Samochód osobowy do użytku służbowego i prywatnego w 2019

Samochód osobowy do użytku służbowego i prywatnego w 2019

Ten artykuł jest częścią większej całości. Przedstawia stan prawny na dzień 1 stycznia 2019
Przedsiębiorca, prowadzący jednoosobową działalność gospodarczą może zarówno używać samochodu firmowego na cele prywatne, jak i prywatnego na cele służbowe. Sytuacje te różnią od siebie bardzo poważnie. Warto więc przyjrzeć się obu możliwościom by jak najlepiej rozliczyć samochód osobowy do użytku służbowego i prywatnego.

Założenia – samochód osobowy do użytku służbowego i prywatnego

W tym artykule rozważamy sytuację, w której przedsiębiorca prowadzący firmę we własnym imieniu lub jako wspólnik spółki cywilnej, potrzebuje samochodu osobowego. Chce to auto wykorzystywać zarówno na cele prywatne, jak i służbowe. Wiemy, że ma do wyboru dwie możliwości – wciągnąć samochód do ewidencji środków trwałych lub traktować auto jako prywatne, ale odliczać część związanych z nim kosztów.

Samochód osobowy do użytku służbowego i prywatnego jako środek trwały

Przedsiębiorca, który nabył samochód osobowy, może wprowadzić go do działalności gospodarczej. Służy temu wciągniecie samochodu osobowego do ewidencji środków trwałych, co opisane zostało w jednym z pozostałych artykułów cyklu. Można wciągnąć do ewidencji nawet samochód, który zakupiło się wcześniej jako osoba prywatna, nawet przed założeniem działalności. Trzeba być tylko jego właścicielem (lub leasingobiorcą w leasingu finansowym).
Wykorzystując samochód osobowy do użytku służbowego i prywatnego, można:
– Rozliczyć wartość samochodu w ramach odpisów amortyzacyjnych,
– Odliczać od wszystkich kosztów eksploatacyjnych 50% zapłaconego VAT;
– 75% pozostałej części VAT-u i 75% kwoty netto kosztów eksploatacyjnych zaliczać do kosztów uzyskania przychodu.
Wada takiego rozwiązania jest jedna – jeśli sprzeda się samochód osobowy przed zakończeniem amortyzacji to trzeba oddać proporcjonalną część podatku VAT, do tej pory odliczonego. Ponadto sprzedając samochód osobowy trzeba wystawić FV, a więc też zapłacić podatki dochodowy i VAT.

Prywatny samochód osobowy do użytku służbowego i prywatnego

Przedsiębiorca może używać swojego samochodu prywatnego na cele służbowe. Nie wprowadza go do ewidencji środków trwałych, ani nie zgłasza do urzędu skarbowego. Po prostu zbiera dowody poniesionych kosztów eksploatacyjnych (paliwo, naprawy, parkingi itp.) i na ich podstawie dokonuje odliczeń podatkowych. Od 1 stycznia 2019 odliczyć może na prawdę niewiele.
Przepisy pozwalają na odliczenie 50% faktycznie zapłaconego podatku VAT związanego z kosztami eksploatacyjnymi.
Z pozostałej kwoty (połowa VAT-u i kwota netto), przedsiębiorca może jedynie 20% wpisać w koszty uzyskania przychodu.
Nie ma możliwości rozliczenia w ramach działalności gospodarczej ceny samego samochodu.
Użycie prywatnego samochodu na cele firmowe ma pewne zalety, ale znacznie mniejsze niż przed rokiem 2019. Sprzedając taki samochód nie trzeba doliczać podatku VAT, więc sprzedaje się samochód taniej i łatwiej znaleźć nabywcę. W momencie sprzedaży nie trzeba też zwracać odliczonych wcześniej od podatku odpisów amortyzacyjnych.

Co zmieniło się 1 stycznia 2019?

Do końca roku 2018, prywatny samochód osobowy przedsiębiorcy rozliczało się na podstawie Ewidencji Przebiegu Pojazdu. Była ona tak skonstruowana, że możliwe było odliczenie nawet 100% faktycznie poniesionych kosztów eksploatacyjnych, a przynajmniej ich głównej części – paliwa. Aktualnie odległość jaką faktycznie przejechał przedsiębiorca w celach służbowych, nie ma znaczenia. Może zapisać w koszty uzyskania przychodu jedynie 20% faktycznie poniesionych wydatków.
Aktualnie mając możliwość wciągnąć samochód osobowy do ewidencji środków trwałych, w zdecydowanej większości przypadków opłaca się to zrobić. Rozliczanie prywatnego samochodu osobowego w ramach działalności gospodarczej znacznie straciło na atrakcyjności. Główną zaletą takiego rozwiązania pozostaje możliwość sprzedania samochodu bez VAT.

Jeśli chcesz dowiedzieć się więcej na temat rozliczania samochodów osobowych w firmie, zapoznaj się z artykułami dotyczącymi: Amortyzacji samochodów osobowych, Kosztów eksploatacji, oraz Porównania form własności i nabycia samochodu,

Zakup samochodu na firmę i inne formy nabycia – samochód osobowy na firmę w 2019 r.

Nabycie samochodu osobowego na firmę

Nabycie samochodu osobowego na firmę w 2019 – możliwości przedsiębiorcy

Artykuł stanowi część większej całości. Przedstawia stan prawny na 1 stycznia 2019.

Zakup samochodu na firmę i inne formy nabycia – samochód osobowy na firmę w 2019 r.

Artykuł stanowi część większej całości. Przedstawia stan prawny na1 stycznia 2019.
Zakup samochodu na firmę lub wzięcie go w leasing istotnie wpływa na obowiązki podatkowe i możliwość dokonania odliczeń. Samochód osobowy na firmę można kupić za własne środki lub na kredyt, wziąć w leasing operacyjny lub finansowy, wynająć lub wydzierżawić. Warto więc zastanowić się nad decyzją.

Leasing, wynajem i zakup samochodu na firmę – założenia artykułu

Poniżej przedstawimy możliwości jakie ma przedsiębiorca, który potrzebuje samochodu osobowego w firmie. Założymy, że przedsiębiorca zamierza używać samochodu firmowego także na cele prywatne, ale z góry wyklucza odwrotną sytuację czyli korzystanie z samochodu prywatnego na cele służbowe. Tym zagadnieniem zajmiemy się w odrębnym artykule.

Zakup samochodu na firmę – faktura VAT

Na FV VAT można kupić jedynie od innego podatnika VAT (firmy, organizacji). Można kupić zarówno samochód nowy, jak i używany. W momencie zakupu trzeba zapłacić całą kwotę netto i VAT. Od razu można odliczyć 50% zapłaconego VAT-u. Resztę VAT-u i całą kwotę netto można rozliczyć w ramach odpisów amortyzacyjnych przez 5 lat (nowe samochody) lub 2,5 roku (używane wcześniej min. 6 miesięcy).

Zakup samochodu na firmę od osoby fizycznej

Od osoby fizycznej można kupić jedynie samochód używany. W momencie zakupu trzeba zapłacić całą kwotę netto i podatek od czynności cywilnoprawnych (PCC) równy 2% wartości netto. Nie ma żadnego VAT-u, więc przedsiębiorca go nie płaci, ani nie odlicza. Całą kwotę netto rozlicza w ramach odpisów amortyzacyjnych. Jeśli samochód był używany przez poprzednich właścicieli co najmniej 6 miesięcy, można go zamortyzować w 2,5 roku, jeśli krócej – w 5 lat.

Zakup samochodu na firmę – VAT marża

Fakturę VAT-marża może wystawić jedynie firma, która kupiła samochód w celu jego odsprzedaży. Handel samochodami nie musi być jej główną działalnością. W fakturze VAT-marża dolicza się VAT jedynie do prowizji, nie zaś całej kwoty, więc kupujący płaci tego VAT-u znacznie mniej. Nie może natomiast dokonać odliczenia VAT. Całą zapłaconą kwotę (netto + prowizja + VAT od prowizji) rozlicza za pomocą odpisów amortyzacyjnych. Jeśli samochód był używany przez co najmniej 6 miesięcy, można go zamortyzować w 2,5 roku.

