Aneta Kułakowska

radca prawny

Moja praca koncentruje się wokół doradztwa spółkom kapitałowym w bieżącej działalności oraz przedsiębiorcom prowadzącym działalność również w innych formach prawnych...
[Więcej >>>]

Skontaktuj się

Rodo oszuści

Aneta Kułakowska13 listopada 2018Komentarze (0)

Nie planowałam tego wpisu. Jednak docierające zewsząd informacje o oszustwach i wyłudzeniach na Rodo, skłoniły mnie do tego krótkiego wpisu. Otóż, w ostatnim czasie przedsiębiorcy dostają wezwania do zapłaty za nieprawidłowości w stosowaniu Rodo. Jednak nie wysyła ich Urząd Ochrony Danych Osobowych (UODO), a coś co ten urząd próbuje przypominać.

 

Rodo oszuści

Rodo oszuści

O próbach oszustwa ostrzega Prezes UODO i Ministerstwo Cyfryzacji. Oszuści  działają w ten sposób, iż zawiadamiają przedsiębiorcę o  wyniku przeprowadzonych czynności sprawdzających. Należy dodać, iż czynności sprawdzających, które nigdy nie miały miejsca. Informują jednocześnie o wykrytych na tej podstawie nieprawidłowościach. A te z kolei, skutkują wezwaniem przedsiębiorcy do dokonania opłaty w terminie 7 dni na wskazane konto bankowe. W przypadku braku zapłaty, grożą nałożeniem dodatkowej kary w wysokości do 20 mln euro lub do 4 % wartości wolumenu światowego obrotu przedsiębiorstwa.

Faktem jest, iż na pierwszy rzut oka wezwanie może przypominać pismo UODO, jednak takim pismem nie jest. Ma ono jedynie wprowadzić w błąd i skłonić przedsiębiorcę do dokonania zapłaty. Kwota nie jest wygórowana, więc niektórzy dla tzw. świętego spokoju, przynajmniej jeśli chodzi o Rodo, mogą chcieć ją zapłacić.

Prezes Urzędu Ochrony Danych Osobowych ostrzega wszystkie osoby, które otrzymają taką korespondencję, by nie dokonywały żadnych przelewów, a o zaistniałej sytuacji powiadamiały organy ścigania.

Prezes UODO zwraca ponadto uwagę, że w Polsce jedyną instytucją uprawnioną do nadzoru nad przestrzeganiem przepisów o ochronie danych osobowych oraz do nakładania administracyjnych kar finansowych jest UODO.

Link do wpisu na stronie UODO: Oszuści wykorzystują RODO, by wyłudzić pieniądze.

 

*****

Zapraszam również do śledzenia wpisów na blogu Zarząd w spółce z o.o.

Zachęcam do zapoznania się z poprzednimi wpisami:

Dane kontaktowe IOD

Termin spełnienia obowiązku informacyjnego

Kontrola Rodo w spółce z o.o. 

Członek zarządu spółki inspektorem ochrony danych

 

 

Dane kontaktowe IOD

Aneta Kułakowska06 listopada 2018Komentarze (0)

W poście Zakres obowiązku informacyjnego pisałam o tym, co powinno znaleźć się w klauzuli informacyjnej. Bez względu na to czy spółka jako administrator pozyskała dane osoby od niej samej czy też pozyskała je od innego podmiotu, spełniając obowiązek informacyjny zgodnie z art. 13 i 14 Rodo, wskazuje dane kontaktowe inspektora ochrony danych (IOD), jeśli został powołany.

