Jak amortyzować samochód osobowy?

Jak amortyzować samochód osobowy?

Ten artykuł jest częścią większej całości. Przedstawia stan prawny na dzień 1 stycznia 2019.

Zakup samochodu osobowego to spory koszt, który warto by odliczyć od podatku. Można to zrobić jedynie na raty, za pomocą tak zwanych odpisów amortyzacyjnych. Od stycznia 2019 zmieniają się jednak limity dotyczące amortyzacji. Warto więc zapoznać się z przepisami i sprawdzić jak amortyzować samochód osobowy, a także przypomnieć sobie związane z tym możliwości.

Co to jest samochód osobowy w rozumieniu przepisów podatkowych?

Wiemy czym jest samochód osobowy w potocznym rozumieniu, ustawy jednak posługują się własnym językiem. Dlatego przypominamy, że samochód osobowy, nie może:
– Mieć dopuszczalnej masy powyżej 3,5 tony,
– Być przeznaczony do przewozu więcej niż 10 osób (razem z kierowcą),
– Posiadać funkcjonalnie oddzielonej części towarowej i kabiny z jednym rzędem siedzeń,
– Posiadać otwartej części przeznaczonej do przewozu ładunków,
– Być zakwalifikowany na podstawie odrębnych przepisów jako samochód ciężarowy, van, lub pojazd wielozadaniowy,
– Być wyposażony w: ładowarkę, dźwig, koparkę, agregat spawalniczy, podnośnik do prac na wysokości, żuraw samochodowy, inne urządzenia budowlane i remontowe.
Definicja jest uciążliwa, ponieważ tak na prawdę mówi, że samochodem osobowym jest samochód, którego nie da się zaliczyć jako autobusu, ciężarówki, samochodu roboczego lub specjalnego. To co pozostało to samochody osobowe.
Warto pamiętać, że wstawienie kratki do samochodu osobowego nie czyni z niego ciężarówki. Przepisy „o kratkach” nie obowiązują już od ponad 10 lat, a niektórzy wciąż pytają…

Jak amortyzować samochód osobowy – obowiązki formalne

Amortyzować można tylko samochody osobowe, które zostały zakupione legalnie przez przedsiębiorstwo i wciągnięte przez nie do ewidencji środków trwałych. Każdy samochód jeśli jest sprawny, może być środkiem trwałym, bez względu na cenę.
Wpisując samochód do ewidencji środków trwałych, trzeba dokonać wyceny jego wartości początkowej. Wartość początkowa nie jest równoznaczna z rzeczywistą kwotą za jaką kupiło się samochód! Ta druga jest tylko częścią pierwszej.
Wartość początkowa dla potrzeb amortyzacji składa się z:
– Kwoty zapłaconej za samochód ALBO wartości rynkowej samochodu, jeśli otrzymało się go bezpłatnie (lub za częściową odpłatnością);
– Wszystkich kosztów poniesionych w związku z samochodem od jego zakupu do wprowadzenia do ewidencji środków trwałych. W tej kategorii znajdują się np. opłaty za wydanie rejestracji, naprawy samochodu który był niezdatny do użytku, holowanie pojazdu od miejsca zakupu itp.
Koszty te zbiera się razem i sumuje, otrzymując wartość początkową dla potrzeb amortyzacji.
Przykład
Pan Odważny kupił samochód osobowy z niesprawnym układem hamulcowym za 25 000 zł, zapłacił za transport samochodu na lawecie 500 zł, 100 zł za ubezpieczenie w drodze, 180,50 zł za rejestrację pojazdu i 1000 zł za wymianę hamulców. Wartość początkowa dla potrzeb amortyzacji wyniesie:
25 000 + 500 + 100 + 180,05 + 1000 = 26 780,50 zł. Właśnie taką kwotę będzie można zamortyzować.

Jak amortyzować samochód osobowy – limity i metody amortyzacji

W zależności od wartości początkowej i sposobu rozliczania różny jest czas w jakim można dokonać odpisów amortyzacyjnych.
Jeśli samochód ma wartość początkowo do 10 000 zł, to nie trzeba dokonywać amortyzacji. Zamiast tego można potraktować całą kwotę jako jednorazowy koszt uzyskania przychodu.
Przykład
Pani Oszczędna kupuje w styczniu 2019 na firmę używany samochód osobowy. Łączna wartość początkowa wynosi 8 800 zł. Oznacza to, że już w lutym 2019 Pani oszczędna może zmniejszyć podstawę opodatkowania o 8 800 zł i potraktować samochód jak każdy koszt.

 

Jak dokonać standardowej amortyzacji?

Jeśli samochód ma wartość od 10 000 zł do 150 000 zł, a samochód elektryczny nawet do 225 000 zł, przedsiębiorca może:

– Dokonać amortyzacji liniowej, czyli rozłożyć okres rozliczenia na 5 lat. W ten sposób rozlicza się 20% wartości początkowej rocznie.
Przykład
Pan Cierpliwy kupuje w styczniu 2019 roku samochód osobowy. Łączna wartość początkowa wynosi 60 000 zł. W rozliczeniu za rok 2019 (czyli w 2020) może dokonać odpisu amortyzacyjnego w wysokości 60 000 x 20% = 12 000 zł. Może też rozłożyć odpis roczny na raty miesięczne i co miesiąc dokonywać odpisu w wysokości 1000 zł.
– Dokonać amortyzacji indywidualnej, czyli samodzielnie wybrać okres rozliczenia w granicach ustawowego limitu. W przypadku samochodów osobowych można to zrobić tylko wówczas gdy kupiło się samochód używany, LUB zainwestowało w jego usprawnienie przed wprowadzeniem do ewidencji środków trwałych min. 20% ostatecznej wartości początkowej.
Wybierając amortyzację indywidualną najlepiej wybrać możliwie najkrótszy okres amortyzacji. W przypadku samochodów osobowych jest to 30 miesięcy (2,5 roku).
Przykład
Pani Ambitna kupuje w styczniu 2019 używany samochód do firmy. Łączna wartość początkowa wynosi 60 000 zł. Pani Ambitna wybiera minimalny okres amortyzacji – 30 miesięcy. W rozliczeniu za ten miesiąc może odliczyć 60 000 / 30 = 2 000 zł. Jeśli dokonuje rocznych odpisów amortyzacyjnych to w rozliczeniu za rok 2019 (czyli w roku 2020) odliczy 2 000 x 12 = 24 000 zł.

Jak amortyzować samochód osobowy powyżej 150 000 zł?

Po przekroczeniu ustawowego limitu 150 000 zł (225 000 zł dla samochodów elektrycznych) można wykorzystać obie przedstawione wyżej metody amortyzacji, ale zamortyzować można tylko część kwoty. W praktyce wartość początkową i wysokość odpisów amortyzacyjnych ustala się standardowo, natomiast kosztem uzyskania przychodu jest tylko owe 150 000 zł.
Przykład
Pan Zamożny kupił samochód osobowy w styczniu 2019. Wartość początkowa wyniosła 200 000 zł.
Może z tego zamortyzować 150 000 zł czyli 75%. Wybiera metodę liniową. W rozliczeniu za rok 2019 może dokonać odpisu w wysokości: 200 000 zł x 20% = 40 000 zł. W koszty zapisze 75% tego czyli 30 000 zł.
Wiesz już jak amortyzować samochód osobowy. Jeśli interesują Cię powiązane tematy, możesz zapoznać się z nimi w artykułach o: samochodach prywatnych w firmie, nabyciu samochodów do firmy i rozliczeniu kosztów.