Zakup samochodu osobowego na kredyt

Kupując samochód osobowy na kredyt, płaci się jego cenę w miesięcznych ratach. Wszystkie koszty (kwotę netto, prowizje bankowe, odsetki) można rozliczyć w ramach odpisów amortyzacyjnych. Maksymalna kwota jaką można w danym czasie zamortyzować, nie może przekroczyć faktycznie poniesionych do tego czasu kosztów.
W pozostałych kwestiach, zakup na kredyt jest zakupem na FV VAT, na FV-marżę, lub zakupem od osoby fizycznej.

Leasing finansowy – nabycie samochodu na firmę z możliwością amortyzacji

Zakup samochodu osobowego na firmę i wzięcie tego samochodu w leasing finansowy są do siebie bardzo podobne. Można wziąć w leasing samochód nowy lub używany. W momencie zakupu płaci się całą kwotę VAT i ustaloną ratę leasingową. Właścicielem pozostaje leasingodawca, ale to przedsiębiorca dokonuje odliczeń i odpisów amortyzacyjnych. Można odliczyć od razu 50% zapłaconego VAT-u. Pozostały VAT i całą kwotę netto (wraz z prowizjami i odsetkami za leasing) można rozliczyć w ramach odpisów amortyzacyjnych w ciągu 5 lat (nowe samochody) lub 2,5 roku (samochody używane wcześniej przez 6 miesięcy).

Leasing operacyjny – nabycie samochodu na firmę rozliczane kosztowo

Można wziąć w leasing samochód nowy lub używany. Zarówno kwotę netto, jak i VAT płaci się na raty. Każdą ratę można rozliczać (odliczać 50% VAT, a resztę VAT i kwotę netto traktować jako koszt uzyskania przychodu) w okresie, w którym się ja zapłaciło pod warunkiem, że całkowity okres spłat rat leasingowych nie jest krótszy niż 2 lata. Amortyzacja nie występuje.
Warto pamiętać, że np. opłaty dodatkowe za serwis są traktowane jako koszty eksploatacji. To znaczy, że po odliczeniu 50% VAT, z pozostałej kwoty tylko 75% staje się kosztem uzyskania przychodu. Oznacza to, że jeśli w umowie leasingu operacyjnego wyszczególniono 2 oddzielne pozycje: ratę i opłaty serwisowe, to te drugie są kosztem eksploatacji, a nie nabycia.

Najem i dzierżawa samochodu na firmę

Najem i dzierżawa są umowami podobnymi do leasingu operacyjnego i należy założyć, że można odliczać 50% faktycznie zapłaconego VAT-u, a pozostały VAT i kwotę netto zaliczać w koszty uzyskania przychodu.
Najmując lub dzierżawiąc samochód od osób fizycznych nie płaci się VAT-u, ani nie odlicza go.

Zakup samochodu na firmę – co się opłaca?

Porównywanie opłacalności jest bardzo trudne gdy nie zna się konkretnego przypadku. Różne formy nabycia stawiają przed sprzedającym i kupującym dodatkowe wymagania. Przykładowo jeśli przedsiębiorca nie ma aktualnie środków, to nie będzie zastanawiał się nad kupieniem samochodu za gotówkę. Jeśli chce kupić Renault Megane, to może się okazać, że akurat tego modelu nie ma w ofercie pośredników sprzedających na VAT-marżę. Lepiej każdy przypadek potraktować oddzielnie, pewne wnioski można jednak wyciągnąć.
– Porównując zakup samochodu na firmę: na VAT-marżę i od osoby fizycznej, łatwo stwierdzić, że ten pierwszy opłaca się bardziej ponieważ nie trzeba płacić 2% PCC, a pozostałe rozliczenia są identyczne. Jeśli cena jest taka sama, wybieramy VAT-marżę.
– Porównując zakup na kredyt i leasing finansowy w praktyce należy się kierować kosztami leasingu/kredytu. W razie identycznych kosztów, minimalną przewagę zyskuje bank. Wynika to z faktu, że jeśli nie uda nam się spłacić rat w czasie, to bank będzie bardziej skłonny do negocjacji niż leasingodawca.
– Porównując leasing operacyjny z możliwością wykupu i leasing finansowy/zakup na kredyt trzeba wziąć pod uwagę ważną kwestię. Jeśli kupuje się samochód nowy, to można go zamortyzować dopiero po 5 latach (zakup, leasing finansowy), albo rozliczyć w ramach kosztów już po 2 latach (odpowiednio sformułowana umowa leasingu operacyjnego).

Jeśli interesują Cię powiązane tematy, możesz zapoznać się z nimi w artykułach o amortyzacji, kosztach eksploatacji, i samochodach prywatnych w firmie.

Jak amortyzować samochód osobowy?

Jak amortyzować samochód osobowy?

Ten artykuł jest częścią większej całości. Przedstawia stan prawny na dzień 1 stycznia 2019.

Zakup samochodu osobowego to spory koszt, który warto by odliczyć od podatku. Można to zrobić jedynie na raty, za pomocą tak zwanych odpisów amortyzacyjnych. Od stycznia 2019 zmieniają się jednak limity dotyczące amortyzacji. Warto więc zapoznać się z przepisami i sprawdzić jak amortyzować samochód osobowy, a także przypomnieć sobie związane z tym możliwości.

Co to jest samochód osobowy w rozumieniu przepisów podatkowych?

Wiemy czym jest samochód osobowy w potocznym rozumieniu, ustawy jednak posługują się własnym językiem. Dlatego przypominamy, że samochód osobowy, nie może:
– Mieć dopuszczalnej masy powyżej 3,5 tony,
– Być przeznaczony do przewozu więcej niż 10 osób (razem z kierowcą),
– Posiadać funkcjonalnie oddzielonej części towarowej i kabiny z jednym rzędem siedzeń,
– Posiadać otwartej części przeznaczonej do przewozu ładunków,
– Być zakwalifikowany na podstawie odrębnych przepisów jako samochód ciężarowy, van, lub pojazd wielozadaniowy,
– Być wyposażony w: ładowarkę, dźwig, koparkę, agregat spawalniczy, podnośnik do prac na wysokości, żuraw samochodowy, inne urządzenia budowlane i remontowe.
Definicja jest uciążliwa, ponieważ tak na prawdę mówi, że samochodem osobowym jest samochód, którego nie da się zaliczyć jako autobusu, ciężarówki, samochodu roboczego lub specjalnego. To co pozostało to samochody osobowe.
Warto pamiętać, że wstawienie kratki do samochodu osobowego nie czyni z niego ciężarówki. Przepisy „o kratkach” nie obowiązują już od ponad 10 lat, a niektórzy wciąż pytają…

Jak amortyzować samochód osobowy – obowiązki formalne

Amortyzować można tylko samochody osobowe, które zostały zakupione legalnie przez przedsiębiorstwo i wciągnięte przez nie do ewidencji środków trwałych. Każdy samochód jeśli jest sprawny, może być środkiem trwałym, bez względu na cenę.
Wpisując samochód do ewidencji środków trwałych, trzeba dokonać wyceny jego wartości początkowej. Wartość początkowa nie jest równoznaczna z rzeczywistą kwotą za jaką kupiło się samochód! Ta druga jest tylko częścią pierwszej.
Wartość początkowa dla potrzeb amortyzacji składa się z:
– Kwoty zapłaconej za samochód ALBO wartości rynkowej samochodu, jeśli otrzymało się go bezpłatnie (lub za częściową odpłatnością);
– Wszystkich kosztów poniesionych w związku z samochodem od jego zakupu do wprowadzenia do ewidencji środków trwałych. W tej kategorii znajdują się np. opłaty za wydanie rejestracji, naprawy samochodu który był niezdatny do użytku, holowanie pojazdu od miejsca zakupu itp.
Koszty te zbiera się razem i sumuje, otrzymując wartość początkową dla potrzeb amortyzacji.
Przykład
Pan Odważny kupił samochód osobowy z niesprawnym układem hamulcowym za 25 000 zł, zapłacił za transport samochodu na lawecie 500 zł, 100 zł za ubezpieczenie w drodze, 180,50 zł za rejestrację pojazdu i 1000 zł za wymianę hamulców. Wartość początkowa dla potrzeb amortyzacji wyniesie:
25 000 + 500 + 100 + 180,05 + 1000 = 26 780,50 zł. Właśnie taką kwotę będzie można zamortyzować.

