Pozostałe

Tarcza antykryzysowa – jak skorzystać z tarczy antykryzysowej i nie utknąć w biurokracji?

tarcza 2.0 sokół

Polska tarcza antykryzysowa budzi wiele wątpliwości. Przedsiębiorcy chcą skorzystać z każdej pomocy i ulgi jaką zaoferuje państwo, ale gubią się w gąszczu biurokratycznych wymagań. W tym artykule staram się odpowiedzieć na najczęściej zadawane pytania związane z tarczą antykryzysową. Spróbujmy więc rozwiać choć część mitów i wątpliwości.

Środki z tarczy antykryzysowe są zwolnione z PIT – PRAWDA.

Cała pomoc jakiej udziela państwo przedsiębiorcom (np. pożyczki bezzwrotne, postojowe itp.) jest zwolniona z podatku dochodowego. Nie trzeba się obawiać, że za miesiąc urząd skarbowy upomni się o swoje 17%. Nie upomni się.

Komputery można przekazywać szkołom bez podatku – PRAWDA.

Darowizny sprzętu elektronicznego na rzecz szkół są zwolnione od VAT. Ani szkoła, ani darczyńca nie muszą nic płacić z tytułu darowizny. Wciąż trzeba np. dokonać zmian w ewidencji wyposażenia czy środków trwałych, ale płacić podatku nie trzeba. Przynajmniej przez najbliższe 2 miesiące.

Darowizny przekazane na walkę z epidemią odliczone od podatku bez limitu – FAŁSZ.

Tylko darowizny na rzecz Agencji Rezerw Materiałowych oraz Centralnej Bazy Rezerw Sanitarno-Przeciwepidemicznych są odliczane bez limitu. Przedsiębiorca wspomagający np. WOŚP wciąż korzysta z ulgi tylko w ograniczonym zakresie.

Gminy zwolnią z podatku od nieruchomości – CZĘŚCIOWA PRAWDA.

Gminy mogą zwolnić przedsiębiorców z podatku od nieruchomości, ale nie muszą tego robić. Decyzje w każdej gminie może być inna. Ponieważ podatki od nieruchomości za 2019 rok powinny być już zapłacone, nie muszą spieszyć się z decyzją.

3-miesięczne zwolnienie ze składek ZUS firm do 9 pracowników – PRAWDA.

Ze zwolnienia z ZUS na okres 3 miesięcy mogą skorzystać mikroprzedsiębiorstwa (do 9 zatrudnionych). Małe firmy zatrudniające 10-49 osób mogą uniknąć zapłacenia 50% składek ZUS.

Wstrzymanie postępowań egzekucyjnych – PRAWDA.

Postępowania egzekucyjne prowadzone na rzecz Skarbu Państwa zostaną wstrzymane na czas epidemii. Wyjątkiem będą tylko  postępowania w sprawach powiązanych z naruszaniem przepisów anty-epidemicznych.

Tarcza antykryzysowa nie jest rozwiązaniem długoterminowym, na którym można by oprzeć strategię firmy. Zmiany wprowadzane są bardzo często i wymuszają na przedsiębiorcach nieustanną czujność. Będę starała się na bieżąco rozwiewać wątpliwości.

Dlaczego umowy zlecenia do 200 zł się nie opłacają?

Sikorka ppodatkowa

Umowy zlecenia do 200 zł brutto podlegają odmiennemu opodatkowaniu niż te o wyższej wartości. Po wejściu w życie przepisów dotyczących PIT 0%, różnica ta stała się jeszcze bardziej wyraźna. Firmy zatrudniające zleceniobiorców powinny zdecydowanie pamiętać o tym w momencie zawierania umowy.

Jak wyglądają podatki od umowy zlecenia do 200 zł?

W przypadku umów zlecenia, których kwota brutto jest nie wyższa niż 200 zł, obowiązuje zryczałtowany podatek dochodowy w wysokości 17% kwoty brutto. W przypadku takich umów:
– nie obowiązuje PIT 0% dla najmłodszych podatników;
– nie przysługują koszty uzyskania przychodów (nawet 20%, tym bardziej nie 50%);
– ZUS-y oblicza się tak samo jak w przypadku większych umów.

Oznacza to, że jeśli firma zatrudni studenta do 26 roku życia na umowę zlecenia za 100 zł, to student dostanie na czysto tylko 83 zł. 17 zł pójdzie do US jako PIT. Jeszcze gorzej jest w przypadku gdy zleceniobiorcą nie jest osoba studiująca, ani ucząca się. Wtedy od owych 100 zł należy zapłacić składki ZUS, a zleceniobiorca otrzyma ostatecznie nieco ponad 60 zł.

Jak wyglądają podatki od umów zlecenie powyżej 200 zł?

Umowy na kwoty wyższe niż 200 zł rozliczane są według reguł ogólnych, stosuje się do nich zasady PIT 0% i kosztów uzyskania przychodów.
Dzięki temu osoby studiujące lub uczące się, które nie przekroczyły 26 roku życia, nie płacą ani ZUS-u, ani PIT-u. To znaczy, że 23-letni student, z którym firma zawrze umowę zlecenia na 500 zł, dostanie do ręki równo 500 zł. Znacznie łatwiej dzięki temu przyciągnąć do siebie młodszych zleceniobiorców.
Nawet gdyby ktoś taki nie studiował, wciąż musiałby zapłacić tylko ZUS, nie zaś PIT. Dopiero zleceniobiorca, który miałby powyżej 26 lat musiałby zapłacić zarówno składki, jak i podatek. W dalszym ciągu mógłby jednak obniżyć PIT w związku z zaliczeniem kosztów uzyskania przychodu. De facto zapłaciłby więc PIT od 80 % wynagrodzenia, nie od 100% (wyjątkowo nawet tylko od 50%).