Jak odliczyć koszty eksploatacji samochodu osobowego w 2019?

Jak odliczyć koszty eksploatacji samochodu osobowego w 2019?

Ten artykuł jest częścią większej całości. Przedstawia stan prawny na dzień 1 stycznia 2019 roku.

1 stycznia 2019 zmieniają się przepisy dotyczące rozliczeń samochodów w firmach. Warto już teraz wiedzieć jak odliczyć koszty eksploatacji samochodu osobowego w 2019. Przy okazji przypominamy także te regulacje, które się nie zmieniły.

Czym jest koszt eksploatacji samochodu osobowego?

By odliczyć koszty eksploatacji samochodu, najpierw trzeba je ponieść. Odliczeniu podlegają tylko te wydatki, które przedsiębiorca faktycznie poniósł i może to udowodnić za pomocą odpowiedniego dokumentu (faktury, rachunku, umowy). Ponadto koszty muszą być powiązane z samochodem osobowym i dotyczyć jego eksploatacji. Będą nimi na pewno takie wydatki jak:
– zakup paliwa,
– naprawy i usługi serwisowe,
– wymiana części,
– opłaty za myjnię, czyszczenie klimatyzacji,
– opłaty parkingowe,
– ubezpieczenie (OC, AC) .
Te koszty eksploatacji samochodu w mniejszym lub większym stopniu można odliczyć. Nie można natomiast zaliczyć w koszty:
– mandatów i kosztów odholowania przez policję,
– usprawnień samochodu (tuningu),

Kto i w jakiej sytuacji może odliczyć koszty eksploatacji samochodu osobowego?

Przedsiębiorca ma prawo dokonać odliczenia kosztów poniesionych w związku z eksploatacją pojazdu gdy:
– Korzysta z własnego samochodu osobowego na cele służbowe.
– Korzysta z samochodu firmowego na użytek prywatny i służbowy.
– Korzysta z samochodu firmowego wyłącznie na cele służbowe.
Szczególnym przypadkiem jest sytuacja gdy pracownik korzysta z własnego samochodu na cele służbowe pracodawcy. We wszystkich pozostałych wypadkach nie ma znaczenia czy koszty eksploatacji samochodu osobowego wynikają z działań samego pracodawcy czy jego pracowników.
Niżej znajdziesz zasady rozliczania kosztów eksploatacji samochodów osobowych w różnych przypadkach.

Prywatny samochód osobowy wykorzystany na cele służbowe

Przedsiębiorca prowadzący jednoosobową działalność gospodarczą, a także wspólnik spółki cywilnej, zawsze mogą wykorzystać swój samochód prywatny na cele służbowe. Nie musi go zgłaszać do urzędu skarbowego, ani prowadzić dokładnej dokumentacji podróży służbowych.
Musi jedynie zebrać dowody poniesienia kosztów eksploatacji samochodu osobowego czyli faktury za paliwo, naprawy, parkingi itp.
Po pierwsze przedsiębiorca może odliczyć 50% zapłaconego podatku VAT.
Po drugie, 20% pozostałej kwoty (którą jest 100% netto i 50% VAT) przedsiębiorca może zaliczyć w koszty uzyskania przychodu i w ten sposób zmniejszyć podstawę PIT.
Od 1 stycznia 2019 nie trzeba prowadzić kilometrówki (ewidencji przebiegu pojazdu)
Przykład:
Pani Przedsiębiorcza ma prywatny samochód osobowy, którego okazjonalnie używa też do pracy. W styczniu 2019 wydaje 1000 zł netto (+230 zł VAT) na paliwo i naprawy. Łącznie płaci 1 230 zł. Rozlicza koszty za styczeń. Najpierw odlicza połowę (50%) VAT czyli 115 zł. Tyle może odliczyć bezpośrednio od podatku należnego.
Pozostaje jej kwota 1000 zł + 115 zł czyli 1115 zł. 20% z niej czyli 223 zł może zaliczyć w koszty uzyskania przychodu. W zależności od stawki podatku jaki ją obowiązuje, odliczy: 40,14 zł (18%), lub 71,36 zł (32%) od PIT.

Samochód służbowy na cele prywatne i służbowe

Jeśli samochód został wpisany do ewidencji środków trwałych przedsiębiorstwa, nie jest już traktowany jako samochód prywatny, ale wciąż można go na cele prywatne wykorzystać.
Bez względu na to jak auto jest wykorzystywane, zawsze można odliczyć koszty koszty eksploatacji samochodu osobowego w części określonej przez ustawę. Oczywiście trzeba zebrać dowody poniesienia wydatków, czyli faktury.
Potem można odliczyć 50% zapłaconego podatku VAT.
75% pozostałej kwoty (która jest 100% netto i 50% VAT) można zaliczyć w koszty uzyskania przychodu i w ten sposób zmniejszyć podstawę opodatkowania PIT.
W tym wypadku także nie obowiązuje kilometrówka.
Przykład:
Pan Rozsądny kupił samochód na firmę i wpisał go do ewidencji środków trwałych. Używa go do pracy, ale też celów prywatnych. W styczniu 2019 wydaje 1000 zł netto (+230 zł VAT) na paliwo i naprawy. Łącznie płaci 1 230 zł. Gdy przychodzi do rozliczenia kosztów za styczeń, najpierw odlicza połowę (50%) VAT czyli 115 zł. Tyle może odliczyć bezpośrednio od podatku należnego.
Teraz do rozliczenia zostaje mu 1115 zł (1000 zł netto i połowa VAT-u). Z tej kwoty 75%, czyli 836 zł i 25 gr zalicza w koszty uzyskania przychodu. Zmniejsza to jego podatek o 150,53 zł (skala 18%) lub 267,60 zł (skala 32%).

Samochód osobowy wyłącznie na cele służbowe

Przepisy przewidują, ze przedsiębiorca może odliczyć koszty eksploatacji samochodu osobowego w 100% jeśli jest to samochód używany wyłącznie na cele służbowe. Samochód taki trzeba wciągnąć do ewidencji środków trwałych, a także zgłosić do urzędu skarbowego za pomocą druku VAT-26. Od tej pory można go używać wyłącznie na użytek służbowy. Trzeba pod tym względem liczyć się z kontrolą, a nawet prowokacją skarbówki. Zwłaszcza małe firmy określające samochód osobowy jako przeznaczony wyłącznie do celów służbowych, muszą się bardzo pilnować.
Po dokonaniu formalności, trzeba jedynie zbierać dowody faktycznego poniesienia kosztów czyli faktury. Można odliczyć 100% VAT, a całą pozostałą kwotę netto zaliczyć w koszty uzyskania przychodu.
Potrzebna jest szczegółowa ewidencja przebiegu pojazdu dla potrzeb VAT.
Przykład:
Pani Zasadnicza zakupiła na firmę samochód osobowy, który używany jest wyłącznie w celu odbycia podróży służbowych. Samochód parkowany jest na parkingu firmowym, ani pani Zasadnicza, ani jej pracownicy nigdy jeżdżą nim do domu, ani nie odwożą dzieci do przedszkola. W styczniu wydatki związane z samochodem wynoszą 1000 zł netto (+230 zł VAT).
Za styczeń odlicza 100% VAT (230 zł), a całą pozostałą kwotę (1000 zł) wpisuje w koszty uzyskania przychodu. Zmniejsza to PIT do zapłaty o 180 zł (18%) lub 320 zł (32%).

