Prawo gospodarcze, Spółki

Rozwiązanie i likwidacja spółki z o.o.

O nas Ewa
www.rybarczyk-kancelaria.pl

Obsługa prawna przedsiębiorców to często również pomoc w zakończeniu prowadzenia działalności gospodarczej. Z uwagi na fakt, że obsługujemy dużo spółek z ograniczoną odpowiedzialnością, ten artykuł będzie poświęcony rozwiązaniu i likwidacji tego typu spółki. Temat jest dosyć szeroki, a zatem postaramy się przebrnąć przez najważniejsze etapy i zwrócić uwagę jedynie na najistotniejsze aspekty.

Podstawy rozwiązania spółki z o.o.

Przyczyny rozwiązania spółki z o.o. przedstawione zostały wprost w Kodeksie spółek handlowych. Są to:

  • przyczyny przewidziane w umowie spółki,
  • uchwała wspólników o rozwiązaniu spółki albo przeniesieniu siedziby spółki za granicę, stwierdzona protokołem sporządzonym przez notariusza,
  • ogłoszenie upadłości spółki,
  • inne przyczyny przewidziane prawem,
  • wyrok sądu orzekający rozwiązanie spółki.

Należy pamiętać, że termin „rozwiązanie spółki” jest nieco mylący. Samo zaistnienie którejkolwiek z wyżej wymienionych przyczyn nie powoduje automatycznie rozwiązania spółki. Te przyczyny powodują otwarcie likwidacji spółki, która powinna zakończyć się jej rozwiązaniem i wykreśleniem z rejestru.

Bardzo częstą przyczyną rozwiązania spółki z o.o. jest podjęcie przez wspólników decyzji o jej rozwiązaniu. Taka decyzja musi znaleźć swój wymiar w formie uchwały stwierdzonej protokołem sporządzonym przez notariusza. Data powzięcia przez wspólników uchwały o rozwiązaniu spółki jest jednocześnie datą otwarcia likwidacji.

Zasady współpracy
Obsługa prawna przedsiębiorców

Likwidacja spółki z o.o.

Likwidacja spółki jest to proces, który ma zmierzać do rozwiązania spółki. W trakcie tego procesu spółka zachowuje osobowość prawną i działa pod firmą z dodatkiem „w likwidacji”. Centralną postacią w czasie likwidacji jest likwidator spółki (lub likwidatorzy). Likwidatorzy zajmują miejsce zarządu spółki. Jeśli spółka zostaje postawiona w stan likwidacji wskutek podjęcia przez wspólników stosownej uchwały, w praktyce najczęściej na tym samym zgromadzeniu wspólników, podejmuje się uchwałę określającą osobę likwidatora. Bardzo często likwidatorami spółki są członkowie jej zarządu, którzy w momencie otwarcia likwidacji przechodzą z roli członków zarządu do roli likwidatorów.

Pierwszym zadaniem likwidatora jest zgłoszenie otwarcia likwidacji spółki do Krajowego Rejestru Sądowego. Do KRS należy zgłosić nie tylko sam fakt otwarcia likwidacji, ale również nazwiska i imiona likwidatorów, ich adresy oraz sposób reprezentowania spółki przez likwidatorów. Zgłoszenia należy dokonać na odpowiednich formularzach. Do wniosku należy załączyć m.in. uchwałę o otwarciu likwidacji, zgodę likwidatorów na ich powołanie, a także dowody wniesienia opłat (250 zł za wpis od wniosku oraz 100 zł za ogłoszenie w Monitorze Sądowym i Gospodarczym).

Należy pamiętać, że jednocześnie ze zgłoszeniem otwarcia likwidacji do KRS, likwidator musi ogłosić w Monitorze Sądowym i Gospodarczym o rozwiązaniu spółki, otwarciu likwidacji oraz wezwać wierzycieli spółki do zgłaszania ich wierzytelności w terminie 3 miesięcy od dnia tego ogłoszenia. Jest to bardzo istotne, gdyż dosyć często likwidatorzy pozostają w błędnym przekonaniu, że KRS dokona takiego ogłoszenia za likwidatorów. Ogłoszenie zawierające wezwanie wierzycieli jest jednak odrębnym ogłoszeniem od tego, które wiąże się ze zgłoszeniem otwarcia likwidacji spółki do rejestru. Bez ogłoszenia wzywającego wierzycieli spółki do zgłaszania ich wierzytelności sąd rejestrowy nie wykreśli spółki z rejestru, gdyż od tego ogłoszenia liczy się termin, po którym można dokonać podziału majątku spółki.