Jak amortyzować samochód osobowy – limity i metody amortyzacji

W zależności od wartości początkowej i sposobu rozliczania różny jest czas w jakim można dokonać odpisów amortyzacyjnych.
Jeśli samochód ma wartość początkowo do 10 000 zł, to nie trzeba dokonywać amortyzacji. Zamiast tego można potraktować całą kwotę jako jednorazowy koszt uzyskania przychodu.
Przykład
Pani Oszczędna kupuje w styczniu 2019 na firmę używany samochód osobowy. Łączna wartość początkowa wynosi 8 800 zł. Oznacza to, że już w lutym 2019 Pani oszczędna może zmniejszyć podstawę opodatkowania o 8 800 zł i potraktować samochód jak każdy koszt.

 

Jak dokonać standardowej amortyzacji?

Jeśli samochód ma wartość od 10 000 zł do 150 000 zł, a samochód elektryczny nawet do 225 000 zł, przedsiębiorca może:

– Dokonać amortyzacji liniowej, czyli rozłożyć okres rozliczenia na 5 lat. W ten sposób rozlicza się 20% wartości początkowej rocznie.
Przykład
Pan Cierpliwy kupuje w styczniu 2019 roku samochód osobowy. Łączna wartość początkowa wynosi 60 000 zł. W rozliczeniu za rok 2019 (czyli w 2020) może dokonać odpisu amortyzacyjnego w wysokości 60 000 x 20% = 12 000 zł. Może też rozłożyć odpis roczny na raty miesięczne i co miesiąc dokonywać odpisu w wysokości 1000 zł.
– Dokonać amortyzacji indywidualnej, czyli samodzielnie wybrać okres rozliczenia w granicach ustawowego limitu. W przypadku samochodów osobowych można to zrobić tylko wówczas gdy kupiło się samochód używany, LUB zainwestowało w jego usprawnienie przed wprowadzeniem do ewidencji środków trwałych min. 20% ostatecznej wartości początkowej.
Wybierając amortyzację indywidualną najlepiej wybrać możliwie najkrótszy okres amortyzacji. W przypadku samochodów osobowych jest to 30 miesięcy (2,5 roku).
Przykład
Pani Ambitna kupuje w styczniu 2019 używany samochód do firmy. Łączna wartość początkowa wynosi 60 000 zł. Pani Ambitna wybiera minimalny okres amortyzacji – 30 miesięcy. W rozliczeniu za ten miesiąc może odliczyć 60 000 / 30 = 2 000 zł. Jeśli dokonuje rocznych odpisów amortyzacyjnych to w rozliczeniu za rok 2019 (czyli w roku 2020) odliczy 2 000 x 12 = 24 000 zł.

Jak amortyzować samochód osobowy powyżej 150 000 zł?

Po przekroczeniu ustawowego limitu 150 000 zł (225 000 zł dla samochodów elektrycznych) można wykorzystać obie przedstawione wyżej metody amortyzacji, ale zamortyzować można tylko część kwoty. W praktyce wartość początkową i wysokość odpisów amortyzacyjnych ustala się standardowo, natomiast kosztem uzyskania przychodu jest tylko owe 150 000 zł.
Przykład
Pan Zamożny kupił samochód osobowy w styczniu 2019. Wartość początkowa wyniosła 200 000 zł.
Może z tego zamortyzować 150 000 zł czyli 75%. Wybiera metodę liniową. W rozliczeniu za rok 2019 może dokonać odpisu w wysokości: 200 000 zł x 20% = 40 000 zł. W koszty zapisze 75% tego czyli 30 000 zł.
Wiesz już jak amortyzować samochód osobowy. Jeśli interesują Cię powiązane tematy, możesz zapoznać się z nimi w artykułach o: samochodach prywatnych w firmie, nabyciu samochodów do firmy i rozliczeniu kosztów.

Jak odliczyć koszty eksploatacji samochodu osobowego w 2019?

Jak odliczyć koszty eksploatacji samochodu osobowego w 2019?

Ten artykuł jest częścią większej całości. Przedstawia stan prawny na dzień 1 stycznia 2019 roku.

1 stycznia 2019 zmieniają się przepisy dotyczące rozliczeń samochodów w firmach. Warto już teraz wiedzieć jak odliczyć koszty eksploatacji samochodu osobowego w 2019. Przy okazji przypominamy także te regulacje, które się nie zmieniły.

Czym jest koszt eksploatacji samochodu osobowego?

By odliczyć koszty eksploatacji samochodu, najpierw trzeba je ponieść. Odliczeniu podlegają tylko te wydatki, które przedsiębiorca faktycznie poniósł i może to udowodnić za pomocą odpowiedniego dokumentu (faktury, rachunku, umowy). Ponadto koszty muszą być powiązane z samochodem osobowym i dotyczyć jego eksploatacji. Będą nimi na pewno takie wydatki jak:
– zakup paliwa,
– naprawy i usługi serwisowe,
– wymiana części,
– opłaty za myjnię, czyszczenie klimatyzacji,
– opłaty parkingowe,
– ubezpieczenie (OC, AC) .
Te koszty eksploatacji samochodu w mniejszym lub większym stopniu można odliczyć. Nie można natomiast zaliczyć w koszty:
– mandatów i kosztów odholowania przez policję,
– usprawnień samochodu (tuningu),

Kto i w jakiej sytuacji może odliczyć koszty eksploatacji samochodu osobowego?

Przedsiębiorca ma prawo dokonać odliczenia kosztów poniesionych w związku z eksploatacją pojazdu gdy:
– Korzysta z własnego samochodu osobowego na cele służbowe.
– Korzysta z samochodu firmowego na użytek prywatny i służbowy.
– Korzysta z samochodu firmowego wyłącznie na cele służbowe.
Szczególnym przypadkiem jest sytuacja gdy pracownik korzysta z własnego samochodu na cele służbowe pracodawcy. We wszystkich pozostałych wypadkach nie ma znaczenia czy koszty eksploatacji samochodu osobowego wynikają z działań samego pracodawcy czy jego pracowników.
Niżej znajdziesz zasady rozliczania kosztów eksploatacji samochodów osobowych w różnych przypadkach.

Prywatny samochód osobowy wykorzystany na cele służbowe

Przedsiębiorca prowadzący jednoosobową działalność gospodarczą, a także wspólnik spółki cywilnej, zawsze mogą wykorzystać swój samochód prywatny na cele służbowe. Nie musi go zgłaszać do urzędu skarbowego, ani prowadzić dokładnej dokumentacji podróży służbowych.
Musi jedynie zebrać dowody poniesienia kosztów eksploatacji samochodu osobowego czyli faktury za paliwo, naprawy, parkingi itp.
Po pierwsze przedsiębiorca może odliczyć 50% zapłaconego podatku VAT.
Po drugie, 20% pozostałej kwoty (którą jest 100% netto i 50% VAT) przedsiębiorca może zaliczyć w koszty uzyskania przychodu i w ten sposób zmniejszyć podstawę PIT.
Od 1 stycznia 2019 nie trzeba prowadzić kilometrówki (ewidencji przebiegu pojazdu)
Przykład:
Pani Przedsiębiorcza ma prywatny samochód osobowy, którego okazjonalnie używa też do pracy. W styczniu 2019 wydaje 1000 zł netto (+230 zł VAT) na paliwo i naprawy. Łącznie płaci 1 230 zł. Rozlicza koszty za styczeń. Najpierw odlicza połowę (50%) VAT czyli 115 zł. Tyle może odliczyć bezpośrednio od podatku należnego.
Pozostaje jej kwota 1000 zł + 115 zł czyli 1115 zł. 20% z niej czyli 223 zł może zaliczyć w koszty uzyskania przychodu. W zależności od stawki podatku jaki ją obowiązuje, odliczy: 40,14 zł (18%), lub 71,36 zł (32%) od PIT.