To istotna różnica i powinni o niej wiedzieć zarówno zleceniobiorcy, jak i przedsiębiorcy-zleceniodawcy.

Co robić, by zleceniobiorca nie był stratny?

Zdecydowanie warto łączyć kilka małych umów zlecenia w jedną większą. Przykładowo 21- letnia studentka z 5 umów po 100 zł każda zapłaci łącznie 85 zł PIT. Z jednej umowy za 500 zł – nie zapłaci nic.
Miłym gestem będzie też podniesienie wynagrodzenia przy umowach wartych dokładnie 200 zł brutto. Umowa za 201 zł to dla firmy koszt 1 zł więcej. Dla osoby do 26 roku życia, ponad 17 zł więcej do wypłaty.
Współpracując z młodymi ludźmi warto zapytać ich czy przysługuje im zwolnienie z ZUS (ponieważ są uczniami, studentami, lub mają ZUS opłacony z tytułu umowy o pracę) i czy przypadkiem nie mieszczą się w granicy wieku 26 lat.

Przedsiębiorca powinien też pamiętać o tym, że jeśli wystawia umowy zlecenia własnym pracownikom, to musi je opodatkować i o-ZUS-ować dokładnie tak jak podstawowe wynagrodzenie.

Please Share:

Zmiany w split payment z perspektywy małej firmy

dzięcioł podatkowy

1 listopada wchodzą w życie poważne zmiany dotyczące mechanizmu podzielonej płatności (MPP, inaczej split payment), odwrotnego obciążenia VAT i obowiązków przedsiębiorców prowadzących jednoosobową działalność gospodarczą. W artykule omawiamy zmiany i podpowiadamy jak się na nie przygotować.

Mechanizm płatności podzielonej (ang. split payment), określany w skrócie MPP, oznacza, że płatność za fakturę zostaje podzielona na dwie części. Kupujący płaci kwotę netto na standardowe konto kupującego, a podatek VAT wpłaca na jego specjalne konto VAT-owskie.

Split payment – jak to działa

Przykładowo firma A kupuje od firmy B towar za 12 300 zł, gdzie kwota netto wynosi 10 000, a VAT (23%) 2 300 zł. 10 000 zł trafia na konto firmy B. 2 300 zł trafia na konto VAT-owskie firmy B.

Przedsiębiorstwo nie może swobodnie dysponować środkami z konta VAT-owskiego. Może jedynie zapłacić nimi ściśle określone zobowiązania. W praktyce więc pieniędzmi tymi dysponuje Urząd Skarbowy.

Split payment – sytuacja przed 1 listopada

Do końca października split payment jest dobrowolny. Firma kupująca może, ale nie musi rozdzielać płatności za fakturę na dwie części.

Jeśli jednak wykorzysta mechanizm płatności podzielonej, sprzedawca ma bardzo ograniczone możliwości. Może z konta VAT-owskiego jedynie:

  • zapłacić podatek VAT,
  • zapłacić VAT innemu przedsiębiorcy wykorzystując mechanizm płatności podzielonej.

Co się zmienia w split payment 1 listopada?

Przede wszystkim split payment przestaje być dobrowolny. Konieczne trzeba rozdzielać płatności w przypadku

  • zakupów za 15 000 zł brutto i więcej [12 195 zł 12 groszy netto przy stawce 23% // 13 888 zł 89 gr netto przy stawce 8%];
  • zakupów towarów i usług wymienionych w załączniku nr 15 do ustawy o VAT.

Zastosowanie split payment oznacza w przypadku danej transakcji, że nie występuje odwrotne obciążenie VAT. Te dwa mechanizmy nie mogą być stosowane jednocześnie.

Ponadto rozszerzona została lista zobowiązań, które można uregulować z konta VAT-owskiego. Po 1 listopada 2019 przedsiębiorca może ze zgromadzonych tam środków zapłacić także:

  • podatek dochodowy,
  • akcyzę,
  • składki ZUS,
  • inne zobowiązania podatkowe.

W jakich branżach konieczny jest split payment?

Sprzedaż towarów i usług z załącznika nr 15 do ustawy o VAT jest powiązana z MPP bez względu na wartość. Oznacza to, że oddzielne konta VAT-owskie muszą mieć firmy dostarczające:

  • elektronikę (komputery, laptopy, tablety, układy scalone, dyski HDD i SSD, telefony komórkowe, telewizory, konsole do gier, aparaty i kamery cyfrowe),
  • części samochodowe i motocyklowe (wszystkie),
  • odpady (szklane, elektroniczne, gumowe, wraki przeznaczone do złomowania, papier i tektura, plastiki, surowce wtórne,
  • opał (węgiel kamienny i brunatny, koks, półkoks, brykiety z węgla i torfu),
  • materiały drukarskie (emulsje, preparaty, atrament, tusze, części i akcesoria do fotokopiarek),
  • folię typu stretch,
  • wyroby stalowe (żelazostopy, kształtowniki, pręty, wyroby płaskie, rury, blachy, złom)
  • metale szlachetne (biżuteria, złoto, platyna, srebro, wyroby pozłacane i platynowane),
  • inne metale (cynk, ołów, aluminium, cyna, miedź, nikiel, złom),
  • paliwa (benzyna, olej z rzepaku, oleje opałowe, oleje smarowe,
  • akumulatory (także inne niż samochodowe, np. powerbanki)

Mechanizm podzielonej płatności dotyczy też firm usługowych zwłaszcza:

  • budowlanych (wszystkie rodzaje usług budowlanych),
  • świadczących usługi w zakresie przenoszenia uprawnień do emisji gazów cieplarnianych.