Kolejnym obowiązkiem jest sporządzenie przez likwidatorów bilansu otwarcia likwidacji. Bilans otwarcia likwidacji nie jest tym samym, co sprawozdanie finansowe. Bilans jest co do zasady tylko jednym z elementów sprawozdania finansowego. Po sporządzenie bilansu otwarcia likwidacji likwidatorzy powinni przedłożyć bilans zgromadzeniu wspólników do zatwierdzenia. Przepisy prawa nie przewidują obowiązku przesyłania bilansu otwarcia likwidacji oraz zatwierdzającej go uchwały do KRS, jednak często praktykuje się przesłanie bilansu w załączeniu do odrębnego pisma.

W trakcie likwidacji spółka musi uporządkować i zakończyć swoje sprawy w celu zamknięcia działalności. Na likwidatorach ciąży obowiązek zakończenia bieżących interesów spółki, ściągnięcia wierzytelności, wypełnienia zobowiązań i upłynnienia majątku spółki. Nowe interesy mogą być wszczynane tylko wtedy, gdy jest to potrzebne do zakończenia spraw będących w toku. Likwidacja zatem nie służy temu, aby rozpoczynać nowe inwestycje, tylko wręcz przeciwnie – ma na celu wygaszenie spraw w toku.

DSC_0529Zaspokojenie wierzycieli i podział majątku

Jak wspomniano wyżej, jeśli dokonano ogłoszenia w Monitorze Sądowym i Gospodarczym zawierającego informację o rozwiązaniu spółki, otwarciu likwidacji i wezwaniu wierzycieli, to wierzyciele mają 3 miesiące od daty publikacji tego ogłoszenia na zgłoszenie swoich wierzytelności. Sumy potrzebne do zaspokojenia lub zabezpieczenia znanych spółce wierzycieli, którzy się nie zgłosili lub których wierzytelności nie są wymagalne albo są sporne, likwidatorzy powinni złożyć do depozytu sądowego.

Dopiero po upływie minimum 6 miesięcy od publikacji ogłoszenia w Monitorze Sądowym i Gospodarczym można dokonać podziału pozostałego majątku spółki między wspólników. Wierzyciele spółki, którzy nie zgłosili swoich roszczeń we właściwym terminie ani nie byli spółce znani, mogą żądać zaspokojenia swoich należności z majątku spółki jeszcze niepodzielonego.

Zakończenie likwidacji i rozwiązanie spółki

Po zakończeniu czynności likwidacyjnych, zaspokojeniu wierzycieli i po podziale majątku, likwidatorzy muszą przygotować sprawozdanie likwidacyjne. Jest to sprawozdanie, które jest sporządzane na dzień poprzedzający podział między wspólników majątku pozostałego po zaspokojeniu i zabezpieczeniu wierzycieli. Sprawozdanie powinno zostać ogłoszone w siedzibie spółki, a następnie zatwierdzone przez zgromadzenie wspólników w formie uchwały.

Wspólnicy muszą ponadto wskazać osobę, której zostaną oddane księgi i dokumenty rozwiązanej spółki. Taka osoba może zostać wskazana już w umowie spółki lub w uchwale podjętej na zgromadzeniu wspólników zatwierdzającej sprawozdanie likwidacyjne.

Ostatnim krokiem jest złożenie do KRS wniosku o wykreślenie spółki z rejestru przedsiębiorców. Jeżeli likwidatorzy wykonali poprawnie wszystkie czynności likwidacyjne i dopełnili wszystkich wymogów formalnych określonych m.in. w Kodeksie spółek handlowych, sąd rejestrowy powinien wykreślić spółkę z rejestru, co ostatecznie zakończy jej byt.

Reklamy
RODO

RODO w praktyce: Co to jest Tarcza Prywatności?