Samochód służbowy na cele prywatne i służbowe

Jeśli samochód został wpisany do ewidencji środków trwałych przedsiębiorstwa, nie jest już traktowany jako samochód prywatny, ale wciąż można go na cele prywatne wykorzystać.
Bez względu na to jak auto jest wykorzystywane, zawsze można odliczyć koszty koszty eksploatacji samochodu osobowego w części określonej przez ustawę. Oczywiście trzeba zebrać dowody poniesienia wydatków, czyli faktury.
Potem można odliczyć 50% zapłaconego podatku VAT.
75% pozostałej kwoty (która jest 100% netto i 50% VAT) można zaliczyć w koszty uzyskania przychodu i w ten sposób zmniejszyć podstawę opodatkowania PIT.
W tym wypadku także nie obowiązuje kilometrówka.
Przykład:
Pan Rozsądny kupił samochód na firmę i wpisał go do ewidencji środków trwałych. Używa go do pracy, ale też celów prywatnych. W styczniu 2019 wydaje 1000 zł netto (+230 zł VAT) na paliwo i naprawy. Łącznie płaci 1 230 zł. Gdy przychodzi do rozliczenia kosztów za styczeń, najpierw odlicza połowę (50%) VAT czyli 115 zł. Tyle może odliczyć bezpośrednio od podatku należnego.
Teraz do rozliczenia zostaje mu 1115 zł (1000 zł netto i połowa VAT-u). Z tej kwoty 75%, czyli 836 zł i 25 gr zalicza w koszty uzyskania przychodu. Zmniejsza to jego podatek o 150,53 zł (skala 18%) lub 267,60 zł (skala 32%).

Samochód osobowy wyłącznie na cele służbowe

Przepisy przewidują, ze przedsiębiorca może odliczyć koszty eksploatacji samochodu osobowego w 100% jeśli jest to samochód używany wyłącznie na cele służbowe. Samochód taki trzeba wciągnąć do ewidencji środków trwałych, a także zgłosić do urzędu skarbowego za pomocą druku VAT-26. Od tej pory można go używać wyłącznie na użytek służbowy. Trzeba pod tym względem liczyć się z kontrolą, a nawet prowokacją skarbówki. Zwłaszcza małe firmy określające samochód osobowy jako przeznaczony wyłącznie do celów służbowych, muszą się bardzo pilnować.
Po dokonaniu formalności, trzeba jedynie zbierać dowody faktycznego poniesienia kosztów czyli faktury. Można odliczyć 100% VAT, a całą pozostałą kwotę netto zaliczyć w koszty uzyskania przychodu.
Potrzebna jest szczegółowa ewidencja przebiegu pojazdu dla potrzeb VAT.
Przykład:
Pani Zasadnicza zakupiła na firmę samochód osobowy, który używany jest wyłącznie w celu odbycia podróży służbowych. Samochód parkowany jest na parkingu firmowym, ani pani Zasadnicza, ani jej pracownicy nigdy jeżdżą nim do domu, ani nie odwożą dzieci do przedszkola. W styczniu wydatki związane z samochodem wynoszą 1000 zł netto (+230 zł VAT).
Za styczeń odlicza 100% VAT (230 zł), a całą pozostałą kwotę (1000 zł) wpisuje w koszty uzyskania przychodu. Zmniejsza to PIT do zapłaty o 180 zł (18%) lub 320 zł (32%).

Wiesz już jak odliczyć koszty eksploatacji samochodu osobowego. Jeśli interesują Cię powiązane tematy, zapoznaj się z artykułami o: amortyzacjinabyciu samochodów i samochodach prywatnych w firmie.

Techniczne aspekty ochrony danych osobowych

Artykuł ten stanowi część większego cyklu poświęconego ochronie danych osobowych.

Techniczne aspekty ochrony danych osobowych

Obowiązki nałożone na przedsiębiorstwa przez Rozporządzenie o Ochronie Danych Osobowych nie dają się spełnić jedynie pustymi obietnicami. Polityka Bezpieczeństwa, umowy powierzenia danych, Instrukcje Zarządzania Systemami Informatycznymi – to jedynie dokumenty. Oprócz nich trzeba faktycznych działań by chronić dane osobowe.

Dlaczego rzeczywista ochrona ma priorytet przed biurokratycznym obowiązkiem?

To oczywiste, prawda? Wszyscy chcemy by dane były faktycznie chronione, a nie jedynie określone w politykach, instrukcjach i raportach. Tyle pięknej teorii, bo w praktyce większość przedsiębiorców chce przede wszystkim chronić własny biznes. Nie ma w tym nic nadzwyczajnego. Na szczęście w przypadku RODO możliwości działania na pokaz zostały bardzo ograniczone.

Przede wszystkim zakres technicznych rozwiązań wykorzystywanych do ochrony danych osobowych nie został jasno określony. Nie ma więc listy zadań które można „odfajkować” i uznać, że temat jest zamknięty. Nie jest i w przypadku ochrony danych – raczej nie będzie. W przypadku kontroli, urzędnik zbada czy dane są należycie chronione. Jeśli okaże się, że pracownik wysłał niezabezpieczoną bazę danych wrażliwych do wszystkich kontrahentów – żadne wcześniejsze dokumenty nie pomogą. Lepiej więc zapobiegać niż leczyć.

Dlatego warto zastanowić się nad konkretnymi rozwiązaniami technicznymi w zakresie ochrony danych osobowych.

Przechowywanie dokumentów papierowych

Mimo postępu technicznego, wciąż drukujemy znaczną część dokumentacji. W przeciwieństwie do danych elektronicznych, bardzo łatwo stwierdzić gdzie papierowe dokumenty są i gdzie być powinny.
W każdej firmie zatrudniającej pracowników należy więc:

  • Określić sposób przekazywania dokumentów papierowych pomiędzy pracownikami, uniemożliwiający dostanie się ich w ręce osób trzecich – Na przykład zostawienie dokumentów na biurku recepcjonisty, gdy ten nie przyszedł jeszcze do pracy nie jest dobrym rozwiązaniem.
  • Wybrać miejsca przechowywania dokumentacji papierowej – Innych niż niezabezpieczona szafa segregatorowa w poczekalni dla klientów, w której nie ma żadnego pracownika.
  • Określić zasady zabezpieczenia dokumentacji przed kradzieżą/skopiowaniem – Nawet szafka zamykana na zwykły kluczyk jest lepsza niż brak zabezpieczenia w ogóle.
  • Określić zasady zabezpieczania dokumentacji przed zniszczeniem – zalaniem, niecelowym wrzuceniem do niszczarki, użyciem jako makulatura.
  • Trzymać się powyższych zasad.

Przewożenie dokumentów papierowych i nośników danych

Przewożenie dokumentów, bez względu na to czy są to wydruki, czy pendrive, zawsze wiąże się z pewnym ryzykiem. Trudno jednak ustalić jasne zasady ich zabezpieczenia czy środki techniczne, które miałby to umożliwić. Niestety, ale kluczowy pozostaje zdrowy rozsądek właściciela firmy i pracowników.
Pewne minimum to umieszczenie przewożonych dokumentów papierowych w teczkach i segregatorach, tak by uniemożliwić wypadnięcie pojedynczej strony. Znamy przypadek gdy właścicielowi firmy przewożącemu niezabezpieczone dokumenty na przednim siedzeniu udało się je stracić z powodu silnego wiatru i niefrasobliwego otwarcia drzwi.
Elektroniczne nośniki danych (pendrive, karty pamięci) są natomiast na tyle małe, że łatwo je zwyczajnie zgubić. Zdecydowanie lepiej jest przewozić je w większych pojemnikach (dyplomatka, nerka) lub nawet w portfelu.

Niszczenie dokumentacji

Przedsiębiorca nie wyrzuca dokumentów. Przedsiębiorca je niszczy.
Warto zapamiętać tę zasadę i zapisać ją w Polityce Bezpieczeństwa.
Wszystkie dokumenty papierowe, które straciły swoją użyteczność dla firmy powinny zostać przepuszczone przez niszczarkę. W ten sposób firma nie tylko chroni się przed wyciekiem danych osobowych, ale też zabezpiecza tajemnicę handlową swoich kontrahentów i swoje dobre imię.
Nie polecamy natomiast palenia dokumentacji – nie tylko z powodu skojarzenia z dawnymi służbami PRL, ale też mając na uwadze względy ochrony środowiska.