 

Dane kontaktowe IODDane kontaktowe IOD

Jeśli Twoja spółka z o.o. jako administrator danych nie jest zobowiązana do powołania IOD, to ten wpis Ciebie nie dotyczy. Jeżeli jednak spółka z o.o. jest zobowiązana do powołania IOD i go powołała to spełniając obowiązek informacyjny powinna również pamiętać o danych kontaktowych IOD. Zarówno zgodnie z art. 13, jak i art. 14 Rodo, spółka w klauzuli informacyjnej umieszcza  dane kontaktowe IOD. Rodo nie wymaga zamieszczenia imienia i nazwiska IOD. Wobec tego należałoby zamieścić bezpośredni adres korespondencyjny, numer telefonu czy adres e-mail do IOD. W praktyce administratorzy najczęściej zakładają dedykowaną skrzynkę mailową dla IOD, np. iod@……….. Ułatwiają przez to komunikację we wszelkich sprawach związanych z ochroną danych osobowych w spółce. Jednocześnie taki adres mailowy nie powoduje ryzyka, iż w przypadku zmiany IOD trzeba będzie zmienić adres mailowy dedykowany do kontaktu.

Imię i nazwisko IOD

Jak wspomniałam, RODO nie nakłada podczas spełniania obowiązku informacyjnego, informowania o imieniu i nazwisku IOD. W art. 37 ust. 1 Rodo wskazuje tylko, że administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych. Jednak ustawa z dnia 10.05.2018 r. o ochronie danych osobowych, nałożyła ten obowiązek. Art. 11 ustawy wskazuje, iż podmiot który wyznaczył inspektora, udostępnia jego dane niezwłocznie po jego wyznaczeniu na swojej stronie internetowej, a jeżeli nie prowadzi strony, w sposób ogólnie dostępny w miejscu prowadzenia działalności. Dane inspektora to jego imię, nazwisko, adres poczty elektronicznej lub numer telefonu. Tak więc nie tylko same dane kontaktowe, ale i tożsamość inspektora.

Można powiedzieć, że polski ustawodawca uszczegółowił obowiązek publikowania danych kontaktowych inspektora ochrony danych, określony w art. 37 ust. 1 Rodo. Rozszerzył ten obowiązek o udostępnienie poza danymi kontaktowymi, również imienia i nazwiska inspektora.

Co to oznacza? Moim zdaniem można pominąć umieszczenie tożsamości inspektora w samej klauzuli informacyjnej. Wskazać jedynie adres korespondencyjny, adres mailowy lun numer telefonu do inspektora. Z kolei, zgodnie z zapisem art. 11, tożsamość inspektora umieścić na stronie internetowej lub jeśli jej brak, w miejscu prowadzenia działalności, np. na tablicy ogłoszeń czy w sekretariacie siedziby spółki.

Mam wrażenie, że specjaliście od tematyki ochrony danych osobowych nie są przekonani do słuszności podawania imienia i nazwiska inspektora. Uzasadniają to tym, iż często inspektor pracuje w kilkuosobowym zespole. Wobec tego wskazywanie imienia i nazwiska inspektora może sugerować konieczność osobistego kontaktu, podczas gdy jego zadania mogą być realizowane przez inne osoby.

 

*****

Zapraszam do zapoznania się z poprzednimi wpisami:

Termin spełnienia obowiązku informacyjnego

Kontrola Rodo w spółce z o.o. 

Członek zarządu spółki inspektorem ochrony danych

Rodo w spółce z o.o.

Czy zarząd spółki jest administratorem danych?

 

Zapraszam również do śledzenia wpisów na blogu Zarząd w spółce z o.o.

O zakresie obowiązku informacyjnego pisałam w ostatnim poście. Warto jednak wspomnieć o terminie spełnienia obowiązku informacyjnego. Obowiązek informacyjny bowiem staje się wymagalny w momencie pozyskiwania danych osobowych. A to oznacza, że spółka z o.o. jako administrator powinna go spełnić w momencie rozpoczęcia przetwarzania danych.

Termin spełnienia obowiązku informacyjnego Termin spełnienia obowiązku informacyjnego

Tak jak już wspomniałam, obowiązek informacyjny aktualizuje się w momencie rozpoczęcia przetwarzania danych osobowych. I to niezależnie od tego, czy dane osobowe zostały pozyskane bezpośrednio od osoby której dane spółka przetwarza czy zostały pozyskane z innego źródła. Takim źródłem może być inna osoba, firma, a także informacje ze źródeł ogólnodostępnych.