Wiesz już jak odliczyć koszty eksploatacji samochodu osobowego. Jeśli interesują Cię powiązane tematy, zapoznaj się z artykułami o: amortyzacjinabyciu samochodów i samochodach prywatnych w firmie.

Techniczne aspekty ochrony danych osobowych

Artykuł ten stanowi część większego cyklu poświęconego ochronie danych osobowych.

Techniczne aspekty ochrony danych osobowych

Obowiązki nałożone na przedsiębiorstwa przez Rozporządzenie o Ochronie Danych Osobowych nie dają się spełnić jedynie pustymi obietnicami. Polityka Bezpieczeństwa, umowy powierzenia danych, Instrukcje Zarządzania Systemami Informatycznymi – to jedynie dokumenty. Oprócz nich trzeba faktycznych działań by chronić dane osobowe.

Dlaczego rzeczywista ochrona ma priorytet przed biurokratycznym obowiązkiem?

To oczywiste, prawda? Wszyscy chcemy by dane były faktycznie chronione, a nie jedynie określone w politykach, instrukcjach i raportach. Tyle pięknej teorii, bo w praktyce większość przedsiębiorców chce przede wszystkim chronić własny biznes. Nie ma w tym nic nadzwyczajnego. Na szczęście w przypadku RODO możliwości działania na pokaz zostały bardzo ograniczone.

Przede wszystkim zakres technicznych rozwiązań wykorzystywanych do ochrony danych osobowych nie został jasno określony. Nie ma więc listy zadań które można „odfajkować” i uznać, że temat jest zamknięty. Nie jest i w przypadku ochrony danych – raczej nie będzie. W przypadku kontroli, urzędnik zbada czy dane są należycie chronione. Jeśli okaże się, że pracownik wysłał niezabezpieczoną bazę danych wrażliwych do wszystkich kontrahentów – żadne wcześniejsze dokumenty nie pomogą. Lepiej więc zapobiegać niż leczyć.

Dlatego warto zastanowić się nad konkretnymi rozwiązaniami technicznymi w zakresie ochrony danych osobowych.

Przechowywanie dokumentów papierowych

Mimo postępu technicznego, wciąż drukujemy znaczną część dokumentacji. W przeciwieństwie do danych elektronicznych, bardzo łatwo stwierdzić gdzie papierowe dokumenty są i gdzie być powinny.
W każdej firmie zatrudniającej pracowników należy więc:

  • Określić sposób przekazywania dokumentów papierowych pomiędzy pracownikami, uniemożliwiający dostanie się ich w ręce osób trzecich – Na przykład zostawienie dokumentów na biurku recepcjonisty, gdy ten nie przyszedł jeszcze do pracy nie jest dobrym rozwiązaniem.
  • Wybrać miejsca przechowywania dokumentacji papierowej – Innych niż niezabezpieczona szafa segregatorowa w poczekalni dla klientów, w której nie ma żadnego pracownika.
  • Określić zasady zabezpieczenia dokumentacji przed kradzieżą/skopiowaniem – Nawet szafka zamykana na zwykły kluczyk jest lepsza niż brak zabezpieczenia w ogóle.
  • Określić zasady zabezpieczania dokumentacji przed zniszczeniem – zalaniem, niecelowym wrzuceniem do niszczarki, użyciem jako makulatura.
  • Trzymać się powyższych zasad.

Przewożenie dokumentów papierowych i nośników danych

Przewożenie dokumentów, bez względu na to czy są to wydruki, czy pendrive, zawsze wiąże się z pewnym ryzykiem. Trudno jednak ustalić jasne zasady ich zabezpieczenia czy środki techniczne, które miałby to umożliwić. Niestety, ale kluczowy pozostaje zdrowy rozsądek właściciela firmy i pracowników.
Pewne minimum to umieszczenie przewożonych dokumentów papierowych w teczkach i segregatorach, tak by uniemożliwić wypadnięcie pojedynczej strony. Znamy przypadek gdy właścicielowi firmy przewożącemu niezabezpieczone dokumenty na przednim siedzeniu udało się je stracić z powodu silnego wiatru i niefrasobliwego otwarcia drzwi.
Elektroniczne nośniki danych (pendrive, karty pamięci) są natomiast na tyle małe, że łatwo je zwyczajnie zgubić. Zdecydowanie lepiej jest przewozić je w większych pojemnikach (dyplomatka, nerka) lub nawet w portfelu.

Niszczenie dokumentacji

Przedsiębiorca nie wyrzuca dokumentów. Przedsiębiorca je niszczy.
Warto zapamiętać tę zasadę i zapisać ją w Polityce Bezpieczeństwa.
Wszystkie dokumenty papierowe, które straciły swoją użyteczność dla firmy powinny zostać przepuszczone przez niszczarkę. W ten sposób firma nie tylko chroni się przed wyciekiem danych osobowych, ale też zabezpiecza tajemnicę handlową swoich kontrahentów i swoje dobre imię.
Nie polecamy natomiast palenia dokumentacji – nie tylko z powodu skojarzenia z dawnymi służbami PRL, ale też mając na uwadze względy ochrony środowiska.

Monitoring

W kontekście ochrony danych osobowych monitoring jest zarówno przydatnym narzędziem, jak i istotnym utrudnieniem.
Na pewno pomaga wykryć sprawcę kradzieży tradycyjnych dokumentów. Pomaga też zabezpieczyć obiekt przed osobami trzecimi i kontrolować pracowników.
Jeśli jednak na nagraniach z monitoringu znajdą się dane osobowe, też będą one podlegać ochronie.
Wystarczy więc by kamera została skierowana na monitor pracownika, lub biurko gdzie pracuje on nad dokumentacją by konieczne było dodatkowe zabezpieczenie przed wyciekiem.
Nawet monitoring omijający dokumentację, będzie sposobem na gromadzenie danych osobowych pracowników i klientów odwiedzających lokal.

Porządek na biurku

Zwłaszcza osoby pracujące na wydrukach powinny przemyśleć czy leżące na wierzchu dokumenty nie staną się przyczyną wycieku danych. W Polityce Bezpieczeństwa można określić pewne zasady takie jak na przykład:

  • Pracownicy przyjmujący klientów nie powinni mieć podczas rozmowy z nimi, żadnych dokumentów zawierających dane osobowe osób innych niż aktualnie przebywający w pomieszczeniu klient
  • W sekretariatach, recepcjach i innych pomieszczeniach dostępnych dla osób z zewnątrz (osoby aplikujące do pracy, obnośni sprzedawcy, potencjalni klienci) dokumenty zawierające dane osobowe nie mogą leżeć na biurku.
  • Nie powinno być możliwości zajrzenia w monitor pracownika z zewnątrz budynku. Dotyczy to zwłaszcza biur położonych na parterze.
  • Po zakończeniu pracy, a przed opuszczeniem stanowiska, pracownik powinien schować wszystkie dokumenty zawierające dane osobowe.