DSC_0483
www.rybarczyk-kancelaria.pl

Tarcza Prywatności (Privacy Shield) jest mechanizmem pozwalającym na przekazywanie danych osobowych z Unii Europejskiej do USA. Poprzednikiem Tarczy Prywatności była tzw. Bezpieczna Przystań (Safe Harbour), jednak decyzja Komisji Europejskiej z 26 lipca 2000 r. (520/2000) w sprawie adekwatności ochrony w Stanach Zjednoczonych, przewidzianej przez zasady ochrony prywatności w ramach Bezpiecznej Przystani została unieważniona wyrokiem Trybunału Sprawiedliwości Unii Europejskiej z 6 października 2015 r. w sprawie C-362/14 Maximilian Schrems v. Data Protection Commissioner.

Tarcza Prywatności jako następca Bezpiecznej Przystani opiera się na systemie samocertyfikowania dla przedsiębiorstw z siedzibą w Stanach Zjednoczonych. System ten został uznany przez Komisję Europejską za zapewniający odpowiedni poziom ochrony danych osobowych przekazywanych z Unii Europejskiej do Stanów Zjednoczonych.

Tarcza Prywatności na moment publikacji tego wpisu obowiązuje nadal pod rządami RODO. Oznacza to, że w przypadku przekazywania danych do Stanów Zjednoczonych jako do Państwa Trzeciego, podstawą takiego przekazania będzie każdorazowo art. 45 RODO, o ile dany podmiot znajdujący się w Stanach Zjednoczonych jest podmiotem posiadającym odpowiedni certyfikat. Certyfikat jest wydawany przez Departament Handlu USA. Podmioty, które uzyskają certyfikat wydany w oparciu o Tarczę Prywatności, muszą tworzyć programy polityki prywatności.

W przypadku współpracy z przedsiębiorcami z USA, to na administratorze danych osobowych z Unii Europejskiej ciąży obowiązek sprawdzenia statusu swojego amerykańskiego kontrahenta, jego certyfikacji, ważności certyfikacji oraz zasięgu jej stosowania. Takiego sprawdzenia można dokonać na stronie https://www.privacyshield.gov/list. To może jednak nie wystarczyć. Istotne jest dokładne sprawdzenie zgodności stanu prawnego ze stanem faktycznym. Przede wszystkim należy sprawdzić czy dany podmiot opracował odpowiednie polityki prywatności i czy udostępnił je dla swoich kontrahentów. Istotne jest także sprawdzenie czy taka polityka prywatności w swojej treści odsyła do strony internetowej, na której można sprawdzić certyfikację danego podmiotu. Nie chodzi tutaj jednak o ogólną stronę, która została podana powyżej, ale link do strony dotyczącej już danego, konkretnego podmiotu.

Tarcza Prywatności przed wejściem w życie RODO była jedną z największym zagadek. Padały sprzeczne informacje co do tego, czy po 25 maja 2018 r. Tarcza Prywatności nadal będzie obowiązywać. Póki co system w ramach Tarczy nadal działa, jednak regularnie dochodzi do sprawdzenia funkcjonowania mechanizmu Tarczy przez stronę unijną. Do tej pory przeprowadzono dwa doroczne przeglądy Tarczy Prywatności. Drugi z nich zakończył się raportem przyjętym 22 stycznia 2019 r. przez Członków Europejskiej Rady Ochrony Danych (EROD). O ile zaobserwowano poprawę w zakresie ochrony danych osobowych w ramach systemu Tarczy Prywatności, to jednak nadal nie doszło ze strony amerykańskiej do całościowego wdrożenia Tarczy Prywatności. Niepokojący jest przede wszystkim brak konkretnych zapewnień, że wykluczone jest masowe gromadzenie oraz dostęp do danych osobowych dla celów bezpieczeństwa narodowego.

Podsumowując: jeżeli chcemy przekazywać dane osobowe do USA, na pewno musimy liczyć się z tym, że przekazujemy dane osobowe do Państwa Trzeciego. Naszą odpowiedzialnością jako administratora danych osobowych jest sprawdzenie certyfikacji podmiotu z USA, któremu chcemy przekazywać dane osobowe. Następnie powinniśmy zapoznać się z polityką prywatności udostępnioną przez ten podmiot. Pamiętajmy przy tym, że nawet jeśli wszystkie wymogi formalne zostały spełnione przez naszego amerykańskiego partnera, to my nie możemy spocząć na laurach. Przekazywanie danych do Państwa Trzeciego zawsze wiąże się z dodatkowymi obowiązkami po stronie administratora, w tym m.in. wykonaniem obowiązku informacyjnego wobec osób, których dane dotyczą, aktualizacją Rejestru Czynności Przetwarzania Danych, a być może również z dokonaniem oceny skutków dla ochrony danych.