Dla samego obowiązku informacyjnego nie ma znaczenia, na jakiej podstawie prawnej spółka przetwarza dane osobowe. Zatem to czy spółka jako administrator przetwarza dane na podstawie zgody, w celu realizacji umowy czy na podstawie obowiązku wynikającego z przepisów prawa, co do zasady zobowiązana jest spełnić obowiązek informacyjny.

Obowiązek informacyjny w przypadku danych pozyskanych bezpośrednio art. 13 Rodo

Pisałam powyżej o tym, że zakres obowiązku informacyjnego różni się od tego czy dane osobowe zostały pozyskane bezpośrednio od osoby, której dotyczą czy pośrednio, czyli z innego źródła. W przypadku gdy dane zostały pozyskane bezpośrednio, obowiązek informacyjny spełniacie podczas ich pozyskiwania. Zazwyczaj spółka jako administrator ma bezpośredni kontakt z tą osobą. Wszystko zależy od tego, jakim kanałem dane będziecie pozyskiwać i jakie będą możliwości techniczne i organizacyjne realizacji tego obowiązku. Obowiązek zatem będziecie realizować w momencie pozyskiwania danych w całości lub tylko w części, w zakresie informacji kluczowych, a pozostałe informacje będziecie mogli przekazać w drugiej warstwie obowiązku informacyjnego, np. w odesłaniu zawartym w warstwie pierwszej lub innym kanałem kontaktowym z osobą, której dane dotyczą, niż warstwa pierwsza. Taka sytuacja będzie miała miejsce kiedy otrzymacie maila z zapytaniem o ofertę spółki. Wówczas w odpowiedzi przesyłacie również podstawowe informacje o spółce jako administratorze, a w pozostałym zakresie odsyłacie poprzez umieszczenie linka do polityki prywatności.

Możecie mieć jednak taką sytuacją, że dane osobowe pozyskaliście bezpośrednio od osoby, ale nie macie bezpośredniego kontaktu umożliwiającego spełnienie obowiązku informacyjnego w momencie pozyskiwania danych. Wówczas dobrym rozwiązaniem jest umieszczenie obowiązku informacyjnego w miejscach, w których spółka jako administrator umieszcza swoje dane kontaktowe, np. na stronie internetowej, pod danymi kontaktowymi spółki czy formularzem kontaktowym. Taka sytuacja też sprawia, iż obowiązuje Was termin na spełnienie obowiązku informacyjnego dotyczący pozyskiwania danych pośrednio. A to oznacza, że spełniacie obowiązek informacyjny w najszybszym możliwym terminie.

Obowiązek informacyjny w przypadku danych pozyskanych pośrednio art. 14 Rodo

Z kolei w przypadku, gdy pozyskaliście dane z innych źródeł niż od osoby, której dane dotyczą, obowiązek informacyjny spełniacie w rozsądnym terminie, jednak nie później niż w ciągu miesiąca od ich pozyskania. Jeżeli jednak pozyskane dane będą przez Was stosowane do komunikacji z osobą, której dotyczą, obowiązek informacyjny spełniacie nie później niż przy pierwszym kontakcie. A jeżeli dane będziecie ujawniać innym odbiorcom, obowiązek informacyjny spełniacie najpóźniej przy ich pierwszym ujawnieniu.

Pamiętajcie jednak, iż przypadku zmiany lub dodania celów przetwarzania, spełniacie obowiązek informacyjny przed rozpoczęciem przetwarzania w nowych celach. Jeżeli spółka zmieni cel przetwarzania danych osobowych lub rozpoczyna ich przetwarzanie w innych niż pierwotne celach, jest obowiązana ponownie spełnić obowiązek informacyjny w zakresie informacji, które się zmieniły.

 

*****

Zapraszam do zapoznania się z poprzednimi wpisami:

Kontrola Rodo w spółce z o.o. 

Członek zarządu spółki inspektorem ochrony danych

Rodo w spółce z o.o.

Czy zarząd spółki jest administratorem danych?