W wymienionych wyżej kategoriach, załącznik wymienia 150 podkategorii produktów i usług.

Wystawianie faktur VAT po 1 listopada

Od 1 listopada 2019 wszystkie firmy sprzedające wyżej wymienione produkty i usługi będą musiały wystawić specjalne faktury z oznaczeniem MPP. Brak oznaczenia na fakturze będzie traktowany jako popełnienie przestępstwa. Przestępstwem będzie też zapłacenie faktury z MPP bez podzielenia płatności.

Uwaga: MPP dotyczy też faktur zaliczkowych i walutowych.

Inne zmiany związane z mechanizmem split payment

Przy okazji zmian w MPP małe i średnie przedsiębiorstwa spotkają się z kilkoma dodatkowymi obowiązkami i trudnościami.

Konieczność posiadania konta firmowego – Wiele małych firm do tej pory korzysta z kont bankowych właścicieli. Od 1 listopada każdy kto będzie kupował na firmę np. paliwo do samochodu, będzie musiał mieć konto firmowe. W praktyce oznacza to dodatkowe koszty dla najmniejszych firm.

Brak możliwości zapłaty Bitcoinami/Ethereum itp. – Mechanizm płatności podzielonej w praktyce wyklucza możliwość zapłaty w kryptowalutach. Teoretycznie kupujący wciąż ma prawo zapłacić „coinami” za towar, ale VAT bez względu na wszystko musi wpłacić przelewem.

Konieczność wystawiania FV nowego typu – wspomniany wyżej obowiązek oznaczania odpowiednio faktur z MPP oznacza dla małych firm konieczność przygotowania nowych wzorów faktur (jeśli korzystają z własnych wzorów).

Brak możliwości dysponowania pieniędzmi – MPP oznacza w praktyce, że VAT płacimy już w momencie otrzymania zapłaty od kupującego. Kiedy występujemy o zwrot musimy jednak dość długo czekać. Przymus stosowania split payment jest korzystny dla fiskusa, ale niekorzystny dla przedsiębiorstw, zwłaszcza najmniejszych.

Transakcje rozpoczęte przed 1 listopada

Jeśli transakcja, której dotyczyło odwrotne obciążenie VAT została rozpoczęta przed 1 listopada (np. budowa domu, płatność podzielona na kilka faktur), to do wszystkich faktur jej dotyczących wciąż stosuje się odwrotne obciążenie.

Przepisy wchodzą w życie już 1 listopada. Jeśli prowadzisz małą firmę – przygotuj się!

Please Share:

Kasy fiskalne online i wystawianie faktur do paragonów w 2020 r.

wróbel podatkowy

1 stycznia 2020 wchodzą w życie poważne zmiany dotyczące kas fiskalnych online i wystawiania faktur na podstawie paragonów. Przygotować muszą się zwłaszcza stacje benzynowe i warsztaty samochodowe.

Kasy fiskalne online – czym różnią się od tradycyjnych?

Tak zwane kasy fiskalne online stale, za pośrednictwem internetu, przesyłają dane do Centralnego Repozytorium Kas. Zarządza nim Krajowa Administracja Skarbowa (KAS), która ma również wgląd w firmowe rachunki bankowe i prawo do ich zablokowania.

Kasy są więc online dla urzędów, ale wcale nie muszą dawać możliwości wystawiania paragonów online, które klient np. skanowałby telefonem.

Kasy fiskalne online – kto musi je wprowadzić?

Do końca roku 2019, korzystanie z kas fiskalnych online jest dobrowolne. Zarejestrowano już ponad 60 000 kas online (na 2,5 miliona kas fiskalnych w kraju), co pozwoliło przetestować rozwiązanie. W kolejnych latach przejście na kasy fiskalne online będzie już obowiązkowe.

W pierwszej kolejności (już 1 stycznia 2020) kasy online muszą wprowadzić:

  • warsztaty samochodowe,
  • warsztaty wulkanizacyjne,
  • stacje benzynowe.

Od 1 lipca 2020 obowiązek obejmie także

  • punkty gastronomiczne,
  • firmy oferujące noclegi,
  • sprzedawców opału.

1 stycznia 2023 obowiązek obejmie wszystkie firmy wystawiające paragony.

Kasy fiskalne online – o czym pamiętać?

Po pierwsze przedsiębiorcy muszą zakupić kasynowego typu. 90% wartości kasy (ale nie więcej niż 700 zł) mogą odliczyć od podatku. Już dziś wiadomo, że urządzenia te są znacznie droższe niż wspomniane wyżej 700 zł. Oznacza to dodatkowe wydatki rzędu kilkuset zł.

Zakupu nie należy odkładać na ostatnią chwilę. Ponieważ kasa fiskalna (każda, nie tylko online) musi uzyskać zatwierdzenie urzędowe (fiskalizacja kasy).

Wystawianie faktur na podstawie paragonu

Od 1 stycznia 2020 zmieniają się także przepisy dotyczące wystawiania faktur na podstawie paragonów. Do tej pory fakturę można było wystawić na podstawie dowolnego paragonu. Od początku roku faktura może być wystawiona tylko na podstawie paragonu z numerem NIP kupującego.

Oznacza to, że kupując na firmę, od razu trzeba będzie podać numer identyfikacji podatkowej. Paragony bez NIP-u nie będą mogły być podstawą do wystawiania faktury.

Co zrobić gdy brak NIP-u na paragonie?

