporządzeniem jesteś traktowany jak wspomniany wcześniej procesor. Jakie niesie to ze sobą konsekwencje?
Przede wszystkim, jako, że jesteś podmiotem zewnętrznym przetwarzającym dane na zlecenie administratora możesz zostać potraktowany jako procesor. Z tego względu powinieneś podpisać umowę powierzenia, w której zostaną określone zasady przetwarzania danych. W innym wypadku, firma zobowiązana jest przekazać Tobie upoważnienie do administracji informacjami, takie jak otrzymują etatowi pracownicy przedsiębiorstwa.
Co należy do obowiązków podmiotu przetwarzającego dane? Po pierwsze, nie możesz zlecać innym jednostkom procesowanie informacji bez wyraźnej (pisemnej) zgody administratora. Po drugie, możesz administrować tylko tymi danymi, na które wskazał administrator. Po trzecie, po zakończeniu przetwarzania informacji, w zależności od woli administratora, jesteś zobowiązany do ich usunięcia albo zwrotu.