Ogólnie warto też dbać o porządek na biurku by nie gubić dokumentów i nie ryzykować ujawnienia danych.

Umowa powierzenia danych osobowych w małej firmie

Artykuł ten jest częścią większego cyklu poświęconego ochronie danych osobowych.

Umowa powierzenia danych osobowych w małej firmie

Bardzo często dane osobowe nie tylko przechowuje się i przetwarza w ramach działalności gospodarczej, ale też udostępnia podmiotom trzecim. Przepisy wymagają by w każdym takim przypadku zawrzeć umowę powierzenia danych osobowych.

Co powoduje konieczność zawarcia umowy dotyczącej powierzenia danych osobowych?

Zasadniczo kiedy firma przekazuje dane osobowe innej osobie prawnej (innej firmie, organizacji, jednostce samorządu terytorialnego) powinna z nią zawrzeć Umowę powierzenia danych osobowych.
Próba dostosowania się do tego przepisu w wersji nie-zawężonej szybko doprowadzi jednak do całkowitego paraliżu przedsiębiorstwa. Dlaczego? Wyjaśniamy w przykładzie 1.
Przykład 1.

Pani Ola Igrekowska jest przedstawicielem handlowym. Sekretarka umówiła jej spotkanie i prezentację usług informatycznych w siedzibie firmy XyZ. W wiadomości email znalazły się następujące informacje: imię i nazwisko Pani Oli, jej telefon, zakres godzinowy spotkania. Dla potrzeb ochrony budynku XyZ, sekretarka dodała, że Pani Ola podjedzie niebieskim, służbowym Fordem.

Gdzie tu przekazanie danych osobowych? Wszędzie. Tylko na podstawie tego maila można dowiedzieć się, że znana z imienia i nazwiska osoba w danych godzinach będzie w danej lokalizacji. Wystarczy by np.:
– Porwać Panią Olę zanim dojedzie do siedziby XyZ, lub gdy ją opuści.
– Okraść mieszkanie Pani Oli, wiedząc, że w danych godzinach nie ma jej w domu.
Powyższy przykład z jednej strony pokazuje, że niemal każde dane są zarówno danymi osobowymi w rozumieniu RODO, jak i istotnymi informacjami osobistymi w rozumieniu potocznym.
Z drugiej jednak strony Przykład 1 wskazuje na praktyczną niemożliwość zawarcia umów powierzenia danych osobowych z każdą firmą, której się je przekazuje.

W powyższym przykładzie, Pani Ola, która jest przedstawicielem handlowym może mieć umówionych po 5 spotkań dziennie, każde z inną firmą. Samo zawarcie odpowiednich umów powierzenia danych całkowicie sparaliżowałoby jej pracę. Po za tym firma otrzymująca dane tak czy inaczej będzie je chronić by nie złamać przepisów o tajemnicy handlowej.

Z tego względu wydaje się zasadne ograniczenie umów jedynie do przypadków przekazania zbiorów danych osobowych, lub danych szczególnie wrażliwych.
Dobrymi przykładami są na przykład:
– Przekazanie dokumentacji dotyczącej zatrudnienia zewnętrznej firmie księgowej lub kadrowej;
– Przekazanie wyników badań pracowników zewnętrznej firmie ubezpieczeniowej;
– Przekazanie listy uczestników i dodatkowych wymagań związanych z nimi, firmie organizującej wyjazd integracyjny.
– Przekazanie bazy klientów firmie, która podjęła się pośrednictwa w sprzedaży.

W jaki sposób zawierana jest umowa powierzenia danych osobowych?

W umowie dotyczącej powierzenia danych osobowych jedna firma powierza, a druga zobowiązuje się przechowywać i przetwarzać zgodnie z przepisami pewien zbiór danych.

Dla potrzeb dowodowych zdecydowanie lepiej zawrzeć taką umowę na piśmie, nic jednak nie stoi na przeszkodzie zawarciu jej drogą elektroniczną. W praktyce optymalne staje się przygotowanie szablonu umowy powierzenia danych osobowych, w którym będzie się jedynie wypełniało
– Dane firmy/organizacji, której powierza się dane;
– Zakres przekazywanych danych;
– Daty rozpoczęcia i zakończenia umowy;
– Obowiązki firmy, której powierzono dane na wypadek ustania współpracy (np. usunięcie zbiorów).

Z kim zawierać umowy powierzenia danych osobowych?

W praktyce zawieranie umów powierzenia danych osobowych ma sens jedynie z usługodawcami i podwykonawcami.
Nawet jeśli firma przekazuje pewne dane swojemu klientowi, lub potencjalnemu klientowi to niby dlaczego miałby on godzić się na administrowanie danymi?
Umowa jak sama nazwa wskazuje wymaga dobrowolnej zgody dwóch lub więcej stron, więc umowy, w których przedsiębiorstwo powierza dane klientowi będą wyjątkowo rzadkie. Oczywiście może ich wymagać specyfika branży, ale nie będzie to popularne rozwiązanie.

Czy warto skorzystać z dostępnych w sieci szablonów do umów?

W przeciwieństwie do zasad Polityki Bezpieczeństwa czy Instrukcji Zarządzania Systemami Informatycznymi, które mają bardzo indywidualny charakter, umowy powierzenia mogą być dosyć ogólne.
Przedsiębiorstwa zawierające jedynie standardowe umowy dotyczące danych osobowych (np. związane z zewnętrznymi usługami księgowymi, kadrowymi i ubezpieczeniowymi) mogą swobodnie skorzystać z dostępnych szablonów.
Bardzo możliwe też, że wyspecjalizowani dostawcy usług tacy jak spółki ubezpieczeniowe będą mieli po 25 maja własne szablony dla swoich klientów.

Zastrzeżenia umowne

Powierzając dane należy zastrzec cel w jakim mogą one być przetwarzane przez kontrahenta. Nie można określić tego celu szerzej niż wskazują na to uprawnienia jakie ma powierzający.
Przykładowo jeśli pan Zenon Zetowski udostępnił swoje dane firmie XyZ dla potrzeb wykonania zamówienia, to firma XyZ nie może udostępnić ich przedsiębiorstwu kurierskiemu w celach marketingowych.

RODO – Zarys zagadnienia.

Upoważnienie pracownika do przetwarzania danych osobowych w małej firmie

Artykuł ten jest częścią większego cyklu poświęconego ochronie danych osobowych.

Upoważnienie pracownika do przetwarzania danych osobowych w małej firmie

By pracownik mógł przetwarzać dane osobowe, Administrator Danych Osobowych musi go do tego upoważnić. Odpowiednie upoważnienie do przetwarzania danych osobowych w myśl nowych przepisów o ochronie danych osobowych jest niezbędne w stosunku do większości pracowników.

Komu należy wystawić upoważnienie?

Małe przedsiębiorstwa mają często niski stopień specjalizacji pracowników. Oznacza to, że potencjalnie każda osoba w firmie może zostać poproszona o pomoc w danym zadaniu. Z tego powodu najlepiej wystawić upoważnienie dosłownie wszystkim, ewentualnie tylko zawęzić jego zakres.