 

Zapraszam również do śledzenia wpisów na blogu Zarząd w spółce z o.o.

Zakres obowiązku informacyjnego

Aneta Kułakowska01 listopada 2018Komentarze (0)

Zapewne o obowiązku informacyjnym wszyscy z Was słyszeli. W momencie pozyskiwania danych osobowych spółka z o.o. jako administrator jest zobowiązana spełnić obowiązek informacyjny, czyli poinformować osobę, której dane dotyczą, o tym, kim jest, w jakich celach będzie przetwarzała pozyskane dane, na jakich podstawach prawnych oraz o szeregu innych informacji związanych z przetwarzaniem tych danych. Domyślam się, że pamiętacie przed 25 maja falę maili wraz z informacjami o przetwarzaniu Waszych danych osobowych. Sam obowiązek informacyjny nie jest nowością wprowadzoną przez Rodo. Obowiązek informacyjny pomimo tego, że obowiązywał na gruncie poprzednich przepisów, w większości spółek nie był jednak realizowany. Rodo jedynie rozbudowało ten obowiązek o kolejne elementy, które administrator musi przekazać każdej osobie, której dane przetwarza.

Obowiązek informacyjny ma przede wszystkim na celu umożliwienie osobie, której dane dotyczą, realizację jej praw, w szczególności kontrolę nad przetwarzaniem jej danych osobowych.

 

Zakres obowiązku informacyjnego

Zakres obowiązku informacyjnego

Obowiązek informacyjny polega na poinformowaniu osoby o przetwarzaniu jej danych osobowych. Zakres tego obowiązku zależny jest od tego, czy administrator pozyskał dane osoby od niej samej czy też pozyskał je od innego podmiotu. Poniżej wypunktowałam zakres obowiązku informacyjnego zgodnie z Rodo:

 Art. 13 Rodo – dane pozyskane bezpośrednio od osoby

  1. Dane kontaktowe administratora danych osobowych.
  2. Dane kontaktowe inspektora ochrony danych (IOD), jeśli został powołany.
  3. Cel i podstawa prawna przetwarzania danych osobowych.
  4. Prawnie uzasadniony cel przetwarzania danych przez administratora, jeśli taka jest podstawa prawna.
  5. Odbiorcy danych lub kategorie odbiorców danych, jeśli istnieją.
  6. Zamiar przekazywania danych osobowych do państw trzecich poza EOG oraz zabezpieczeniach z tym związanych.
  7. Okres przechowywania danych lub sposób jego ustalenia.
  8. Prawo dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia i sprzeciwu wobec danych.
  9. Prawo do cofnięcia zgody, jeśli przetwarzanie odbywa się na podstawie zgody.
  10. Prawo wniesienia skargi do organu nadzorczego.
  11. Powód podania danych i konsekwencji ich niepodania.
  12. Zasady i konsekwencje profilowania osoby, której dane dotyczą.

Zgodnie z art. 14 Rodo w przypadku danych pozyskanych nie od osoby, której dane przetwarzamy, obowiązek informacyjny poza wyżej wymienionym zakresem należy dodatkowo uzupełnić o źródło pochodzenia danych osobowych, informację czy dane pochodzą ze źródeł ogólnodostępnych oraz o kategorie przetwarzania danych osobowych.

Zmiana celu przetwarzania a obowiązek informacyjny

Obowiązek informacyjny w stosunku do jednego celu przetwarzania danych osobowych spełniacie tylko raz. Jeśli z kolei zmieni się cel przetwarzania to musicie spełnić go ponownie, ale tylko w zakresie :

  1. Okres przechowywania danych lub sposób jego ustalenia.
  2. Prawo dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia i sprzeciwu wobec danych.
  3. Prawo do cofnięcia zgody, jeśli przetwarzanie odbywa się na podstawie zgody.
  4. Prawo wniesienia skargi do organu nadzorczego.
  5. Powód podania danych i konsekwencji ich niepodania.
  6. Zasady i konsekwencje profilowania osoby, której dane dotyczą.