Niestety nie wszystkie firmy mają kasy fiskalne umożliwiające dodanie numeru NIP. Może zdarzyć się też, że sam przedsiębiorca lub jego pracownik zapomni podać NIP-u podczas zakupów. Najlepszym co może wówczas zrobić, to zwrócić towar i od razu kupić go jeszcze raz, tylko już na fakturę.

Choć powyższe zmiany wchodzą w życie dopiero za 2 miesiące, istotnie wpłyną na działalność małych przedsiębiorstw. To ostatni dzwonek by się przygotować!

Please Share:

Techniczne aspekty ochrony danych osobowych

Artykuł ten stanowi część większego cyklu poświęconego ochronie danych osobowych.

Techniczne aspekty ochrony danych osobowych

Obowiązki nałożone na przedsiębiorstwa przez Rozporządzenie o Ochronie Danych Osobowych nie dają się spełnić jedynie pustymi obietnicami. Polityka Bezpieczeństwa, umowy powierzenia danych, Instrukcje Zarządzania Systemami Informatycznymi – to jedynie dokumenty. Oprócz nich trzeba faktycznych działań by chronić dane osobowe.

Dlaczego rzeczywista ochrona ma priorytet przed biurokratycznym obowiązkiem?

To oczywiste, prawda? Wszyscy chcemy by dane były faktycznie chronione, a nie jedynie określone w politykach, instrukcjach i raportach. Tyle pięknej teorii, bo w praktyce większość przedsiębiorców chce przede wszystkim chronić własny biznes. Nie ma w tym nic nadzwyczajnego. Na szczęście w przypadku RODO możliwości działania na pokaz zostały bardzo ograniczone.

Przede wszystkim zakres technicznych rozwiązań wykorzystywanych do ochrony danych osobowych nie został jasno określony. Nie ma więc listy zadań które można „odfajkować” i uznać, że temat jest zamknięty. Nie jest i w przypadku ochrony danych – raczej nie będzie. W przypadku kontroli, urzędnik zbada czy dane są należycie chronione. Jeśli okaże się, że pracownik wysłał niezabezpieczoną bazę danych wrażliwych do wszystkich kontrahentów – żadne wcześniejsze dokumenty nie pomogą. Lepiej więc zapobiegać niż leczyć.

Dlatego warto zastanowić się nad konkretnymi rozwiązaniami technicznymi w zakresie ochrony danych osobowych.

Przechowywanie dokumentów papierowych

Mimo postępu technicznego, wciąż drukujemy znaczną część dokumentacji. W przeciwieństwie do danych elektronicznych, bardzo łatwo stwierdzić gdzie papierowe dokumenty są i gdzie być powinny.
W każdej firmie zatrudniającej pracowników należy więc:

  • Określić sposób przekazywania dokumentów papierowych pomiędzy pracownikami, uniemożliwiający dostanie się ich w ręce osób trzecich – Na przykład zostawienie dokumentów na biurku recepcjonisty, gdy ten nie przyszedł jeszcze do pracy nie jest dobrym rozwiązaniem.
  • Wybrać miejsca przechowywania dokumentacji papierowej – Innych niż niezabezpieczona szafa segregatorowa w poczekalni dla klientów, w której nie ma żadnego pracownika.
  • Określić zasady zabezpieczenia dokumentacji przed kradzieżą/skopiowaniem – Nawet szafka zamykana na zwykły kluczyk jest lepsza niż brak zabezpieczenia w ogóle.
  • Określić zasady zabezpieczania dokumentacji przed zniszczeniem – zalaniem, niecelowym wrzuceniem do niszczarki, użyciem jako makulatura.
  • Trzymać się powyższych zasad.

Przewożenie dokumentów papierowych i nośników danych

Przewożenie dokumentów, bez względu na to czy są to wydruki, czy pendrive, zawsze wiąże się z pewnym ryzykiem. Trudno jednak ustalić jasne zasady ich zabezpieczenia czy środki techniczne, które miałby to umożliwić. Niestety, ale kluczowy pozostaje zdrowy rozsądek właściciela firmy i pracowników.
Pewne minimum to umieszczenie przewożonych dokumentów papierowych w teczkach i segregatorach, tak by uniemożliwić wypadnięcie pojedynczej strony. Znamy przypadek gdy właścicielowi firmy przewożącemu niezabezpieczone dokumenty na przednim siedzeniu udało się je stracić z powodu silnego wiatru i niefrasobliwego otwarcia drzwi.
Elektroniczne nośniki danych (pendrive, karty pamięci) są natomiast na tyle małe, że łatwo je zwyczajnie zgubić. Zdecydowanie lepiej jest przewozić je w większych pojemnikach (dyplomatka, nerka) lub nawet w portfelu.

Niszczenie dokumentacji

Przedsiębiorca nie wyrzuca dokumentów. Przedsiębiorca je niszczy.
Warto zapamiętać tę zasadę i zapisać ją w Polityce Bezpieczeństwa.
Wszystkie dokumenty papierowe, które straciły swoją użyteczność dla firmy powinny zostać przepuszczone przez niszczarkę. W ten sposób firma nie tylko chroni się przed wyciekiem danych osobowych, ale też zabezpiecza tajemnicę handlową swoich kontrahentów i swoje dobre imię.
Nie polecamy natomiast palenia dokumentacji – nie tylko z powodu skojarzenia z dawnymi służbami PRL, ale też mając na uwadze względy ochrony środowiska.