Upoważnienie jest na pewno niezbędne do:

  • Wszelkich spraw kadrowych – z zasady dotyczą one danych pracowników.
  • Sprzedaży jeśli sprzedawca ma styczność z danymi klienta – np. telemarketer zna zazwyczaj imię, nazwisko i nr telefonu klienta; a przedstawiciel handlowy nawet jego adres.
  • Pełnienia stanowiska kierowniczego – przełożeni zawsze mają dostęp do części danych podwładnych.
  • Obsługi klienta – prawie na pewno pracownik ma dostęp do podstawowych danych.
  • Wysyłania listów, nadawania paczek i przesyłek – jeśli na paczce są dane klienta takie jak adres, imię, nazwisko.
  • Ochrony i nadzoru – nagranie z monitoringu zawiera dane osobowe takie jak wygląd osoby, po którym można ją zidentyfikować i miejsce pobytu w danym czasie.
  • Analizy i obróbki baz danych jeśli te zawierają dane osobowe.
  • Obsługi CRM – praktycznie zawsze w danych systemu są dane osobowe klientów.
  • Umawiania spotkań, pracy sekretariatu, recepcji itp.

Tak naprawdę trudno wyobrazić sobie pracownika biurowego w małej firmie, który nie ma styczności z danymi osobowymi. Upoważnień można więc nie wystawiać np. szeregowym pracownikom ekipy budowlanej lub sprzątającej.

Komu można wystawić upoważnienie?

Upoważnienie do przetwarzania danych osobowych nie jest związane z umową o pracę. Można wystawić je także dla:

  • praktykantów;
  • wykonawców dzieł;
  • zleceniobiorców.

Osobom prowadzącym własną działalność (np. samozatrudnienie) przekazuje się dane na podstawie umowy powierzenia danych osobowych.

Co musi znaleźć się w upoważnieniu?

Wystawiając upoważnienie do przetwarzania danych osobowych, trzeba w nim zawrzeć – oczywiście dane osobowe. A tak na poważnie, dokument taki powinien zawierać:
Informacje o tym kto powierza dane,
Imię i nazwisko osoby, która otrzymuje upoważnienie,
Cel przetwarzania danych – można go określić bardzo ogólnie, np. w celu wykonywania obowiązków na stanowisku starszego specjalisty ds. jakości,
Datę od kiedy upoważnienie jest ważne;
Zakres danych, które pracownik ma prawo przetwarzać.
Dokument taki powinien być ponadto podpisany przez osobę uprawnioną do nadania upoważnienia.

Ewidencja osób upoważnionych

Każdy pracodawca jest zobowiązany prowadzić Ewidencję osób upoważnionych do przetwarzania danych osobowych. Jako, że nie ma wymagań co do jej formy, najlepiej utworzyć plik dostępny jedynie dla ADO i ABI, a w nim zamieścić tabelkę obejmującą imiona, nazwiska i zakres upoważnienia.

RODO – Zarys zagadnienia. 

Instrukcja Zarządzania Systemami Informatycznymi dla małej firmy

Artykuł stanowi część większego cyklu poświęconego ochronie danych osobowych.

Instrukcja Zarządzania Systemami Informatycznymi dla małej firmy

Każda firma przechowująca jakiekolwiek dane osobowe w formie elektronicznej zobowiązana jest przygotować Politykę Bezpieczeństwa, której częścią będzie Instrukcja Zarządzania Systemami Informatycznymi.
Samo przygotowanie dokumentu, najczęściej w formie załącznika do Polityki Bezpieczeństwa, jest obowiązkiem formalnym. Natomiast dbanie o bezpieczeństwo danych jest nie tylko obowiązkiem przedsiębiorcy, ale też leży w jego kluczowym interesie. Z tego względu warto przygotować Instrukcję tak by spełniała swoje oficjalne zadanie, a więc była jasnym i zrozumiałym szablonem postępowania dla pracowników. Od czego zacząć?

Czym jest System Informatyczny w rozumieniu przepisów o ochronie danych osobowych?

Za system informatyczny należy uznać każdy program (aplikację), który może posłużyć do przechowywania, przetwarzania lub udostępniania danych osobowych.

Ta, bardzo szeroka, definicja może być sprzeczna z potocznym rozumieniem systemu jako rozwiązania znacznie bardziej zaawansowanego (system operacyjny, CRM, CMS), lecz dla potrzeb ochrony danych osobowych lepiej założyć po prostu, że ów „system informatyczny” oznacza całość oprogramowania używanego przez firmę, a także wszystkie urządzenia elektroniczne, na których dane te mogą być przechowywane.

W zakresie oprogramowania na pewno trzeba wziąć pod uwagę:
Pocztę elektroniczną email
Komunikatory wewnątrz firmowe i zewnętrzne (np. Messenger)
Programy księgowe, fakturujące i kadrowe
Aplikacje firmowych mediów społecznościowych (np. Facebook, Linkedin)
Systemy zarządzania treścią (firmowy CMS, WordPress)
Bazy danych i programy do ich tworzenia/obsługi
Systemy CRM

Nie ma natomiast sensu wymienianie w Instrukcji wszystkich programów ani urządzeń, z których korzystać będą pracownicy.

Jak określić kompetencje, które zawiera Instrukcja Zarządzania Systemami Informatycznymi?

Choć wydaje się to oczywiste, warto zastrzec, że Administrator Danych Osobowych (a więc właściciel firmy lub jej zarząd) ma pełne prawo wglądu we wszystkie firmowe systemy informatyczne i urządzenia – także udostępnione pracownikom.
Bardzo istotny jest też zakres kompetencji ABI oraz osoby kierującej działem IT i tym samym faktycznie przyznającej innym pracownikom dostępy/hasła/uprawnienia pozwalające korzystać z oprogramowania. W Instrukcji można zastrzec także szczególne kompetencje działu kadr czy księgowego.
Dostęp pozostałych pracowników do urządzeń i oprogramowania powinien być natomiast określony bardzo ogólnie, tak by nie utrudniać pracy, ani nie rozbudowywać nadmiernie biurokracji wewnątrz firmowej. Stosowanie zapisów zbyt szczegółowych, a zwłaszcza przypisywanie kompetencji do konkretnej osoby (Jan Iksiński) zamiast do stanowiska (specjalista ds. IT), może doprowadzić do stworzenia zapisu zbyt uciążliwego i w efekcie – martwego.

W Instrukcji warto więc zawrzeć informacje na temat tego:
Kto ma prawo przyznawać i odbierać dostęp do urządzeń i programów;
Jakie stanowiska mają dostęp do szczególnie istotnych danych osobowych;
W jaki sposób przyznaje się lub odbiera dostęp do urządzeń i programów.

Co zawrzeć w Instrukcji Zarządzania Systemami Informatycznymi?