Monitoring

W kontekście ochrony danych osobowych monitoring jest zarówno przydatnym narzędziem, jak i istotnym utrudnieniem.
Na pewno pomaga wykryć sprawcę kradzieży tradycyjnych dokumentów. Pomaga też zabezpieczyć obiekt przed osobami trzecimi i kontrolować pracowników.
Jeśli jednak na nagraniach z monitoringu znajdą się dane osobowe, też będą one podlegać ochronie.
Wystarczy więc by kamera została skierowana na monitor pracownika, lub biurko gdzie pracuje on nad dokumentacją by konieczne było dodatkowe zabezpieczenie przed wyciekiem.
Nawet monitoring omijający dokumentację, będzie sposobem na gromadzenie danych osobowych pracowników i klientów odwiedzających lokal.

Porządek na biurku

Zwłaszcza osoby pracujące na wydrukach powinny przemyśleć czy leżące na wierzchu dokumenty nie staną się przyczyną wycieku danych. W Polityce Bezpieczeństwa można określić pewne zasady takie jak na przykład:

  • Pracownicy przyjmujący klientów nie powinni mieć podczas rozmowy z nimi, żadnych dokumentów zawierających dane osobowe osób innych niż aktualnie przebywający w pomieszczeniu klient
  • W sekretariatach, recepcjach i innych pomieszczeniach dostępnych dla osób z zewnątrz (osoby aplikujące do pracy, obnośni sprzedawcy, potencjalni klienci) dokumenty zawierające dane osobowe nie mogą leżeć na biurku.
  • Nie powinno być możliwości zajrzenia w monitor pracownika z zewnątrz budynku. Dotyczy to zwłaszcza biur położonych na parterze.
  • Po zakończeniu pracy, a przed opuszczeniem stanowiska, pracownik powinien schować wszystkie dokumenty zawierające dane osobowe.

Ogólnie warto też dbać o porządek na biurku by nie gubić dokumentów i nie ryzykować ujawnienia danych.

Umowa powierzenia danych osobowych w małej firmie

Artykuł ten jest częścią większego cyklu poświęconego ochronie danych osobowych.

Umowa powierzenia danych osobowych w małej firmie

Bardzo często dane osobowe nie tylko przechowuje się i przetwarza w ramach działalności gospodarczej, ale też udostępnia podmiotom trzecim. Przepisy wymagają by w każdym takim przypadku zawrzeć umowę powierzenia danych osobowych.

Co powoduje konieczność zawarcia umowy dotyczącej powierzenia danych osobowych?

Zasadniczo kiedy firma przekazuje dane osobowe innej osobie prawnej (innej firmie, organizacji, jednostce samorządu terytorialnego) powinna z nią zawrzeć Umowę powierzenia danych osobowych.
Próba dostosowania się do tego przepisu w wersji nie-zawężonej szybko doprowadzi jednak do całkowitego paraliżu przedsiębiorstwa. Dlaczego? Wyjaśniamy w przykładzie 1.
Przykład 1.

Pani Ola Igrekowska jest przedstawicielem handlowym. Sekretarka umówiła jej spotkanie i prezentację usług informatycznych w siedzibie firmy XyZ. W wiadomości email znalazły się następujące informacje: imię i nazwisko Pani Oli, jej telefon, zakres godzinowy spotkania. Dla potrzeb ochrony budynku XyZ, sekretarka dodała, że Pani Ola podjedzie niebieskim, służbowym Fordem.

Gdzie tu przekazanie danych osobowych? Wszędzie. Tylko na podstawie tego maila można dowiedzieć się, że znana z imienia i nazwiska osoba w danych godzinach będzie w danej lokalizacji. Wystarczy by np.:
– Porwać Panią Olę zanim dojedzie do siedziby XyZ, lub gdy ją opuści.
– Okraść mieszkanie Pani Oli, wiedząc, że w danych godzinach nie ma jej w domu.
Powyższy przykład z jednej strony pokazuje, że niemal każde dane są zarówno danymi osobowymi w rozumieniu RODO, jak i istotnymi informacjami osobistymi w rozumieniu potocznym.
Z drugiej jednak strony Przykład 1 wskazuje na praktyczną niemożliwość zawarcia umów powierzenia danych osobowych z każdą firmą, której się je przekazuje.

W powyższym przykładzie, Pani Ola, która jest przedstawicielem handlowym może mieć umówionych po 5 spotkań dziennie, każde z inną firmą. Samo zawarcie odpowiednich umów powierzenia danych całkowicie sparaliżowałoby jej pracę. Po za tym firma otrzymująca dane tak czy inaczej będzie je chronić by nie złamać przepisów o tajemnicy handlowej.

Z tego względu wydaje się zasadne ograniczenie umów jedynie do przypadków przekazania zbiorów danych osobowych, lub danych szczególnie wrażliwych.
Dobrymi przykładami są na przykład:
– Przekazanie dokumentacji dotyczącej zatrudnienia zewnętrznej firmie księgowej lub kadrowej;
– Przekazanie wyników badań pracowników zewnętrznej firmie ubezpieczeniowej;
– Przekazanie listy uczestników i dodatkowych wymagań związanych z nimi, firmie organizującej wyjazd integracyjny.
– Przekazanie bazy klientów firmie, która podjęła się pośrednictwa w sprzedaży.

W jaki sposób zawierana jest umowa powierzenia danych osobowych?

W umowie dotyczącej powierzenia danych osobowych jedna firma powierza, a druga zobowiązuje się przechowywać i przetwarzać zgodnie z przepisami pewien zbiór danych.

Dla potrzeb dowodowych zdecydowanie lepiej zawrzeć taką umowę na piśmie, nic jednak nie stoi na przeszkodzie zawarciu jej drogą elektroniczną. W praktyce optymalne staje się przygotowanie szablonu umowy powierzenia danych osobowych, w którym będzie się jedynie wypełniało
– Dane firmy/organizacji, której powierza się dane;
– Zakres przekazywanych danych;
– Daty rozpoczęcia i zakończenia umowy;
– Obowiązki firmy, której powierzono dane na wypadek ustania współpracy (np. usunięcie zbiorów).

Z kim zawierać umowy powierzenia danych osobowych?

W praktyce zawieranie umów powierzenia danych osobowych ma sens jedynie z usługodawcami i podwykonawcami.
Nawet jeśli firma przekazuje pewne dane swojemu klientowi, lub potencjalnemu klientowi to niby dlaczego miałby on godzić się na administrowanie danymi?
Umowa jak sama nazwa wskazuje wymaga dobrowolnej zgody dwóch lub więcej stron, więc umowy, w których przedsiębiorstwo powierza dane klientowi będą wyjątkowo rzadkie. Oczywiście może ich wymagać specyfika branży, ale nie będzie to popularne rozwiązanie.

Czy warto skorzystać z dostępnych w sieci szablonów do umów?

W przeciwieństwie do zasad Polityki Bezpieczeństwa czy Instrukcji Zarządzania Systemami Informatycznymi, które mają bardzo indywidualny charakter, umowy powierzenia mogą być dosyć ogólne.
Przedsiębiorstwa zawierające jedynie standardowe umowy dotyczące danych osobowych (np. związane z zewnętrznymi usługami księgowymi, kadrowymi i ubezpieczeniowymi) mogą swobodnie skorzystać z dostępnych szablonów.
Bardzo możliwe też, że wyspecjalizowani dostawcy usług tacy jak spółki ubezpieczeniowe będą mieli po 25 maja własne szablony dla swoich klientów.

Zastrzeżenia umowne

Powierzając dane należy zastrzec cel w jakim mogą one być przetwarzane przez kontrahenta. Nie można określić tego celu szerzej niż wskazują na to uprawnienia jakie ma powierzający.
Przykładowo jeśli pan Zenon Zetowski udostępnił swoje dane firmie XyZ dla potrzeb wykonania zamówienia, to firma XyZ nie może udostępnić ich przedsiębiorstwu kurierskiemu w celach marketingowych.