Prawo cywilne, Prawo gospodarcze, Umowy

Wypowiedzenie umowy najmu zawartej na czas oznaczony

DSC_0191
www.rybarczyk-kancelaria.pl

Wielu przedsiębiorców na potrzeby prowadzenia swojej działalności zawiera umowy najmu, w tym umowy najmu lokali. Bardzo często pierwsze umowy najmu są zawierane na czas oznaczony. W praktyce zawierania takich umów należy bardzo dużą wagę przywiązywać do zawarcia w nich możliwości wypowiedzenia.

Co do zasady umowę najmu można wypowiedzieć zgodnie z terminami określonymi w Kodeksie cywilnym lub w samej umowie. Nie dotyczy to jednak umów zawartych na czas oznaczony. Takie umowy są zawierane na określony okres w celu stabilizacji praw i obowiązków stron, a zatem ich istotą jest konieczność ich wykonania w tym zamkniętym okresie. Nie oznacza to jednak, że przepisy prawa nie przewidują furtki wyjścia z takiej sytuacji.

Najważniejsze są postanowienia samej umowy najmu na czas oznaczony. Dlatego tak bardzo istotne jest jej dokładne sporządzenie i analiza. Przepis art. 673 § 3 Kodeksu cywilnego pozwala bowiem na wypowiedzenie umowy najmu zawartej na czas oznaczony w wypadkach określonych w samej umowie.

Czym są te „wypadki określone w umowie”? Na pierwszy rzut oka możemy pomyśleć o okresach wypowiedzenia. Widziałem już wiele umów najmu zawartych na czas oznaczony, w których wskazano „każda ze Stron ma prawo wypowiedzenia niniejszej Umowy z miesięcznym okresem wypowiedzenia”. Otóż takie sformułowanie jest błędne i w zasadzie nieważne. Wspomniany przepis art. 673 § 3 Kodeksu cywilnego nie mówi o okresach wypowiedzenia, ale o „wypadkach”. Wypadki to nic innego jak pewne zdarzenia lub okoliczności, które będą uzasadniać wypowiedzenie umowy. Jeżeli takie wypadki nie zostaną wskazane wyraźnie w umowie najmu na czas oznaczony, to takiej umowy nie będzie można skutecznie wypowiedzieć, a zatem rozwiąże się ona dopiero po zakończeniu obowiązywania.

Jak sformułować tego typu zapisy? Kodeks cywilny nie wskazuje na konkretne przykłady, pozostawiając stronom umowy pewną swobodę. Jako przykład można podać następujący zapis dla wynajmującego:

Wynajmujący może wypowiedzieć niniejszą umowę z miesięcznym okresem wypowiedzenia, gdy najemca korzystna z przedmiotu najmu w sposób niezgodny z jego przeznaczeniem”.

Inny przykład, tym razem dla najemcy:

Najemca może wypowiedzieć niniejszą umowę z miesięcznym okresem wypowiedzenia, gdy wynajmujący nie wykonuje swoich obowiązków związanych z naprawą przedmiotu najmu, mimo wcześniejszego wezwania”.

Oczywiście takie przykłady zarówno na wynajmującego jak i najemcy można mnożyć. Można również zastosować bardziej liberalne podejście i wskazać w umowie najmu na czas oznaczony, że każda ze stron ma prawo jej wypowiedzenia z danym okresem wypowiedzenia z ważnych przyczyn. Możliwość określenia „wypadków” w rozumieniu art. 673 § 3 Kodeksu cywilnego przez termin „ważne przyczyny” została dopuszczona uchwałą Sądu Najwyższego z dnia 21 listopada 2006 r. (sygn. akt III CZP 92/06).

Jak widać praktyka daje stronom dosyć dużą swobodę działania w umożliwieniu sobie skutecznego wypowiedzenia umowy najmu na czas oznaczony. Należy jednak pamiętać o tym, że jeśli nie uregulujemy „wypadków” umożliwiających takie wypowiedzenie w samej umowie, nie będziemy mogli jej skutecznie wypowiedzieć przed zakończeniem okresu jej obowiązywania.