Monitoring

W kontekście ochrony danych osobowych monitoring jest zarówno przydatnym narzędziem, jak i istotnym utrudnieniem.
Na pewno pomaga wykryć sprawcę kradzieży tradycyjnych dokumentów. Pomaga też zabezpieczyć obiekt przed osobami trzecimi i kontrolować pracowników.
Jeśli jednak na nagraniach z monitoringu znajdą się dane osobowe, też będą one podlegać ochronie.
Wystarczy więc by kamera została skierowana na monitor pracownika, lub biurko gdzie pracuje on nad dokumentacją by konieczne było dodatkowe zabezpieczenie przed wyciekiem.
Nawet monitoring omijający dokumentację, będzie sposobem na gromadzenie danych osobowych pracowników i klientów odwiedzających lokal.

Porządek na biurku

Zwłaszcza osoby pracujące na wydrukach powinny przemyśleć czy leżące na wierzchu dokumenty nie staną się przyczyną wycieku danych. W Polityce Bezpieczeństwa można określić pewne zasady takie jak na przykład:

  • Pracownicy przyjmujący klientów nie powinni mieć podczas rozmowy z nimi, żadnych dokumentów zawierających dane osobowe osób innych niż aktualnie przebywający w pomieszczeniu klient
  • W sekretariatach, recepcjach i innych pomieszczeniach dostępnych dla osób z zewnątrz (osoby aplikujące do pracy, obnośni sprzedawcy, potencjalni klienci) dokumenty zawierające dane osobowe nie mogą leżeć na biurku.
  • Nie powinno być możliwości zajrzenia w monitor pracownika z zewnątrz budynku. Dotyczy to zwłaszcza biur położonych na parterze.
  • Po zakończeniu pracy, a przed opuszczeniem stanowiska, pracownik powinien schować wszystkie dokumenty zawierające dane osobowe.

Ogólnie warto też dbać o porządek na biurku by nie gubić dokumentów i nie ryzykować ujawnienia danych.

Umowa powierzenia danych osobowych w małej firmie

Artykuł ten jest częścią większego cyklu poświęconego ochronie danych osobowych.

Umowa powierzenia danych osobowych w małej firmie

Bardzo często dane osobowe nie tylko przechowuje się i przetwarza w ramach działalności gospodarczej, ale też udostępnia podmiotom trzecim. Przepisy wymagają by w każdym takim przypadku zawrzeć umowę powierzenia danych osobowych.

Co powoduje konieczność zawarcia umowy dotyczącej powierzenia danych osobowych?

Zasadniczo kiedy firma przekazuje dane osobowe innej osobie prawnej (innej firmie, organizacji, jednostce samorządu terytorialnego) powinna z nią zawrzeć Umowę powierzenia danych osobowych.
Próba dostosowania się do tego przepisu w wersji nie-zawężonej szybko doprowadzi jednak do całkowitego paraliżu przedsiębiorstwa. Dlaczego? Wyjaśniamy w przykładzie 1.
Przykład 1.

Pani Ola Igrekowska jest przedstawicielem handlowym. Sekretarka umówiła jej spotkanie i prezentację usług informatycznych w siedzibie firmy XyZ. W wiadomości email znalazły się następujące informacje: imię i nazwisko Pani Oli, jej telefon, zakres godzinowy spotkania. Dla potrzeb ochrony budynku XyZ, sekretarka dodała, że Pani Ola podjedzie niebieskim, służbowym Fordem.

Gdzie tu przekazanie danych osobowych? Wszędzie. Tylko na podstawie tego maila można dowiedzieć się, że znana z imienia i nazwiska osoba w danych godzinach będzie w danej lokalizacji. Wystarczy by np.:
– Porwać Panią Olę zanim dojedzie do siedziby XyZ, lub gdy ją opuści.
– Okraść mieszkanie Pani Oli, wiedząc, że w danych godzinach nie ma jej w domu.
Powyższy przykład z jednej strony pokazuje, że niemal każde dane są zarówno danymi osobowymi w rozumieniu RODO, jak i istotnymi informacjami osobistymi w rozumieniu potocznym.
Z drugiej jednak strony Przykład 1 wskazuje na praktyczną niemożliwość zawarcia umów powierzenia danych osobowych z każdą firmą, której się je przekazuje.

W powyższym przykładzie, Pani Ola, która jest przedstawicielem handlowym może mieć umówionych po 5 spotkań dziennie, każde z inną firmą. Samo zawarcie odpowiednich umów powierzenia danych całkowicie sparaliżowałoby jej pracę. Po za tym firma otrzymująca dane tak czy inaczej będzie je chronić by nie złamać przepisów o tajemnicy handlowej.

Z tego względu wydaje się zasadne ograniczenie umów jedynie do przypadków przekazania zbiorów danych osobowych, lub danych szczególnie wrażliwych.
Dobrymi przykładami są na przykład:
– Przekazanie dokumentacji dotyczącej zatrudnienia zewnętrznej firmie księgowej lub kadrowej;
– Przekazanie wyników badań pracowników zewnętrznej firmie ubezpieczeniowej;
– Przekazanie listy uczestników i dodatkowych wymagań związanych z nimi, firmie organizującej wyjazd integracyjny.
– Przekazanie bazy klientów firmie, która podjęła się pośrednictwa w sprzedaży.

W jaki sposób zawierana jest umowa powierzenia danych osobowych?

W umowie dotyczącej powierzenia danych osobowych jedna firma powierza, a druga zobowiązuje się przechowywać i przetwarzać zgodnie z przepisami pewien zbiór danych.

Dla potrzeb dowodowych zdecydowanie lepiej zawrzeć taką umowę na piśmie, nic jednak nie stoi na przeszkodzie zawarciu jej drogą elektroniczną. W praktyce optymalne staje się przygotowanie szablonu umowy powierzenia danych osobowych, w którym będzie się jedynie wypełniało
– Dane firmy/organizacji, której powierza się dane;
– Zakres przekazywanych danych;
– Daty rozpoczęcia i zakończenia umowy;
– Obowiązki firmy, której powierzono dane na wypadek ustania współpracy (np. usunięcie zbiorów).