Wszystkie informacje zawarte w poprzednich akapitach dotyczą obowiązków formalnych. Nie znając potrzeb konkretnej firmy, trudno wybrać optymalne rozwiązania pod względem praktycznym. Mimo to zawsze w Instrukcji warto zawrzeć
Nakaz zabezpieczania baz danych i dostępu do kluczowego oprogramowania hasłem;
Potrzebę wylogowywania się w przypadku opuszczenia stanowiska pracy i ponownego logowania po powrocie na nie;
Wymagania przedsiębiorstwa w zakresie szyfrowania informacji wewnątrz firmowych i w kontaktach z kontrahentami;
Zasady dotyczące wynoszenia poza teren firmy nośników danych i urządzeń elektronicznych je przechowujących;
Częstotliwość i sposób tworzenia kopii zapasowych (back-up);
Zasady przechowywania, zabezpieczania, i przywracania kopii zapasowych;
Zasady drukowania i przesyłania dokumentów elektronicznych;
Metody bezpiecznego przekazywania haseł dostępowych i kluczy kryptograficznych między pracownikami, jeśli zachodzi taka potrzeba.

W praktyce te same zasady warto stosować nie tylko do ochrony danych osobowych, ale też w celu zachowania tajemnicy handlowej i uniknięcia szpiegostwa gospodarczego.

Między teorią, a praktyką

Przygotowując Instrukcję Zarządzania Systemami Informatycznymi należy pamiętać, że przygotowanie dokumentu w stylu obietnic wyborczych (czyli w teorii idealnego systemu bezpieczeństwa, a w praktyce niemożliwego do wyegzekwowania) nie ma sensu. Zgodność z RODO i tak będzie sprawdzana głównie w firmach gdzie nastąpił wyciek danych, a wówczas urzędnicy zapytają o faktyczne, a nie jedynie formalne środki ochrony.
Lepiej więc stworzyć Instrukcję możliwą do zrealizowania i trzymać się jej. Żadna firma na świecie nie jest w stanie w 100% zapewnić bezpieczeństwa danych. Urzędnicy zdają sobie z tego sprawę i nie będą wymagać poziomu ochrony większego niż w przypadku podobnych przedsiębiorstw.

RODO – Zarys zagadnienia

Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy? (cz 2)

Artykuł ten stanowi część większego cyklu poświęconego ochronie danych osobowych. Jest kontynuacją tekstu Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy (cz 1)

Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy? (cz 2)

W poprzednim artykule odpowiedzieliśmy na kilka pytań związanych z przygotowaniem Polityki Bezpieczeństwa dla potrzeb Rozporządzenia o Ochronie Danych Osobowych. Jest to jednak zagadnienie rozbudowane, w którym mogą pojawić się kolejne wątpliwości.

1 Czy potrzebny jest Wykaz Zbiorów Danych Osobowych?

Zgodnie z obowiązującymi od 25 maja 2018 przepisami niezbędnym elementem Polityki Bezpieczeństwa – dokumentu przygotowywanego pod kątem ochrony danych osobowych, jest Wykaz Zbiorów Danych Osobowych. Nie można go pominąć, bez względu na wielkość firmy czy branżę, w której ona działa.

Należy więc koniecznie taki wykaz przygotować, czym zajmiemy się w jednym z kolejnych artykułów.

2 Jak określić obszar, w którym przetwarza się dane osobowe?

Obowiązek określenia miejsca, w którym przetwarza się dane osobowe, jest delikatnie rzecz biorąc, niedostosowany do aktualnego poziomu technologii, nie wspominając już o przyszłych rozwiązaniach. Korzystając z oprogramowania takiego jak Dropbox, Google Docs, korzystając chmury obliczeniowej, tak naprawdę przetwarzamy dane na serwerach firmy – producenta oprogramowania.
Czy zatem powinniśmy określić miejsce przechowywania danych jako „Hala serwerowa Google/Apple/Microsoft w [tu wstaw prawdopodobną lokalizację serwera, z którego dane mogą zostać w każdej chwili przeniesione na inny serwer bez Twojej wiedzy]?

Gdyby należało przedstawić sprawę zgodnie z prawdą, współczesne przedsiębiorstwo nie byłoby w stanie określić obszaru, w którym przetwarzane są dane osobowe. Niestety i na szczęście, chodzi jedynie o dokument dla potrzeb polskiej biurokracji.

Jako obszar, w którym przetwarzane są dane osobowe określamy więc siedzibę firmy – całą, ze wszystkimi podległymi oddziałami. Na pewno nie warto ograniczać obszaru do pojedynczych pomieszczeń, zwłaszcza jeśli choć jedno stanowisko pracy wyposażone w komputer miałoby znaleźć się poza tym obszarem.
Pracownik wystawiający fakturę może musieć wystawić ją dla osoby fizycznej i tym samym zebrać dane osobowe. Jeśli osoba ta kupi np. prezerwatywy, leczniczy materac, albo książkę o polityce, to będą to nawet dane wrażliwe.

Tylko co z pracownikami, którzy pracują w terenie z wykorzystaniem laptopa, tabletu, telefonu komórkowego? Przecież zapisując kontakt do poznanego na targach kontrahenta (imię, nazwisko, firma, nr telefonu – dane w 100% wystarczające do zidentyfikowania konkretnej osoby) – przechowują jej dane osobowe. Bardzo możliwe też, że przetwarzają je lub przesyłają do innych osób w firmie.

W braku odpowiedniego przepisu i orzecznictwa należy zaufać, że urzędnicy dokonujący kontroli zrozumieją, że określenie pełnego i dokładnego obszaru przetwarzania danych osobowych jest niemożliwe.

Warto natomiast dodać do obszaru listę przedsiębiorstw, którym powierza się dane osobowe np. swoich klientów.

3 Jak aktualizować Politykę Bezpieczeństwa w firmie?

Nawet jeśli na samym początku nie uda się uchwalić idealnej Polityki Bezpieczeństwa, nie jest to duży problem – można ją zaktualizować w każdej chwili, w ten sam sposób co została uchwalona.

Tak naprawdę warto założyć, że uchwalona Polityka Bezpieczeństwa nie jest dokumentem „ostatecznym i wiecznie trwałym”. Warunki techniczne zmieniają się wraz z postępem, a także rozwojem firmy.

Bardzo dobrym pomysłem jest przygotowanie PB w sposób ogólnikowy, a uszczegóławiać ją w razie potrzeby załącznikami.

4 Czy potrzebna jest Instrukcja Zarządzania Systemami Informatycznymi?

Najprostszy nawet program komputerowy jest traktowany jako „system informatyczny” w kontekście przepisów o ochronie danych osobowych. Excel, Access, Płatnik, Symfonia, Google Docs – to tylko niektóre przykłady.
W praktyce każda firma musi więc uwzględnić w ramach Polityki Bezpieczeństwa odpowiednią instrukcję. Jej przygotowaniem zajmiemy się w jednym z kolejnych artykułów.

Kolejne zagadnienia zostaną poruszone w bardziej szczegółowych artykułach.

Polityka Bezpieczeństwa (cz.2)

RODO – Zarys zagadnienia

Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy? (cz. 1)

Artykuł ten jest częścią większego cyklu, jest kontynuowany w części 2.

Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy? (cz. 1)

Rozporządzenie o Ochronie Danych Osobowych nakłada na przedsiębiorców obowiązek przygotowania i wdrożenia Polityki Bezpieczeństwa (PB) – ogólnego dokumentu określającego zasady zbierania, przechowania, przetwarzania i udostępniania danych osobowych w ramach działalności przedsiębiorstwa.
Emocje wywołane nadchodzącym wejściem w życie RODO spowodowały nagłe i mocno przesadzone zapotrzebowanie na szkolenia i szablony dotyczące Polityki Bezpieczeństwa. Jedynie najbardziej uczciwi spośród przygotowujących je potrafili przyznać, że coś takiego jak uniwersalna polityka bezpieczeństwa nie istnieje. Każda firma ma własną specyfikę i powinna przygotować Politykę Bezpieczeństwa w oparciu o własne potrzeby. Wbrew pozorom, nie jest to tak trudne, by nie móc zrobić tego samodzielnie. Spróbujmy przejść przez to wspólnie.