RODO

RODO w praktyce: Dobrowolność zgody na przetwarzanie danych osobowych

DSC_0186
www.rybarczyk-kancelaria.pl

Jedną z podstaw przetwarzania danych osobowych według RODO jest zgoda. Zgodnie z definicją zgody z art. 4 pkt 11 RODO, zgoda musi być m.in. dobrowolna. O dobrowolności zgody mowa również w motywie 32 oraz w motywie 43 RODO. RODO zatem bardzo wyraźnie podkreśla, że istotnym i niezbędnym elementem każdej zgody na przetwarzanie danych osobowych musi być jej dobrowolność.

Co to znaczy „dobrowolna zgoda?”

W motywie 43 RODO czytamy: „Aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna”.

Brak dobrowolności zgody przy uzależnianiu jej udzielenia od wykonania umowy lub świadczenia usługi (gdy zgoda nie jest niezbędna) został ponownie wskazany w art. 7 ust. 4 RODO.

Dobrowolność to przede wszystkim możliwość rzeczywistego i swobodnego wyboru osoby, której dane dotyczą w zakresie wyrażenia lub niewyrażenia zgody. Okoliczności, w których znajduje się taka osoba nie mogą jej zmuszać do wyrażenia zgody. Administrator danych osobowych również nie może podejmować jakichkolwiek działań mających na celu zmuszenie osoby do wyrażenia zgody. Typową sytuacją, w której do takiego zmuszenia dojdzie jest stosunek podległości np. w relacji organ administracji publicznej – obywatel albo pracodawca – pracownik (choć ta druga sytuacja została już rozstrzygnięta przez ustawę dostosowującą polskie przepisy do RODO). Innymi słowy: jakiekolwiek wymuszenie zgody jest zaprzeczeniem jej dobrowolnego wyrażenia. Istotne jest zbadanie czy w każdym przypadku nie doszło do wystąpienia wyraźnej dysproporcji w „siłach” stron czy też uzależnienia wykonania danej usługi lub czynności od wyrażenia zgody, jeżeli zgoda nie była niezbędna.

Zachęcanie do wyrażenia zgody

Czym innym jest natomiast zachęcanie do wyrażenia zgody. Jeżeli administrator przedstawia korzyści z wyrażenia zgody na przetwarzanie danych osobowych, wtedy nie można mówić o zmuszaniu do wyrażenia zgody. Jeżeli tylko na takim zachęcaniu się kończy, zgoda nadal będzie zgodą dobrowolną. Typowym przykładem jest oferowanie rabatów w zamian za wyrażenie zgody na przetwarzanie danych osobowych w celach marketingowych. Jest to praktyka zgodna z RODO i nie narusza dobrowolności zgody, o ile nie dochodzi w takim przypadku do wyraźnych dysproporcji i nadużyć. Jeżeli rabat jest na tyle duży, że klient nie skorzystałby z usługi za pierwotną cenę z uwagi na jej wysokość, wtedy należy uznać, że dochodzi do wymuszenia wyrażenia zgody, a nie do zachęcenia do jej wyrażenia.

Ponadto należy pamiętać o tym, że zgoda powinna być wyrażona odrębnie dla każdego celu przetwarzania danych osobowych. Nie można jednym oświadczeniem o wyrażeniu zgody zastępować wielu celów. Odbieranie jednej „ogólnej” zgody na wszystkie cele jest tym bardziej nieprawidłowe i przeczy regule dobrowolności zgody.

Podsumowując: odbierając zgodę na przetwarzanie danych osobowych, uważajmy na to, aby okoliczności odbierania zgody nie posiadały jakichkolwiek znamion zmuszania do wyrażenia tej zgody. Osoba, której dane dotyczą powinna mieć całkowitą swobodę wyboru czy chce wyrazić zgodę lub nie. Ponadto nawet jeśli zachęcamy do wyrażenia zgody, nie wprowadzajmy jakichkolwiek dysproporcji lub nie oferujmy „rabatów” i „gratisów” których wartość jest tak duża, że w zasadzie bez wyrażenia zgody nie dojdzie do wykonania umowy lub usługi.

RODO

RODO w praktyce: Czy „wdrożenie” RODO załatwia… wdrożenie?

O nas Daniel
www.rybarczyk-kancelaria.pl

Wdrażasz RODO, przeprowadzasz audyt, przygotowujesz dokumentację, szkolisz siebie i pracowników. I po krzyku! Fakt, wydałeś/wydałaś na to trochę „grosza”, ale przynajmniej masz spokój i nic nam nie grozi.