Z kim zawierać umowy powierzenia danych osobowych?

W praktyce zawieranie umów powierzenia danych osobowych ma sens jedynie z usługodawcami i podwykonawcami.
Nawet jeśli firma przekazuje pewne dane swojemu klientowi, lub potencjalnemu klientowi to niby dlaczego miałby on godzić się na administrowanie danymi?
Umowa jak sama nazwa wskazuje wymaga dobrowolnej zgody dwóch lub więcej stron, więc umowy, w których przedsiębiorstwo powierza dane klientowi będą wyjątkowo rzadkie. Oczywiście może ich wymagać specyfika branży, ale nie będzie to popularne rozwiązanie.

Czy warto skorzystać z dostępnych w sieci szablonów do umów?

W przeciwieństwie do zasad Polityki Bezpieczeństwa czy Instrukcji Zarządzania Systemami Informatycznymi, które mają bardzo indywidualny charakter, umowy powierzenia mogą być dosyć ogólne.
Przedsiębiorstwa zawierające jedynie standardowe umowy dotyczące danych osobowych (np. związane z zewnętrznymi usługami księgowymi, kadrowymi i ubezpieczeniowymi) mogą swobodnie skorzystać z dostępnych szablonów.
Bardzo możliwe też, że wyspecjalizowani dostawcy usług tacy jak spółki ubezpieczeniowe będą mieli po 25 maja własne szablony dla swoich klientów.

Zastrzeżenia umowne

Powierzając dane należy zastrzec cel w jakim mogą one być przetwarzane przez kontrahenta. Nie można określić tego celu szerzej niż wskazują na to uprawnienia jakie ma powierzający.
Przykładowo jeśli pan Zenon Zetowski udostępnił swoje dane firmie XyZ dla potrzeb wykonania zamówienia, to firma XyZ nie może udostępnić ich przedsiębiorstwu kurierskiemu w celach marketingowych.

RODO – Zarys zagadnienia.

Upoważnienie pracownika do przetwarzania danych osobowych w małej firmie

Artykuł ten jest częścią większego cyklu poświęconego ochronie danych osobowych.

Upoważnienie pracownika do przetwarzania danych osobowych w małej firmie

By pracownik mógł przetwarzać dane osobowe, Administrator Danych Osobowych musi go do tego upoważnić. Odpowiednie upoważnienie do przetwarzania danych osobowych w myśl nowych przepisów o ochronie danych osobowych jest niezbędne w stosunku do większości pracowników.

Komu należy wystawić upoważnienie?

Małe przedsiębiorstwa mają często niski stopień specjalizacji pracowników. Oznacza to, że potencjalnie każda osoba w firmie może zostać poproszona o pomoc w danym zadaniu. Z tego powodu najlepiej wystawić upoważnienie dosłownie wszystkim, ewentualnie tylko zawęzić jego zakres.

Upoważnienie jest na pewno niezbędne do:

  • Wszelkich spraw kadrowych – z zasady dotyczą one danych pracowników.
  • Sprzedaży jeśli sprzedawca ma styczność z danymi klienta – np. telemarketer zna zazwyczaj imię, nazwisko i nr telefonu klienta; a przedstawiciel handlowy nawet jego adres.
  • Pełnienia stanowiska kierowniczego – przełożeni zawsze mają dostęp do części danych podwładnych.
  • Obsługi klienta – prawie na pewno pracownik ma dostęp do podstawowych danych.
  • Wysyłania listów, nadawania paczek i przesyłek – jeśli na paczce są dane klienta takie jak adres, imię, nazwisko.
  • Ochrony i nadzoru – nagranie z monitoringu zawiera dane osobowe takie jak wygląd osoby, po którym można ją zidentyfikować i miejsce pobytu w danym czasie.
  • Analizy i obróbki baz danych jeśli te zawierają dane osobowe.
  • Obsługi CRM – praktycznie zawsze w danych systemu są dane osobowe klientów.
  • Umawiania spotkań, pracy sekretariatu, recepcji itp.

Tak naprawdę trudno wyobrazić sobie pracownika biurowego w małej firmie, który nie ma styczności z danymi osobowymi. Upoważnień można więc nie wystawiać np. szeregowym pracownikom ekipy budowlanej lub sprzątającej.

Komu można wystawić upoważnienie?

Upoważnienie do przetwarzania danych osobowych nie jest związane z umową o pracę. Można wystawić je także dla:

  • praktykantów;
  • wykonawców dzieł;
  • zleceniobiorców.

Osobom prowadzącym własną działalność (np. samozatrudnienie) przekazuje się dane na podstawie umowy powierzenia danych osobowych.

Co musi znaleźć się w upoważnieniu?

Wystawiając upoważnienie do przetwarzania danych osobowych, trzeba w nim zawrzeć – oczywiście dane osobowe. A tak na poważnie, dokument taki powinien zawierać:
Informacje o tym kto powierza dane,
Imię i nazwisko osoby, która otrzymuje upoważnienie,
Cel przetwarzania danych – można go określić bardzo ogólnie, np. w celu wykonywania obowiązków na stanowisku starszego specjalisty ds. jakości,
Datę od kiedy upoważnienie jest ważne;
Zakres danych, które pracownik ma prawo przetwarzać.
Dokument taki powinien być ponadto podpisany przez osobę uprawnioną do nadania upoważnienia.