1 Kto i w jaki sposób określa Politykę Bezpieczeństwa?

W przypadku jednoosobowej działalności gospodarczej jedyną osobą władną uchwalić Politykę Bezpieczeństwa dotyczącą danych osobowych jest właściciel firmy. Powinien on przygotować, a potem wydrukować i podpisać dokument zatytułowany właśnie „Polityka Bezpieczeństwa”.
Teoretycznie nie ma zdefiniowanego obowiązku drukowania, podpisywania, ani nawet nadawania takiego właśnie tytułu, ale działania te ułatwią kontakt z ewentualnym przedstawicielem kontroli, przede wszystkim zaś będą niezbitym dowodem, że Polityka Bezpieczeństwa faktycznie została uchwalona.

Właściciel tworzy więc Politykę Bezpieczeństwa i wdraża ją w formie jednoosobowej decyzji.

W przypadku spółki potrzebna jest natomiast uchwała zarządu dotycząca Polityki Bezpieczeństwa, lub jednoosobowe rozporządzenie prezesa jeśli ma on pełną kontrolę nad firmą. W zależności od struktury organizacyjnej, większe przedsiębiorstwa mogą zdecydować, że Politykę Bezpieczeństwa powinna potwierdzić też np. rada nadzorcza.

2 Kiedy wdrożyć Politykę Bezpieczeństwa?

Ponieważ w małych przedsiębiorstwach bardzo trudno udowodnić kiedy faktycznie wdrożona została Polityka Bezpieczeństwa, pojawiły się przynajmniej 3 koncepcje, wszystkie oparte raczej o przewidywania reakcji kontroli niż sytuację rzeczywistą.
PB uchwalona i wdrożona z dniem 25 maja 2018, a więc równo z wejściem RODO – W sumie dobry pomysł, choć według niektórych naraża firmę na zarzut niewłaściwego przechowywania danych przed tą datą.
PB uchwalona i wdrożona niedługo przed 25 maja z cichym założeniem, że faktycznie firma będzie się do niej stosować po wejście w życie RODO – podobnie jak wyżej.
PB uchwalona i wdrożona z datą wsteczną i to przynajmniej o kilka lat – Nieudolna i niezbyt zasadna próba udowodnienia, że PB istniała w firmie od zawsze i zawsze też przestrzegano poprzednich przepisów.

W praktyce na podstawie RODO nie można ukarać firmy za niedociągnięcia w ochronie danych osobowych powstałe przed 25 maja 2018. Wykorzystuje się wówczas starsze przepisy, które nakładały obowiązek, ale nie groziły sankcjami w przypadku jego niedopełnienia.

Politykę Bezpieczeństwa należy więc mieć wdrożoną 25 maja 2018, a potem można ją w dowolnym momencie zmienić w tym samym trybie w jakim została uchwalona i wdrożona.

3 Czy powtarzać definicje ustawowe?

W Polityce Bezpieczeństwa z konieczności posługujemy się terminami i określeniami właściwymi dla tego zagadnienia. Część z nich to terminy techniczne lub prawnicze, odległe od potocznego rozumienia. Przedsiębiorca ma możliwość:
Przepisać definicje ustawowe odpowiednich określeń do swojej Polityki Bezpieczeństwa – znacznie wydłuża to dokument, ale może ułatwić jego zrozumienie bez sięgania do rozporządzenia.
Odesłać w tekście PB do odpowiednich przepisów (RODO lub inne akty prawne) – dokument będzie krótszy i bardziej zwarty, ale nie całkiem zrozumiały dla osoby nie znającej rozporządzenia.
Napisać własne definicje, prawdopodobnie uszczegóławiając w ten sposób zapisy ustawowe i dopasowując je do potrzeb firmy – może to być zasadne rozwiązanie, które pozwoli stworzyć zwarty i zrozumiały dokument, ale warto w takiej sytuacji skorzystać z pomocy prawnika lub przynajmniej polonisty by uniknąć nieporozumień.

Na pewno nie powinno się używać określeń definiowanych ustawowo w znaczeniu innym niż w przepisach, bez właściwego ich zdefiniowania na nowo.

4 Czy wyznaczyć Administratora Bezpieczeństwa Informacji?

Administrator Bezpieczeństwa Informacji (ABI, nie mylić z Administratorem Danych Osobowych) to wyznaczona w przedsiębiorstwie osoba, która ma: nadzorować wykonywanie Polityki Bezpieczeństwa, informować i szkolić innych pracowników z zakresu ochrony danych osobowych, sprawdzać czy inni pracownicy przestrzegają PB.
Nie ma obowiązku wyznaczania ABI. Jeśli ABI nie zostanie wyznaczony jego rolę i obowiązki pełni właściciel firmy (lub jej zarząd). O ile często w najmniejszych przedsiębiorstwach faktycznie sam właściciel wykonuje obowiązki ABI, o tyle w większych przedsiębiorstwach powinien tę rolę komuś powierzyć. Przeważnie ABI zostaje kierownik, asystent lub specjalista ds. IT, ale nie ma przeciwwskazań by funkcję ABI pełnił np. księgowy.
W przypadku spółek prawa handlowego wyznaczenie ABI jest znacznie bardziej potrzebne, zwłaszcza jeśli kieruje nimi zarząd wieloosobowy.

Warto pamiętać, że ABI (jeśli nie jest nim właściciel, prezes, lub zarząd łącznie) nie odpowiada za naruszenie przez firmę Rozporządzenia o Ochronie Danych Osobowych.

5 W jaki sposób i kogo upoważniać do przetwarzania danych osobowych?

Każdy pracownik mający na co dzień do czynienia z danymi osobowymi innych osób (klientów, pracowników, kontrahentów, innych – w zależności od branży) powinien otrzymać odpowiednie upoważnienie.
Nie ma wymagań formalnych co do jego formy, zdecydowanie lepiej jednak wybrać formę pisemną. Dla potrzeb dowodowych wydrukowany i podpisany przez osobę uprawnioną dokument papierowy, lub wiadomość elektroniczna (email, wiadomość wewnątrzfirmowa) bedą znacznie mocniejsze niż upoważnienie ustne.
Nadać upoważnienie do przetwarzania danych może Administrator Danych Osobowych (właściciel firmy, jej zarząd, niekiedy prezes jednoosobowo). Ma on również możliwość wyznaczyć osoby uprawnione do nadawania upoważnienia w jego imieniu.
W Polityce Bezpieczeństwa należy określić: kto upoważnia, w jakiej formie, na jaki czas i czy upoważnienie dotyczy wszystkich danych przetwarzanych przez firmę (np. pracownik kadr może dostać upoważnienie do przetwarzania danych pracowników i osób biorących udział w rekrutacji, ale nie klientów).