Otóż mam dla Ciebie, drogi Administratorze, informację, która bardzo Cię zasmuci: GROZI CI I TO DUŻO! Oczywiście nie chcą straszyć kontrolami i karami, bo o tym wiedzą już wszyscy, ale chciałbym postawić śmiałą tezę, że „wdrożenie” RODO nie gwarantuje jego… wdrożenia. Nie wiem o czym piszę? Żeby uprościć mój tok rozumowania, nazwijmy oba „wdrożenia” odpowiednio: wdrożenie 1 i wdrożenie 2.

Czym jest wdrożenie 1? To Twój pierwszy kontakt z RODO i przepisami dostosowującymi prawo polskie do RODO. To zoptymalizowanie działalności Twojej instytucji pod kątem przepisów o ochronie danych osobowych, a w szczególności przeprowadzenie audytu, przygotowanie dokumentacji, zadbanie o podniesienie swojej świadomości i poziomu wiedzy z zakresu ochrony danych osobowych. Oczywiście wszystko powinno być udokumentowane, a wszelkie procedury wdrożone.

Co się jednak dzieje dalej? Któryś z Twoich pracowników w ogłoszeniu o pracę prosi kandydatów o sformułowanie w CV oświadczenia o wyrażeniu zgody na przetwarzania danych osobowych na podstawie ustawy o ochronie danych osobowych z 1997 r.? A może Rejestr Czynności Przetwarzania Danych nagle przestał być aktualizowany? Jeden z Twoich klientów wniósł sprzeciw wobec przetwarzania jego danych osobowych, a Ty już nie pamiętasz, co trzeba zrobić? W takiej sytuacji musisz zadać sobie jedno pytanie: CZY JA W OGÓLE WDROŻYŁAM/WDROŻYŁEM RODO?

Wdrożenie można uznać za dokonane wtedy, gdy wszystko śmiga, kiedy zarówno Ty jak i Twoi pracownicy znacie przepisy RODO, umiecie jest stosować, wiecie jest spełniać obowiązek informacyjny, jak stosować się do określonych procedur i jak odpowiadać na żądania osób. Oczywiście to tylko wycinek. Jeżeli – mimo wdrożenia 1 – to wszystko kuleje, to jak można uznać, że w Twojej instytucji wdrożono RODO?

Zresztą, nawet gdybyś na wdrożenie 1 wydała/wydał niebotyczne sumy i najlepsi specjaliści z zakresu RODO przygotowali dla Ciebie dokumentację, to nie wolno Ci spocząć na laurach. W tym momencie dochodzimy do wdrożenia 2, czyli etapu, który trwa… cały czas. Wdrożenie RODO to bowiem proces ciągły, który sprowadza się nie tylko do pewnych czynności w zamkniętym okresie, ale cały czas towarzyszy administratorowi danych osobowych oraz jego personelowi. Nie zapominaj o tym, że cały czas kształtuje się praktyka stosowania RODO (sam Urząd Ochrony Danych Osobowych aktualizuje swoje poradniki), a przepisy mogą się zmieniać. Dla przykładu 4 maja 2019 r. weszła w życie ustawa, która dostosowała 162 polskie ustawy do RODO, w tym m.in. Kodeks pracy. Czy na etapie wdrożenia przed 25 maja 2018 r. Twoja wiedza odnośnie tego, jakie dane pracowników i kandydatów do pracy możesz przetwarzać, obejmowała już projekt tej nowelizacji? Jeśli od tego czasu nie zmieniłaś/nie zmieniłeś nic w swojej dokumentacji i swoich procedurach, to jak najszybciej należałoby to poprawić.

Ponadto nie ulega wątpliwości, że nie zawsze masz bezpośrednią kontrolę nad tym, co robią Twoi pracownicy (albo czego nie robią). A przecież to Ty jako administrator odpowiadasz za stosowanie RODO w swojej instytucji! Nie zastanawiaj się zatem i przeprowadź audyt sprawdzający. Postaraj się dbać o audytowanie przetwarzania i obiegu danych osobowych w swojej instytucji przynajmniej raz w roku. Dobrze przeprowadzony i udokumentowany audyt nie tylko pozwoli Ci na ciągłe poprawianie wdrożenia 2, ale odpowiada też realizacji zasady rozliczalności według RODO.