RODO – Zarys zagadnienia.

Upoważnienie pracownika do przetwarzania danych osobowych w małej firmie

Artykuł ten jest częścią większego cyklu poświęconego ochronie danych osobowych.

Upoważnienie pracownika do przetwarzania danych osobowych w małej firmie

By pracownik mógł przetwarzać dane osobowe, Administrator Danych Osobowych musi go do tego upoważnić. Odpowiednie upoważnienie do przetwarzania danych osobowych w myśl nowych przepisów o ochronie danych osobowych jest niezbędne w stosunku do większości pracowników.

Komu należy wystawić upoważnienie?

Małe przedsiębiorstwa mają często niski stopień specjalizacji pracowników. Oznacza to, że potencjalnie każda osoba w firmie może zostać poproszona o pomoc w danym zadaniu. Z tego powodu najlepiej wystawić upoważnienie dosłownie wszystkim, ewentualnie tylko zawęzić jego zakres.

Upoważnienie jest na pewno niezbędne do:

  • Wszelkich spraw kadrowych – z zasady dotyczą one danych pracowników.
  • Sprzedaży jeśli sprzedawca ma styczność z danymi klienta – np. telemarketer zna zazwyczaj imię, nazwisko i nr telefonu klienta; a przedstawiciel handlowy nawet jego adres.
  • Pełnienia stanowiska kierowniczego – przełożeni zawsze mają dostęp do części danych podwładnych.
  • Obsługi klienta – prawie na pewno pracownik ma dostęp do podstawowych danych.
  • Wysyłania listów, nadawania paczek i przesyłek – jeśli na paczce są dane klienta takie jak adres, imię, nazwisko.
  • Ochrony i nadzoru – nagranie z monitoringu zawiera dane osobowe takie jak wygląd osoby, po którym można ją zidentyfikować i miejsce pobytu w danym czasie.
  • Analizy i obróbki baz danych jeśli te zawierają dane osobowe.
  • Obsługi CRM – praktycznie zawsze w danych systemu są dane osobowe klientów.
  • Umawiania spotkań, pracy sekretariatu, recepcji itp.

Tak naprawdę trudno wyobrazić sobie pracownika biurowego w małej firmie, który nie ma styczności z danymi osobowymi. Upoważnień można więc nie wystawiać np. szeregowym pracownikom ekipy budowlanej lub sprzątającej.

Komu można wystawić upoważnienie?

Upoważnienie do przetwarzania danych osobowych nie jest związane z umową o pracę. Można wystawić je także dla:

  • praktykantów;
  • wykonawców dzieł;
  • zleceniobiorców.

Osobom prowadzącym własną działalność (np. samozatrudnienie) przekazuje się dane na podstawie umowy powierzenia danych osobowych.

Co musi znaleźć się w upoważnieniu?

Wystawiając upoważnienie do przetwarzania danych osobowych, trzeba w nim zawrzeć – oczywiście dane osobowe. A tak na poważnie, dokument taki powinien zawierać:
Informacje o tym kto powierza dane,
Imię i nazwisko osoby, która otrzymuje upoważnienie,
Cel przetwarzania danych – można go określić bardzo ogólnie, np. w celu wykonywania obowiązków na stanowisku starszego specjalisty ds. jakości,
Datę od kiedy upoważnienie jest ważne;
Zakres danych, które pracownik ma prawo przetwarzać.
Dokument taki powinien być ponadto podpisany przez osobę uprawnioną do nadania upoważnienia.

Ewidencja osób upoważnionych

Każdy pracodawca jest zobowiązany prowadzić Ewidencję osób upoważnionych do przetwarzania danych osobowych. Jako, że nie ma wymagań co do jej formy, najlepiej utworzyć plik dostępny jedynie dla ADO i ABI, a w nim zamieścić tabelkę obejmującą imiona, nazwiska i zakres upoważnienia.

RODO – Zarys zagadnienia. 

Instrukcja Zarządzania Systemami Informatycznymi dla małej firmy

Artykuł stanowi część większego cyklu poświęconego ochronie danych osobowych.

Instrukcja Zarządzania Systemami Informatycznymi dla małej firmy

Każda firma przechowująca jakiekolwiek dane osobowe w formie elektronicznej zobowiązana jest przygotować Politykę Bezpieczeństwa, której częścią będzie Instrukcja Zarządzania Systemami Informatycznymi.
Samo przygotowanie dokumentu, najczęściej w formie załącznika do Polityki Bezpieczeństwa, jest obowiązkiem formalnym. Natomiast dbanie o bezpieczeństwo danych jest nie tylko obowiązkiem przedsiębiorcy, ale też leży w jego kluczowym interesie. Z tego względu warto przygotować Instrukcję tak by spełniała swoje oficjalne zadanie, a więc była jasnym i zrozumiałym szablonem postępowania dla pracowników. Od czego zacząć?

Czym jest System Informatyczny w rozumieniu przepisów o ochronie danych osobowych?

Za system informatyczny należy uznać każdy program (aplikację), który może posłużyć do przechowywania, przetwarzania lub udostępniania danych osobowych.

Ta, bardzo szeroka, definicja może być sprzeczna z potocznym rozumieniem systemu jako rozwiązania znacznie bardziej zaawansowanego (system operacyjny, CRM, CMS), lecz dla potrzeb ochrony danych osobowych lepiej założyć po prostu, że ów „system informatyczny” oznacza całość oprogramowania używanego przez firmę, a także wszystkie urządzenia elektroniczne, na których dane te mogą być przechowywane.

W zakresie oprogramowania na pewno trzeba wziąć pod uwagę:
Pocztę elektroniczną email
Komunikatory wewnątrz firmowe i zewnętrzne (np. Messenger)
Programy księgowe, fakturujące i kadrowe
Aplikacje firmowych mediów społecznościowych (np. Facebook, Linkedin)
Systemy zarządzania treścią (firmowy CMS, WordPress)
Bazy danych i programy do ich tworzenia/obsługi
Systemy CRM

Nie ma natomiast sensu wymienianie w Instrukcji wszystkich programów ani urządzeń, z których korzystać będą pracownicy.

Jak określić kompetencje, które zawiera Instrukcja Zarządzania Systemami Informatycznymi?

Choć wydaje się to oczywiste, warto zastrzec, że Administrator Danych Osobowych (a więc właściciel firmy lub jej zarząd) ma pełne prawo wglądu we wszystkie firmowe systemy informatyczne i urządzenia – także udostępnione pracownikom.
Bardzo istotny jest też zakres kompetencji ABI oraz osoby kierującej działem IT i tym samym faktycznie przyznającej innym pracownikom dostępy/hasła/uprawnienia pozwalające korzystać z oprogramowania. W Instrukcji można zastrzec także szczególne kompetencje działu kadr czy księgowego.
Dostęp pozostałych pracowników do urządzeń i oprogramowania powinien być natomiast określony bardzo ogólnie, tak by nie utrudniać pracy, ani nie rozbudowywać nadmiernie biurokracji wewnątrz firmowej. Stosowanie zapisów zbyt szczegółowych, a zwłaszcza przypisywanie kompetencji do konkretnej osoby (Jan Iksiński) zamiast do stanowiska (specjalista ds. IT), może doprowadzić do stworzenia zapisu zbyt uciążliwego i w efekcie – martwego.

W Instrukcji warto więc zawrzeć informacje na temat tego:
Kto ma prawo przyznawać i odbierać dostęp do urządzeń i programów;
Jakie stanowiska mają dostęp do szczególnie istotnych danych osobowych;
W jaki sposób przyznaje się lub odbiera dostęp do urządzeń i programów.

Co zawrzeć w Instrukcji Zarządzania Systemami Informatycznymi?