A w przypadku danych niepozyskanych bezpośrednio od osoby, w zakresie wymienionym powyżej oraz w zakresie źródła pochodzenia danych osobowych, informacji czy dane pochodzą ze źródeł ogólnodostępnych oraz o kategorii przetwarzania danych osobowych.

Spełnienie obowiązku informacyjnego

Wasze spółki jako administratorzy przetwarzają dane osobowe. Jeśli więc do tej pory nie wypełniliście obowiązku informacyjnego to czas to nadrobić. Zasada jest taka, że niezależnie skąd pozyskaliście dane osobowe, które przetwarza spółka, musicie spełnić obowiązek informacyjny wobec osoby której dane przetwarzacie. Najczęściej obowiązek informacyjny będziecie spełniać za pośrednictwem strony internetowej, na której udostępnicie wszystkie informacje np. w polityce prywatności. Jak również za pośrednictwem poczty elektronicznej, zamieszczając niezbędne informacje w treści lub w stopce maila. A także poprzez umieszczenie w widocznym miejscu treści obowiązku informacyjnego w sekretariacie czy na recepcji biura. Czasami również poprzez oświadczenie na piśmie, które przekażecie osobom, których dane przetwarzacie. Do tego tematu jeszcze wrócę w najbliższych postach.

Osoba wobec której spełniacie obowiązek informacyjny nie musi wyrazić zgody na spełnienie wobec niej takiego obowiązku. Waszym obowiązkiem jest poinformować ją jak spółka przetwarza jej dane osobowe. Pamiętajcie jednak o tym, że zgodnie z zasadą rozliczalności musicie móc udowodnić, iż taki obowiązek spełniliście. Warto więc mieć jakieś potwierdzenie na jego wykonanie.

Obowiązek informacyjny jest jednym z najważniejszych obowiązków każdej spółki jako administratora.  Lekceważenie więc obowiązku informacyjnego na pewno nie zapewni spółce zgodności z Rodo.

Zapraszam do śledzenia kolejnych wpisów.

*****

Zapraszam do zapoznania się z poprzednimi wpisami:

Kontrola Rodo w spółce z o.o. 

Członek zarządu spółki inspektorem ochrony danych

Rodo w spółce z o.o.

Czy zarząd spółki jest administratorem danych?

 

Zapraszam również do śledzenia wpisów na blogu Zarząd w spółce z o.o.

Obowiązek informacyjny wobec wspólników

Aneta Kułakowska25 października 2018Komentarze (0)

Tematów na kolejne wpisy na bloga mam spokojnie na kilka najbliższych miesięcy. Pojawiające się zewsząd pytania sprawiają, że lista tematów rośnie z dnia na dzień. Dzisiaj o obowiązku informacyjnym wobec wspólników spółki z o.o. Pytacie o to czy w ogóle taki obowiązek informacyjny wobec wspólników wykonać. Powiedziałabym, że to zależy od ról jakie pełni w spółce. Na pewno jeśli jest jedynie wspólnikiem i osobą fizyczną to obowiązek informacyjny powinien być spełniony.

Właściwie należałoby zacząć od tego, że spółka z o.o. jest administratorem danych osobowych również wobec wspólników tej spółki. A to oznacza, że przetwarzanie danych osobowych osób fizycznych będących wspólnikami również podlega Rodo. Wobec tego naturalnym wydaje się również, iż wobec takich wspólników powinniśmy spełnić obowiązek informacyjny.

 

Obowiązek informacyjny wobec wspólników 

Takie spełnienie obowiązku informacyjnego wobec wspólników służy przede wszystkim poinformowaniu wspólnika o przetwarzaniu jego danych osobowych, zakresie, celu i osobie administratora danych. A także o osobie inspektora ochrony danych, jeśli został powołany czy okresie przechowywania. Jakie dokładnie dane należy wspólnikowi w klauzuli informacyjnej przekazać zawarte są w Rodo. W przypadku danych osobowych zbieranych bezpośrednio od wspólnika zakres obowiązków uregulowany został w art. 13 Rodo. Z kolei w przypadku pozyskania danych z innego źródła, treść obowiązku informacyjnego określa art. 14 Rodo.