RODO

RODO w praktyce: Jak można przekazywać dane osobowe do Szwajcarii?

Prowadzimy kancelarię radców prawnych w Kaliszu
www.rybarczyk-kancelaria.pl

Przekazywanie danych osobowych do Szwajcarii jest przekazywaniem danych osobowych do Państwa Trzeciego na podstawie RODO.

Szwajcaria (a właściwie Konfederacja Szwajcarii) nie jest członkiem Unii Europejskiej. Nie jest też członkiem Europejskiego Obszaru Gospodarczego (w którego skład wchodzą oprócz krajów Unii Europejskiej również Norwegia, Islandia i Lichtenstein).

Wielu polskich przedsiębiorców współpracuje z podmiotami szwajcarskimi, w szczególności w dziedzinie handlu, transportu i nowych technologii. W takich kontaktach gospodarczych zawsze będzie dochodzić do przekazywania danych do Szwajcarii, a zatem konieczne będzie wdrożenie odpowiednich procedur związanych z przekazywaniem danych do Państwa Trzeciego.

Pierwsze ułatwienie przychodzi nam w postaci Decyzji Komisji z dnia 26 lipca 2000 r. na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie ochrony danych osobowych w Szwajcarii. Przedmiotowa decyzja stwierdza, że Szwajcaria zapewnia właściwy poziom ochrony danych osobowych przekazywanych ze Wspólnoty. Dlaczego ta decyzja jest tak istotna? Jedną z podstaw przekazywania danych osobowych do Państwa Trzeciego jest art. 45 ust. 1 RODO:

Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia”.

Jest to najlepsza i najbezpieczniejsza podstawa przekazywania danych osobowych do Państwa Trzeciego. Wątpliwości mogą rodzić się w związku z tym, że wspomniana Decyzja Komisji z 26 lipca 2000 r. została wydana jeszcze pod rządami dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, a nie pod rządami RODO. Przedmiotowa Decyzja nie została jednak nigdy uchylona, podobnie jak i inne decyzje wydane w stosunku do innych państw. Powyższe oznacza, że Decyzja w stosunku do Szwajcarii nadal pozostaje w mocy, także pod rządami RODO. RODO nie doprowadziło bowiem do anulowania jakichkolwiek decyzji Komisji na podstawie dyrektywy 95/46/WE wydanych przed wejściem w życie RODO ani ich nie zmieniło. Na moment publikacji tego artykułu, doszło do wydania jednej decyzji na podstawie art. 45 RODO – w stosunku do Japonii. Obecnie trwają rozmowy na temat wydania kolejnej decyzji – w stosunku do Korei Południowej.

Odpowiadając zatem na zadane w tytule wpisu pytanie: do Szwajcarii można przekazywać dane osobowe i to w oparciu o art. 45 ust. 1 RODO. Nie oznacza to jednak, że administrator danych osobowych przekazujący dane do Szwajcarii jako Państwa Trzeciego jest zwolniony od jakichkolwiek obowiązków. Konieczne będzie wdrożenie odpowiednich procedur związanych z przekazywaniem danych do Państwa Trzeciego, w tym między innymi: opracowanie (lub zaktualizowanie) klauzul informacyjnych (czy też w ogóle wykonanie obowiązku informacyjnego wobec osób, których dane są przekazywane do Szwajcarii), uzupełnienie odpowiednich rubryk w Rejestrze Czynności Przetwarzania Danych, a także (przed rozpoczęciem przekazywania danych) dokonanie oceny skutków dla ochrony danych.

RODO

RODO w praktyce: Ile kosztuje wdrożenie RODO? „RODO za 200 złotych!”

DSC_0559
www.rybarczyk-kancelaria.pl

RODO za 200 złotych!”,Dokumentacja RODO już od 100 złotych”, „Szkolenie RODO za 50 złotych!” – takie slogany pojawiają się w wyszukiwarce google, gdy wpisze się hasło: „Ile kosztuje wdrożenie RODO?”. Dlaczego jednak obok takich ofert da się zauważyć np. oferty za 8000 złotych za sam audyt czy też szkolenia w zakresie RODO od 3000 złotych? Skąd ta dysproporcja i jak odnaleźć się w tym gąszczu cen? Jeśli zatem jeszcze nie wiesz, ile tak naprawdę kosztuje wdrożenie RODO, to pozwól, że odpowiem Ci na to pytanie jednym słowem: DUŻO!