Ewidencja osób upoważnionych

Każdy pracodawca jest zobowiązany prowadzić Ewidencję osób upoważnionych do przetwarzania danych osobowych. Jako, że nie ma wymagań co do jej formy, najlepiej utworzyć plik dostępny jedynie dla ADO i ABI, a w nim zamieścić tabelkę obejmującą imiona, nazwiska i zakres upoważnienia.

RODO – Zarys zagadnienia. 

Instrukcja Zarządzania Systemami Informatycznymi dla małej firmy

Artykuł stanowi część większego cyklu poświęconego ochronie danych osobowych.

Instrukcja Zarządzania Systemami Informatycznymi dla małej firmy

Każda firma przechowująca jakiekolwiek dane osobowe w formie elektronicznej zobowiązana jest przygotować Politykę Bezpieczeństwa, której częścią będzie Instrukcja Zarządzania Systemami Informatycznymi.
Samo przygotowanie dokumentu, najczęściej w formie załącznika do Polityki Bezpieczeństwa, jest obowiązkiem formalnym. Natomiast dbanie o bezpieczeństwo danych jest nie tylko obowiązkiem przedsiębiorcy, ale też leży w jego kluczowym interesie. Z tego względu warto przygotować Instrukcję tak by spełniała swoje oficjalne zadanie, a więc była jasnym i zrozumiałym szablonem postępowania dla pracowników. Od czego zacząć?

Czym jest System Informatyczny w rozumieniu przepisów o ochronie danych osobowych?

Za system informatyczny należy uznać każdy program (aplikację), który może posłużyć do przechowywania, przetwarzania lub udostępniania danych osobowych.

Ta, bardzo szeroka, definicja może być sprzeczna z potocznym rozumieniem systemu jako rozwiązania znacznie bardziej zaawansowanego (system operacyjny, CRM, CMS), lecz dla potrzeb ochrony danych osobowych lepiej założyć po prostu, że ów „system informatyczny” oznacza całość oprogramowania używanego przez firmę, a także wszystkie urządzenia elektroniczne, na których dane te mogą być przechowywane.

W zakresie oprogramowania na pewno trzeba wziąć pod uwagę:
Pocztę elektroniczną email
Komunikatory wewnątrz firmowe i zewnętrzne (np. Messenger)
Programy księgowe, fakturujące i kadrowe
Aplikacje firmowych mediów społecznościowych (np. Facebook, Linkedin)
Systemy zarządzania treścią (firmowy CMS, WordPress)
Bazy danych i programy do ich tworzenia/obsługi
Systemy CRM

Nie ma natomiast sensu wymienianie w Instrukcji wszystkich programów ani urządzeń, z których korzystać będą pracownicy.

Jak określić kompetencje, które zawiera Instrukcja Zarządzania Systemami Informatycznymi?

Choć wydaje się to oczywiste, warto zastrzec, że Administrator Danych Osobowych (a więc właściciel firmy lub jej zarząd) ma pełne prawo wglądu we wszystkie firmowe systemy informatyczne i urządzenia – także udostępnione pracownikom.
Bardzo istotny jest też zakres kompetencji ABI oraz osoby kierującej działem IT i tym samym faktycznie przyznającej innym pracownikom dostępy/hasła/uprawnienia pozwalające korzystać z oprogramowania. W Instrukcji można zastrzec także szczególne kompetencje działu kadr czy księgowego.
Dostęp pozostałych pracowników do urządzeń i oprogramowania powinien być natomiast określony bardzo ogólnie, tak by nie utrudniać pracy, ani nie rozbudowywać nadmiernie biurokracji wewnątrz firmowej. Stosowanie zapisów zbyt szczegółowych, a zwłaszcza przypisywanie kompetencji do konkretnej osoby (Jan Iksiński) zamiast do stanowiska (specjalista ds. IT), może doprowadzić do stworzenia zapisu zbyt uciążliwego i w efekcie – martwego.

W Instrukcji warto więc zawrzeć informacje na temat tego:
Kto ma prawo przyznawać i odbierać dostęp do urządzeń i programów;
Jakie stanowiska mają dostęp do szczególnie istotnych danych osobowych;
W jaki sposób przyznaje się lub odbiera dostęp do urządzeń i programów.

Co zawrzeć w Instrukcji Zarządzania Systemami Informatycznymi?

Wszystkie informacje zawarte w poprzednich akapitach dotyczą obowiązków formalnych. Nie znając potrzeb konkretnej firmy, trudno wybrać optymalne rozwiązania pod względem praktycznym. Mimo to zawsze w Instrukcji warto zawrzeć
Nakaz zabezpieczania baz danych i dostępu do kluczowego oprogramowania hasłem;
Potrzebę wylogowywania się w przypadku opuszczenia stanowiska pracy i ponownego logowania po powrocie na nie;
Wymagania przedsiębiorstwa w zakresie szyfrowania informacji wewnątrz firmowych i w kontaktach z kontrahentami;
Zasady dotyczące wynoszenia poza teren firmy nośników danych i urządzeń elektronicznych je przechowujących;
Częstotliwość i sposób tworzenia kopii zapasowych (back-up);
Zasady przechowywania, zabezpieczania, i przywracania kopii zapasowych;
Zasady drukowania i przesyłania dokumentów elektronicznych;
Metody bezpiecznego przekazywania haseł dostępowych i kluczy kryptograficznych między pracownikami, jeśli zachodzi taka potrzeba.

W praktyce te same zasady warto stosować nie tylko do ochrony danych osobowych, ale też w celu zachowania tajemnicy handlowej i uniknięcia szpiegostwa gospodarczego.