W przypadku wspólników, przetwarzanymi przez spółkę jako administratora danymi są dane niezbędne do wykonywania wszelkich czynności wynikających ze stosunku spółki. Chodzi tu o dane ujawniane w księdze udziałów, wykorzystywane do zwoływania zgromadzeń wspólników czy wpisu w KRS. A także dane wymagane do spełnienia obowiązków podatkowych w przypadku wypłaty dywidendy. Mamy więc do czynienia z imionami, nazwiskami, adresem zamieszkania czy do doręczeń, numerem pesel. A także adresem e-mail i telefonem, jeśli taki sposób kontaktu został w spółce określony. Oczywiście zakres tych danych będzie się różnił w zależności od roli jaką wspólnik pełni w spółce. Wspólnik przecież może być jednocześnie członkiem zarządu, prokurentem, współpracownikiem czy pracownikiem spółki. O obowiązku informacyjnym wobec zarządu już pisałam na blogu w poście Obowiązek informacyjny wobec członków zarządu spółki z o.o. O kolejnych przypadkach napiszę już niebawem.

 

Cel i podstawa przetwarzania danych wspólnika

Spółka z o.o. jak każdy inny administrator wykonując obowiązek informacyjny wobec wspólników musi wskazać cel przetwarzania danych osobowych i jego podstawę prawną. W przypadku wspólników takim celem przetwarzania danych wspólnika będzie zapewnienie możliwości wykonywania praw udziałowych i egzekwowania obowiązków wynikających z posiadania praw do udziałów. Z kolei podstawą prawną przetwarzania będzie art. 6 ust. 1 lit. c Rodo – wypełnienie obowiązku prawnego ciążącego na administratorze. A obowiązkiem prawnym ciążącym na spółce jako administratorze będą chociażby przepisy k.s.h., ustawy o KRS, umowa spółki z o.o. czy ustawy o podatku dochodowym od osób fizycznych.

Z założenia działania spółki z o.o. można przyjąć, iż dane zostały pozyskane bezpośrednio od wspólnika. Jeśli jednak nie, to w klauzuli informacyjnej należy wskazać źródło pozyskania danych.


Okres przetwarzania danych osobowych

W przypadku wspólników spółki z o.o. należałoby wskazać, iż dane będą przetwarzane przez okres posiadania statusu wspólnika. Z kolei po jego utracie, dane osobowe będą przetwarzane  do czasu przedawnienia roszczeń. Dotyczy to zarówno roszczeń przysługujących spółce wobec wspólnika, jak i odwrotnie. W zdecydowanej większości będą to prawdopodobnie roszczenia, do których stosuje się trzyletni termin przedawnienia.

 

Wykonanie obowiązku informacyjnego

Obowiązek informacyjny wobec wspólnika wykonujemy co do zasady w momencie pozyskiwania danych osobowych. Jeśli dane pozyskujemy z innego źródła to obowiązek wykonujemy w rozsądnym terminie po pozyskaniu danych osobowych, czyli najpóźniej w ciągu miesiąca.  Najczęściej obowiązek będziemy wykonywać podczas pierwszego kontaktu ze wspólnikiem. Jeśli posiadamy adres mailowy wspólnika wskazany do kontaktu to obowiązek możemy spełnić wysyłając maila. Kolejną okazją do wykonania obowiązku może być zwołanie zgromadzenia wspólników. Ważne, aby spółka była w stanie wykazać wykonanie obowiązku informacyjnego wobec wspólnika.

 

 

*****

Zapraszam do zapoznania się z poprzednimi wpisami:

Kontrola Rodo w spółce z o.o. 

Członek zarządu spółki inspektorem ochrony danych

Rodo w spółce z o.o.

Czy zarząd spółki jest administratorem danych?

 

Zapraszam również do śledzenia wpisów na blogu Zarząd w spółce z o.o.