Wszystkie informacje zawarte w poprzednich akapitach dotyczą obowiązków formalnych. Nie znając potrzeb konkretnej firmy, trudno wybrać optymalne rozwiązania pod względem praktycznym. Mimo to zawsze w Instrukcji warto zawrzeć
Nakaz zabezpieczania baz danych i dostępu do kluczowego oprogramowania hasłem;
Potrzebę wylogowywania się w przypadku opuszczenia stanowiska pracy i ponownego logowania po powrocie na nie;
Wymagania przedsiębiorstwa w zakresie szyfrowania informacji wewnątrz firmowych i w kontaktach z kontrahentami;
Zasady dotyczące wynoszenia poza teren firmy nośników danych i urządzeń elektronicznych je przechowujących;
Częstotliwość i sposób tworzenia kopii zapasowych (back-up);
Zasady przechowywania, zabezpieczania, i przywracania kopii zapasowych;
Zasady drukowania i przesyłania dokumentów elektronicznych;
Metody bezpiecznego przekazywania haseł dostępowych i kluczy kryptograficznych między pracownikami, jeśli zachodzi taka potrzeba.

W praktyce te same zasady warto stosować nie tylko do ochrony danych osobowych, ale też w celu zachowania tajemnicy handlowej i uniknięcia szpiegostwa gospodarczego.

Między teorią, a praktyką

Przygotowując Instrukcję Zarządzania Systemami Informatycznymi należy pamiętać, że przygotowanie dokumentu w stylu obietnic wyborczych (czyli w teorii idealnego systemu bezpieczeństwa, a w praktyce niemożliwego do wyegzekwowania) nie ma sensu. Zgodność z RODO i tak będzie sprawdzana głównie w firmach gdzie nastąpił wyciek danych, a wówczas urzędnicy zapytają o faktyczne, a nie jedynie formalne środki ochrony.
Lepiej więc stworzyć Instrukcję możliwą do zrealizowania i trzymać się jej. Żadna firma na świecie nie jest w stanie w 100% zapewnić bezpieczeństwa danych. Urzędnicy zdają sobie z tego sprawę i nie będą wymagać poziomu ochrony większego niż w przypadku podobnych przedsiębiorstw.

RODO – Zarys zagadnienia

Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy? (cz 2)

Artykuł ten stanowi część większego cyklu poświęconego ochronie danych osobowych. Jest kontynuacją tekstu Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy (cz 1)

Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy? (cz 2)

W poprzednim artykule odpowiedzieliśmy na kilka pytań związanych z przygotowaniem Polityki Bezpieczeństwa dla potrzeb Rozporządzenia o Ochronie Danych Osobowych. Jest to jednak zagadnienie rozbudowane, w którym mogą pojawić się kolejne wątpliwości.

1 Czy potrzebny jest Wykaz Zbiorów Danych Osobowych?

Zgodnie z obowiązującymi od 25 maja 2018 przepisami niezbędnym elementem Polityki Bezpieczeństwa – dokumentu przygotowywanego pod kątem ochrony danych osobowych, jest Wykaz Zbiorów Danych Osobowych. Nie można go pominąć, bez względu na wielkość firmy czy branżę, w której ona działa.

Należy więc koniecznie taki wykaz przygotować, czym zajmiemy się w jednym z kolejnych artykułów.

2 Jak określić obszar, w którym przetwarza się dane osobowe?

Obowiązek określenia miejsca, w którym przetwarza się dane osobowe, jest delikatnie rzecz biorąc, niedostosowany do aktualnego poziomu technologii, nie wspominając już o przyszłych rozwiązaniach. Korzystając z oprogramowania takiego jak Dropbox, Google Docs, korzystając chmury obliczeniowej, tak naprawdę przetwarzamy dane na serwerach firmy – producenta oprogramowania.
Czy zatem powinniśmy określić miejsce przechowywania danych jako „Hala serwerowa Google/Apple/Microsoft w [tu wstaw prawdopodobną lokalizację serwera, z którego dane mogą zostać w każdej chwili przeniesione na inny serwer bez Twojej wiedzy]?

Gdyby należało przedstawić sprawę zgodnie z prawdą, współczesne przedsiębiorstwo nie byłoby w stanie określić obszaru, w którym przetwarzane są dane osobowe. Niestety i na szczęście, chodzi jedynie o dokument dla potrzeb polskiej biurokracji.

Jako obszar, w którym przetwarzane są dane osobowe określamy więc siedzibę firmy – całą, ze wszystkimi podległymi oddziałami. Na pewno nie warto ograniczać obszaru do pojedynczych pomieszczeń, zwłaszcza jeśli choć jedno stanowisko pracy wyposażone w komputer miałoby znaleźć się poza tym obszarem.
Pracownik wystawiający fakturę może musieć wystawić ją dla osoby fizycznej i tym samym zebrać dane osobowe. Jeśli osoba ta kupi np. prezerwatywy, leczniczy materac, albo książkę o polityce, to będą to nawet dane wrażliwe.

Tylko co z pracownikami, którzy pracują w terenie z wykorzystaniem laptopa, tabletu, telefonu komórkowego? Przecież zapisując kontakt do poznanego na targach kontrahenta (imię, nazwisko, firma, nr telefonu – dane w 100% wystarczające do zidentyfikowania konkretnej osoby) – przechowują jej dane osobowe. Bardzo możliwe też, że przetwarzają je lub przesyłają do innych osób w firmie.

W braku odpowiedniego przepisu i orzecznictwa należy zaufać, że urzędnicy dokonujący kontroli zrozumieją, że określenie pełnego i dokładnego obszaru przetwarzania danych osobowych jest niemożliwe.

Warto natomiast dodać do obszaru listę przedsiębiorstw, którym powierza się dane osobowe np. swoich klientów.

3 Jak aktualizować Politykę Bezpieczeństwa w firmie?

Nawet jeśli na samym początku nie uda się uchwalić idealnej Polityki Bezpieczeństwa, nie jest to duży problem – można ją zaktualizować w każdej chwili, w ten sam sposób co została uchwalona.

Tak naprawdę warto założyć, że uchwalona Polityka Bezpieczeństwa nie jest dokumentem „ostatecznym i wiecznie trwałym”. Warunki techniczne zmieniają się wraz z postępem, a także rozwojem firmy.

Bardzo dobrym pomysłem jest przygotowanie PB w sposób ogólnikowy, a uszczegóławiać ją w razie potrzeby załącznikami.

4 Czy potrzebna jest Instrukcja Zarządzania Systemami Informatycznymi?

Najprostszy nawet program komputerowy jest traktowany jako „system informatyczny” w kontekście przepisów o ochronie danych osobowych. Excel, Access, Płatnik, Symfonia, Google Docs – to tylko niektóre przykłady.
W praktyce każda firma musi więc uwzględnić w ramach Polityki Bezpieczeństwa odpowiednią instrukcję. Jej przygotowaniem zajmiemy się w jednym z kolejnych artykułów.

Kolejne zagadnienia zostaną poruszone w bardziej szczegółowych artykułach.

Polityka Bezpieczeństwa (cz.2)

RODO – Zarys zagadnienia

Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy? (cz. 1)

Artykuł ten jest częścią większego cyklu, jest kontynuowany w części 2.

Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy? (cz. 1)

Rozporządzenie o Ochronie Danych Osobowych nakłada na przedsiębiorców obowiązek przygotowania i wdrożenia Polityki Bezpieczeństwa (PB) – ogólnego dokumentu określającego zasady zbierania, przechowania, przetwarzania i udostępniania danych osobowych w ramach działalności przedsiębiorstwa.
Emocje wywołane nadchodzącym wejściem w życie RODO spowodowały nagłe i mocno przesadzone zapotrzebowanie na szkolenia i szablony dotyczące Polityki Bezpieczeństwa. Jedynie najbardziej uczciwi spośród przygotowujących je potrafili przyznać, że coś takiego jak uniwersalna polityka bezpieczeństwa nie istnieje. Każda firma ma własną specyfikę i powinna przygotować Politykę Bezpieczeństwa w oparciu o własne potrzeby. Wbrew pozorom, nie jest to tak trudne, by nie móc zrobić tego samodzielnie. Spróbujmy przejść przez to wspólnie.