Między teorią, a praktyką

Przygotowując Instrukcję Zarządzania Systemami Informatycznymi należy pamiętać, że przygotowanie dokumentu w stylu obietnic wyborczych (czyli w teorii idealnego systemu bezpieczeństwa, a w praktyce niemożliwego do wyegzekwowania) nie ma sensu. Zgodność z RODO i tak będzie sprawdzana głównie w firmach gdzie nastąpił wyciek danych, a wówczas urzędnicy zapytają o faktyczne, a nie jedynie formalne środki ochrony.
Lepiej więc stworzyć Instrukcję możliwą do zrealizowania i trzymać się jej. Żadna firma na świecie nie jest w stanie w 100% zapewnić bezpieczeństwa danych. Urzędnicy zdają sobie z tego sprawę i nie będą wymagać poziomu ochrony większego niż w przypadku podobnych przedsiębiorstw.

RODO – Zarys zagadnienia

Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy? (cz 2)

Artykuł ten stanowi część większego cyklu poświęconego ochronie danych osobowych. Jest kontynuacją tekstu Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy (cz 1)

Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy? (cz 2)

W poprzednim artykule odpowiedzieliśmy na kilka pytań związanych z przygotowaniem Polityki Bezpieczeństwa dla potrzeb Rozporządzenia o Ochronie Danych Osobowych. Jest to jednak zagadnienie rozbudowane, w którym mogą pojawić się kolejne wątpliwości.

1 Czy potrzebny jest Wykaz Zbiorów Danych Osobowych?

Zgodnie z obowiązującymi od 25 maja 2018 przepisami niezbędnym elementem Polityki Bezpieczeństwa – dokumentu przygotowywanego pod kątem ochrony danych osobowych, jest Wykaz Zbiorów Danych Osobowych. Nie można go pominąć, bez względu na wielkość firmy czy branżę, w której ona działa.

Należy więc koniecznie taki wykaz przygotować, czym zajmiemy się w jednym z kolejnych artykułów.

2 Jak określić obszar, w którym przetwarza się dane osobowe?

Obowiązek określenia miejsca, w którym przetwarza się dane osobowe, jest delikatnie rzecz biorąc, niedostosowany do aktualnego poziomu technologii, nie wspominając już o przyszłych rozwiązaniach. Korzystając z oprogramowania takiego jak Dropbox, Google Docs, korzystając chmury obliczeniowej, tak naprawdę przetwarzamy dane na serwerach firmy – producenta oprogramowania.
Czy zatem powinniśmy określić miejsce przechowywania danych jako „Hala serwerowa Google/Apple/Microsoft w [tu wstaw prawdopodobną lokalizację serwera, z którego dane mogą zostać w każdej chwili przeniesione na inny serwer bez Twojej wiedzy]?

Gdyby należało przedstawić sprawę zgodnie z prawdą, współczesne przedsiębiorstwo nie byłoby w stanie określić obszaru, w którym przetwarzane są dane osobowe. Niestety i na szczęście, chodzi jedynie o dokument dla potrzeb polskiej biurokracji.

Jako obszar, w którym przetwarzane są dane osobowe określamy więc siedzibę firmy – całą, ze wszystkimi podległymi oddziałami. Na pewno nie warto ograniczać obszaru do pojedynczych pomieszczeń, zwłaszcza jeśli choć jedno stanowisko pracy wyposażone w komputer miałoby znaleźć się poza tym obszarem.
Pracownik wystawiający fakturę może musieć wystawić ją dla osoby fizycznej i tym samym zebrać dane osobowe. Jeśli osoba ta kupi np. prezerwatywy, leczniczy materac, albo książkę o polityce, to będą to nawet dane wrażliwe.

Tylko co z pracownikami, którzy pracują w terenie z wykorzystaniem laptopa, tabletu, telefonu komórkowego? Przecież zapisując kontakt do poznanego na targach kontrahenta (imię, nazwisko, firma, nr telefonu – dane w 100% wystarczające do zidentyfikowania konkretnej osoby) – przechowują jej dane osobowe. Bardzo możliwe też, że przetwarzają je lub przesyłają do innych osób w firmie.

W braku odpowiedniego przepisu i orzecznictwa należy zaufać, że urzędnicy dokonujący kontroli zrozumieją, że określenie pełnego i dokładnego obszaru przetwarzania danych osobowych jest niemożliwe.

Warto natomiast dodać do obszaru listę przedsiębiorstw, którym powierza się dane osobowe np. swoich klientów.

3 Jak aktualizować Politykę Bezpieczeństwa w firmie?

Nawet jeśli na samym początku nie uda się uchwalić idealnej Polityki Bezpieczeństwa, nie jest to duży problem – można ją zaktualizować w każdej chwili, w ten sam sposób co została uchwalona.

Tak naprawdę warto założyć, że uchwalona Polityka Bezpieczeństwa nie jest dokumentem „ostatecznym i wiecznie trwałym”. Warunki techniczne zmieniają się wraz z postępem, a także rozwojem firmy.

Bardzo dobrym pomysłem jest przygotowanie PB w sposób ogólnikowy, a uszczegóławiać ją w razie potrzeby załącznikami.

4 Czy potrzebna jest Instrukcja Zarządzania Systemami Informatycznymi?

Najprostszy nawet program komputerowy jest traktowany jako „system informatyczny” w kontekście przepisów o ochronie danych osobowych. Excel, Access, Płatnik, Symfonia, Google Docs – to tylko niektóre przykłady.
W praktyce każda firma musi więc uwzględnić w ramach Polityki Bezpieczeństwa odpowiednią instrukcję. Jej przygotowaniem zajmiemy się w jednym z kolejnych artykułów.

Kolejne zagadnienia zostaną poruszone w bardziej szczegółowych artykułach.

Polityka Bezpieczeństwa (cz.2)

RODO – Zarys zagadnienia