6 Jak wyznaczyć obowiązki Administratora Bezpieczeństwa Informacji?

ABI, a w jego braku właściciel firmy, zarząd lub prezes zobowiązani są przeprowadzać kontrolę wewnętrzną dotyczącą przestrzegania Polityki Bezpieczeństwa. W PB należy określić:
Jak często ma być przeprowadzana kontrola? (nie częściej niż co kwartał, ale nie rzadziej niż co rok)
W jaki sposób przeprowadzana ma być kontrola?
Co podlega kontroli?
W jaki sposób sporządza się protokół z kontroli wewnętrznej?
Kto podpisuje protokół?
Gdzie przechowywany jest protokół?

Obowiązek protokołowania wydaje się nieco absurdalny w przypadku firm jednoosobowych nie zatrudniających pracowników (właściciel sam się kontroluje i sporządza z tego protokół?).

7 Co robić w przypadku naruszenia PB?

W Polityce Bezpieczeństwa powinny być określone środki zaradcza, które zostaną zastosowane w przypadku złamania zasad Polityki Bezpieczeństwa i naruszenia praw osób, których dane są chronione. Podobnie jak w kilku poprzednich przypadkach, właściwie niemożliwe jest tu określenie sztywnego szablonu postępowania. Ogólnie w PB należy zawrzeć nakaz zminimalizowania szkód i zgłoszenia naruszenia RODO.

Artykuł jest częścią większego cyklu poświęconego RODO. W kolejnych zostaną omówione pozostałe zagadnienia związane z ochroną danych osobowych.

 

RODO – zarys zagadnienia

Polityka Bezpieczeństwa (cz.2)

RODO – problem dla małej firmy?

Artykuł ten jest częścią większego cyklu wyjaśniającego zagadnienia związane z ochroną danych osobowych. Zdecydowałam się je umieścić ze względu na dużą ilość pytań związanych z RODO.

RODO czyli problem dla małej firmy

Małe i średnie przedsiębiorstwa na równi z korporacyjnymi gigantami zobowiązane są do przestrzegania Rozporządzenia o Ochronie Danych Osobowych (RODO). Z jednej strony należy cieszyć się, że nasze dane będą lepiej zabezpieczone, z drugiej jest to kolejny obowiązek, któremu muszą podołać przedsiębiorstwa sektora MSP.

Kogo dotyczy RODO?

Rząd obiecywał ułatwienia dla małych i średnich firm, faktycznie jednak nie powinniśmy się takich spodziewać. Być może pojawią się symboliczne możliwości, które raczej zagmatwają całą sprawę niż w istotny sposób zmniejszą obowiązki pracodawcy. Polska jest w tej kwestii związana przepisami UE i nie może zaniżać standardów ochrony.
W aktualnej sytuacji prawnej zakładamy, że Rozporządzenie dotyczy wszystkich przedsiębiorstw, a także organów państwowych, samorządowych i organizacji pozarządowych. Każda firma musi uwzględnić RODO.

Jakie dane są chronione rozporządzeniem?

W praktyce ochronie podlegają każde dane umożliwiające identyfikację osoby fizycznej. Oznacza to każdy dokument na którym zawarte są:
Imię i nazwisko;
Numer PESEL;
Zdjęcie umożliwiające identyfikację;
Połączenie innych danych umożliwiające przypisanie ich do konkretnej osoby – choćby adres email, podpisane oświadczenie, konto na portalu społecznościowym, numer telefonu, rejestracja prywatnego samochodu.

Wyjątki mogą natomiast dotyczyć sytuacji gdy dane są powszechnie znane (przykładowo sam zainteresowany umieścił je na swojej stronie www) lub dotyczą nie tyle osób co grup lub organizacji (dane statystyczne, kapitał firmy itp.).

Czyje dane są chronione?

RODO nie dookreśla grupy osób, które korzystają z ochrony, należy więc uznać, że dotyczy ono wszystkich. W przypadku większości przedsiębiorstw będzie to oznaczać głównie:
Pracowników;
Osoby kandydujące do pracy;
Kontrahentów i dostawców;
Klientów.

Lista ta będzie rozszerzona w przypadku prowadzenia działalności związanej z tworzeniem, obróbką i przetwarzaniem danych.
Przykładowo fotograf weselny będzie mieć obowiązek chronienia danych gości weselnych, których fotografował, a przedsiębiorca prowadzący call center – osób ankietowanych.

Ochrona danych nie jest absolutna i pewne dane mogą być udostępniane np. w ramach wolności prasy, wolności słowa czy nawet zasadnego interesu firmy. Mówi się o „wyważeniu” pomiędzy ochroną danych osobowych, a innymi prawami.

Jak chronić dane by pozostać w zgodzie z prawem?

Co ciekawe, w stosunku do poprzednio obowiązujących przepisów, w RODO nie próbowano doprecyzować szczegółów technicznych ochrony danych osobowych. Administratorzy danych osobowych mają dużą dowolność, ale i równą jej odpowiedzialność.

Na pewno warto przygotować wewnątrz firmowy dokument dotyczący Polityki Bezpieczeństwa przedsiębiorstwa. Dokument taki powinien zostać przedstawiony wszystkim pracownikom. Po zapoznaniu się z nim, pracownicy powinni podpisać zobowiązanie się do przestrzegania zasad tam ustalonych. Reguły te w równym stopniu obowiązywać będą także właściciela firmy.
Dalsze istotne czynności formalne będą już dotyczyły konkretnych sytuacji i tak na przykład:

Powierzając dane podwykonawcy należy zawrzeć z nim umowę powierzenia / podpowierzenia danych osobowych.
Jeśli w firmie kontakt z chronionymi danymi ma część pracowników – należy pisemnie upoważnić ich do przetwarzania danych osobowych.
Prowadząc rekrutację wolno uwzględniać jedynie CV/listy motywacyjne z umieszczoną klauzulą zezwolenia na przechowywanie i obróbkę danych osobowych dla celów rekrutacji.
Należy informować (choćby w regulaminie portalu, komunikacji mailowej), że przechowuje się dane osobowe danej osoby i że ma ona prawo do wglądu w nie, poprawienia błędów lub usunięcia danych.
Na życzenie danej osoby należy ujawnić jej jakie dane o niej są przechowywane przez firmę – warto więc przygotować sobie odpowiednie szablony dokumentów elektronicznych.
Należy prowadzić listę lub ewidencję przekazywanych danych (np. do doradcy podatkowego, podwykonawcy, urzędu).

Artykuł stanowi część pierwszą cyklu, kolejne pojawią się wkrótce.

Polityka bezpieczeństwa (cz. 1)

Polityka bezpieczeństwa (cz.2)

Instrukcja Zarządzania Systemami Informatycznymi

Umowa powierzenia danych

Upoważnienie pracownika do przetwarzania danych

Faktura – różne rodzaje i jeszcze różniejsze przepisy (część I)

Orzeł i faktura

W polskiej rzeczywistości cały czas spotykasz się z fakturami. Wystawiasz je, ale też otrzymujesz, płacisz, księgujesz i przechowujesz. Bywa też, że popełniasz błędy wynikające z nieznajomości przepisów. Nic dziwnego. Jest u nas tak wiele różnych typów faktur, że niekiedy trudno się połapać. Warto więc przynajmniej poznać podstawy.

Czytaj dalej