1 Kto i w jaki sposób określa Politykę Bezpieczeństwa?

W przypadku jednoosobowej działalności gospodarczej jedyną osobą władną uchwalić Politykę Bezpieczeństwa dotyczącą danych osobowych jest właściciel firmy. Powinien on przygotować, a potem wydrukować i podpisać dokument zatytułowany właśnie „Polityka Bezpieczeństwa”.
Teoretycznie nie ma zdefiniowanego obowiązku drukowania, podpisywania, ani nawet nadawania takiego właśnie tytułu, ale działania te ułatwią kontakt z ewentualnym przedstawicielem kontroli, przede wszystkim zaś będą niezbitym dowodem, że Polityka Bezpieczeństwa faktycznie została uchwalona.

Właściciel tworzy więc Politykę Bezpieczeństwa i wdraża ją w formie jednoosobowej decyzji.

W przypadku spółki potrzebna jest natomiast uchwała zarządu dotycząca Polityki Bezpieczeństwa, lub jednoosobowe rozporządzenie prezesa jeśli ma on pełną kontrolę nad firmą. W zależności od struktury organizacyjnej, większe przedsiębiorstwa mogą zdecydować, że Politykę Bezpieczeństwa powinna potwierdzić też np. rada nadzorcza.

2 Kiedy wdrożyć Politykę Bezpieczeństwa?

Ponieważ w małych przedsiębiorstwach bardzo trudno udowodnić kiedy faktycznie wdrożona została Polityka Bezpieczeństwa, pojawiły się przynajmniej 3 koncepcje, wszystkie oparte raczej o przewidywania reakcji kontroli niż sytuację rzeczywistą.
PB uchwalona i wdrożona z dniem 25 maja 2018, a więc równo z wejściem RODO – W sumie dobry pomysł, choć według niektórych naraża firmę na zarzut niewłaściwego przechowywania danych przed tą datą.
PB uchwalona i wdrożona niedługo przed 25 maja z cichym założeniem, że faktycznie firma będzie się do niej stosować po wejście w życie RODO – podobnie jak wyżej.
PB uchwalona i wdrożona z datą wsteczną i to przynajmniej o kilka lat – Nieudolna i niezbyt zasadna próba udowodnienia, że PB istniała w firmie od zawsze i zawsze też przestrzegano poprzednich przepisów.

W praktyce na podstawie RODO nie można ukarać firmy za niedociągnięcia w ochronie danych osobowych powstałe przed 25 maja 2018. Wykorzystuje się wówczas starsze przepisy, które nakładały obowiązek, ale nie groziły sankcjami w przypadku jego niedopełnienia.

Politykę Bezpieczeństwa należy więc mieć wdrożoną 25 maja 2018, a potem można ją w dowolnym momencie zmienić w tym samym trybie w jakim została uchwalona i wdrożona.

3 Czy powtarzać definicje ustawowe?

W Polityce Bezpieczeństwa z konieczności posługujemy się terminami i określeniami właściwymi dla tego zagadnienia. Część z nich to terminy techniczne lub prawnicze, odległe od potocznego rozumienia. Przedsiębiorca ma możliwość:
Przepisać definicje ustawowe odpowiednich określeń do swojej Polityki Bezpieczeństwa – znacznie wydłuża to dokument, ale może ułatwić jego zrozumienie bez sięgania do rozporządzenia.
Odesłać w tekście PB do odpowiednich przepisów (RODO lub inne akty prawne) – dokument będzie krótszy i bardziej zwarty, ale nie całkiem zrozumiały dla osoby nie znającej rozporządzenia.
Napisać własne definicje, prawdopodobnie uszczegóławiając w ten sposób zapisy ustawowe i dopasowując je do potrzeb firmy – może to być zasadne rozwiązanie, które pozwoli stworzyć zwarty i zrozumiały dokument, ale warto w takiej sytuacji skorzystać z pomocy prawnika lub przynajmniej polonisty by uniknąć nieporozumień.

Na pewno nie powinno się używać określeń definiowanych ustawowo w znaczeniu innym niż w przepisach, bez właściwego ich zdefiniowania na nowo.

4 Czy wyznaczyć Administratora Bezpieczeństwa Informacji?

Administrator Bezpieczeństwa Informacji (ABI, nie mylić z Administratorem Danych Osobowych) to wyznaczona w przedsiębiorstwie osoba, która ma: nadzorować wykonywanie Polityki Bezpieczeństwa, informować i szkolić innych pracowników z zakresu ochrony danych osobowych, sprawdzać czy inni pracownicy przestrzegają PB.
Nie ma obowiązku wyznaczania ABI. Jeśli ABI nie zostanie wyznaczony jego rolę i obowiązki pełni właściciel firmy (lub jej zarząd). O ile często w najmniejszych przedsiębiorstwach faktycznie sam właściciel wykonuje obowiązki ABI, o tyle w większych przedsiębiorstwach powinien tę rolę komuś powierzyć. Przeważnie ABI zostaje kierownik, asystent lub specjalista ds. IT, ale nie ma przeciwwskazań by funkcję ABI pełnił np. księgowy.
W przypadku spółek prawa handlowego wyznaczenie ABI jest znacznie bardziej potrzebne, zwłaszcza jeśli kieruje nimi zarząd wieloosobowy.

Warto pamiętać, że ABI (jeśli nie jest nim właściciel, prezes, lub zarząd łącznie) nie odpowiada za naruszenie przez firmę Rozporządzenia o Ochronie Danych Osobowych.

5 W jaki sposób i kogo upoważniać do przetwarzania danych osobowych?

Każdy pracownik mający na co dzień do czynienia z danymi osobowymi innych osób (klientów, pracowników, kontrahentów, innych – w zależności od branży) powinien otrzymać odpowiednie upoważnienie.
Nie ma wymagań formalnych co do jego formy, zdecydowanie lepiej jednak wybrać formę pisemną. Dla potrzeb dowodowych wydrukowany i podpisany przez osobę uprawnioną dokument papierowy, lub wiadomość elektroniczna (email, wiadomość wewnątrzfirmowa) bedą znacznie mocniejsze niż upoważnienie ustne.
Nadać upoważnienie do przetwarzania danych może Administrator Danych Osobowych (właściciel firmy, jej zarząd, niekiedy prezes jednoosobowo). Ma on również możliwość wyznaczyć osoby uprawnione do nadawania upoważnienia w jego imieniu.
W Polityce Bezpieczeństwa należy określić: kto upoważnia, w jakiej formie, na jaki czas i czy upoważnienie dotyczy wszystkich danych przetwarzanych przez firmę (np. pracownik kadr może dostać upoważnienie do przetwarzania danych pracowników i osób biorących udział w rekrutacji, ale nie klientów).

6 Jak wyznaczyć obowiązki Administratora Bezpieczeństwa Informacji?

ABI, a w jego braku właściciel firmy, zarząd lub prezes zobowiązani są przeprowadzać kontrolę wewnętrzną dotyczącą przestrzegania Polityki Bezpieczeństwa. W PB należy określić:
Jak często ma być przeprowadzana kontrola? (nie częściej niż co kwartał, ale nie rzadziej niż co rok)
W jaki sposób przeprowadzana ma być kontrola?
Co podlega kontroli?
W jaki sposób sporządza się protokół z kontroli wewnętrznej?
Kto podpisuje protokół?
Gdzie przechowywany jest protokół?

Obowiązek protokołowania wydaje się nieco absurdalny w przypadku firm jednoosobowych nie zatrudniających pracowników (właściciel sam się kontroluje i sporządza z tego protokół?).

7 Co robić w przypadku naruszenia PB?

W Polityce Bezpieczeństwa powinny być określone środki zaradcza, które zostaną zastosowane w przypadku złamania zasad Polityki Bezpieczeństwa i naruszenia praw osób, których dane są chronione. Podobnie jak w kilku poprzednich przypadkach, właściwie niemożliwe jest tu określenie sztywnego szablonu postępowania. Ogólnie w PB należy zawrzeć nakaz zminimalizowania szkód i zgłoszenia naruszenia RODO.

Artykuł jest częścią większego cyklu poświęconego RODO. W kolejnych zostaną omówione pozostałe zagadnienia związane z ochroną danych osobowych.

 

RODO – zarys zagadnienia

Polityka Bezpieczeństwa (cz.2)