„Dlaczego dużo? I Co to znaczy dużo?” – zapytasz. – „Przecież ogłasza się firma, która mi to zrobi za 200 złotych, to po co mam płacić grube tysiące?” I to jest pierwszy podstawowy błąd w podejściu do tematu. Przez analogię: mamy dwa sklepy oferujące do sprzedaży odkurzacze. Jeden sprzedaje najnowszy model za 50 złotych, a drugi za 1500 złotych. Tak, ten sam odkurzacz w dwóch skrajne różnych cenach. Nie zastanowisz się, co może być nie tak z tym odkurzaczem za 50 złotych? Skąd taka cena? Gdzie jest haczyk? Czemu zatem nie zastosujesz podobnego toku myślowego w przypadku wdrożenia RODO?

Tak, wiem. Pomyślisz sobie: „Przecież wdrożą mi, dadzą papiery i kontrola nic mi nie zrobi”. A skąd taki wniosek? Znasz dobrze RODO? Odpowiesz: „Nie muszę, przecież to oni mi wdrażają”. A wiesz, że za wdrożenie RODO i stosowanie się do niego odpowiada zawsze administrator. Przecież wiesz, kto jest administratorem… no Ty! Właśnie TY! Nadal czujesz się spokojnie? Nie zastanawiasz się czy to „wdrożenie za 200 złotych” aby na pewno załatwiło wszystko?

Tu przechodzimy do sedna sprawy. Patrząc na te wszystkie ogłoszenia i oferty typu „RODO za 200 złotych”, zawsze staram się zapoznać z tym, co zawierają. Jeżeli widzę, że po kliknięciu w następny krok wyświetla się: ogólna dokumentacja RODO, to w sumie mogę nawet nie mieć pretensji do podmiotu, który oferuje tego typu usługi. Pretensje mogę mieć do administratora, który z takich usług korzysta, myśląc, że te usługi skutecznie wdrożą RODO w jego instytucji. Nie da się bowiem wdrożyć RODO samą dokumentacją a tym bardziej dokumentacją ogólną. RODO to nie tylko „papierologia”, ale też między innymi świadomość, procedury i rejestry. W porządku, idźmy dalej… następna strona, a tutaj taki kwiatek „Ściągnij indywidualną dokumentację RODO za 299 złotych!”. Pytam: JAK? W jaki sposób ta „strona” dowie się, czym zajmuje się moje przedsiębiorstwo, jakie dane są w nim przetwarzane, w jakim celu, na jakiej podstawie prawnej itd.? Czy mam jakieś braki w zakresie postępu technologicznego?

Teraz już rozumiesz drogi Administratorze? Żeby wdrożyć RODO, należy przejść długą i niejednokrotnie wyboistą drogę. Bez poznania specyfiki Twojej instytucji nie sposób napisać choćby zdania w projekcie dopasowanej dla Ciebie dokumentacji. Bez audytu RODO nie da się przeprowadzić szkolenia dla Twoich pracowników albo przygotować klauzul informacyjnych. Sam audyt może zająć dzień, kilka dni albo nawet kilka miesięcy. A reszta? Zdajesz sobie sprawę, ile zajmie to godzin i jaki będzie nakład pracy? A dodatkowo: interpretacje i praktyka stosowania RODO dopiero się kształtują, a zatem osoba wdrażająca RODO w Twojej firmie musi się nieustannie szkolić i śledzić wszelkie nowinki. Czy za taką pracę zadowoliłoby Cię wynagrodzenie rzędu 200 złotych?

Dlatego ponownie odpowiadając na pytanie: Ile kosztuje wdrożenie RODO, należy odpowiedź: DUŻO. A ile dokładnie? Wszystko zależy od specyfiki danej instytucji, ilości danych, pracowników i czasu, jaki należy poświęcić na audyt oraz dalsze czynności wdrożeniowe. Cena zatem jest zawsze zindywidualizowana.

Czy warto płacić DUŻO za wdrożenie RODO? No cóż… skoro kary za nieprzestrzeganie RODO mogą sięgać milionów euro, to chyba odpowiedź jest jasna.