Jak wdrożyć RODO w firmie prowadzącej wynajem mieszkań

Jak wdrożyć RODO w firmie prowadzącej wynajem mieszkań

Jednym z obowiązków firm zajmujących się wynajmem jest przestrzeganie RODO. Wbrew pozorom, wdrożenie RODO nie polega tylko na dodaniu odpowiednich klauzul informacyjnych do umowy najmu. To tylko nikła część tego, co trzeba zrobić, żeby prawidłowo wypełnić wymagania związane z ochroną danych osobowych. W tym artykule dokładnie tłumaczę, na przykładzie konkretnej firmy, w jaki sposób „wdrożyć RODO” w małej firmie zajmującej się wynajmem mieszkań.

Ten artykuł opisuje moje podejście do RODO dla firmy, która wynajmuje komuś mieszkania. Jest on adekwatny dla wynajmujących prowadzących swój najem w ramach indywidualnej działalności gospodarczej, spółki z ograniczoną odpowiedzialnością czy też innego rodzaju podmiotu gospodarczego.

Przede wszystkim, zanim zaczniesz czytać ten artykuł, przeczytaj mój poprzedni artykuł o RODO dla wynajmujących. Znajdziesz tam m.in. krótkie podsumowanie kwestii teoretycznych:

  • co to jest RODO,
  • co to są dane osobowe i ich przetwarzanie,
  • kiedy RODO obowiązuje wynajmujących,
  • jakie masz obowiązki związane z RODO.

W niniejszym artykule nie będę więc ww. informacji powtarzał. Niniejszy artykuł jest bardziej praktyczny, pokazujący, jak te obowiązki wynikające z RODO zrealizować, ale do jego zrozumienia i stosowania konieczna jest znajomość teorii z poprzedniego.

W szczególności, na podstawie poprzedniego artykułu oceń, czy RODO w ogóle Cię dotyczy. W dużym skrócie, jeśli przetwarzasz dane wyłącznie w celach osobistych, to możesz skorzystać z wyłączenia z art. 2 pkt 2 lit c rozporządzenia i RODO Cię nie dotyczy. Nie musisz wtedy czytać niniejszego artykułu. Zaoszczędzisz pewnie co najmniej kilkanaście minut swojego życia 😉

Niemniej, niektórzy specjaliści od RODO twierdzą, że tzw. „wynajem prywatny” (którego nie uznajemy za działalność gospodarczą z punktu widzenia Ustawy o PIT) to nie jest przetwarzanie danych wyłącznie w celach osobistych. Oznacza to, że ich zdaniem RODO dotyczy w praktyce wszystkich wynajmujących.

Spis treści:

Zastrzeżenia

Nie jestem prawnikiem ani zaawansowanym specjalistą od ochrony danych osobowych. Moje doświadczenia z RODO są takie, że „wdrażałem RODO” w kilku swoich firmach, ale ze wsparciem prawników m.in. Wojtka Wawrzaka z bloga Prakreacja.pl (którego zresztą pozdrawiam i dziękuję za solidne wsparcie).

RODO nie jest ścisłą regulacją i daje tylko ogólne wskazówki, jak powinny być realizowane określone w rozporządzeniu obowiązki. To pozostawia bardzo wiele do decyzji osób i firm, które chcą przetwarzać dane osobowe, stąd opisane w tym artykule podejście jest wynikiem mojej analizy i moich decyzji.

Co więcej, w miarę upływu czasu oraz nabywania doświadczenia (czyli tzw. praktyki), na pewno będę swoje podejście modyfikował. Przykładowo, moje podejście może się zmienić w wyniku publikacji UODO (warto śledzić stronę https://uodo.gov.pl/) lub powstania adekwatnych kodeksów postępowania zgodnie z art. 40 RODO. Przykładowo, jakiś czas temu UODO opublikował 10 wskazówek dla administratorów danych w kontekście RODO.

Niniejszy artykuł ma Wam pomóc we „wdrożeniu RODO” w firmie prowadzącej wynajem mieszkań. Pamiętajcie jednak, że każdy przypadek jest inny i z pewnością materiały z tego artykułu musicie dostosować do swojej sytuacji. Nie biorę też odpowiedzialności za skutki wykorzystania tego artykułu i nie stanowi on doradztwa prawnego.

Dodatkowo, o ile uważam, że w najprostszych przypadkach można „wdrożyć RODO” samemu, to nie obawiajcie się korzystać z prawników, przy czym zadbajcie o to, żeby to był prawnik znający się na tym temacie. W branży kreatywnej/e-commerce polecam Wojtka Wawrzaka, a w branży nieruchomości Piotra Dobrowolskiego.

Poniższy artykuł jest oparty o „wdrożenie RODO” w rzeczywistej firmie zajmującej się wynajmem, ale w przykładowych dokumentach zamieniłem jej nazwę na MOJEPOKOJE ADAM NOWAK. Pozostałe nazwy również zamieniłem na takie, które nie pozwolą na identyfikację rzeczywistych osób.

Jestem administratorem danych osobowych

W moim odczuciu zrozumienie idei administratora danych osobowych, a także procesora, a przede wszystkim różnicy między tymi dwoma pojęciami jest kluczowe.

Całe RODO dotyczy ochrony danych osobowych (definicję danych osobowych znajdziesz w moim poprzednim artykule). Zwracam uwagę, że chodzi o dane osobowe zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, czyli konkretnego człowieka (dane osoby prawnej np. spółki nie podlegają ochronie w ramach RODO). Ochrona danych osób fizycznych jest postrzegana jako podstawowe prawo człowieka.

Zgodnie z art. 4 RODO administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Wg mnie będzie nim podmiot, który przetwarza dane osobowe na swoje potrzeby (najczęściej pozyskane od osób, których dane dotyczą, ale mogą one być pozyskane także od innych osób np. gdy od najemcy uzyskujemy dane jego poręczyciela).

Z kolei, gdy jakiś podmiot przetwarza dane osobowe dla innego podmiotu, staje się podmiotem przetwarzającym dane, czyli tzw. procesorem (uwaga, nazwa „procesor” jest nazwą zwyczajową i nie występuje oficjalnie w RODO).

Z kolei procesor może powierzyć dane innemu procesorowi, który w ten sposób staje się podprocesorem.

Jako firma wynajmująca komuś mieszkania, jestem administratorem danych osobowych najemców, pracowników (o ile ich posiadam) oraz dostawców, a także osób, z którymi koresponduję (którzy nie zawsze zaliczają się do wcześniej wymienionych grup).

Nie jestem natomiast procesorem, ponieważ nie przetwarzam danych osobowych powierzonych mi przez kogoś innego do przetwarzania na jego zlecenie.

Powierzam jednak dane osobowe swoich najemców, pracowników oraz dostawców innym podmiotom do przetwarzania np. firmie księgowej (ona staje się ich procesorem).

Podstawa przetwarzania

Zgodne z prawem przetwarzanie danych osobowych, jak mówi art. 6 ust. 1 RODO, zawsze odbywa się na jakiejś podstawie:

  • zgody,
  • wykonania umowy,
  • wypełnienia obowiązku prawnego ciążącego na administratorze,
  • ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej,
  • prawnie uzasadnionych interesów administratora.

Wg mnie w ramach najmu nie przetwarzam danych szczególnych kategorii (art. 9 RODO) ani „karnych” (art. 10 RODO), nie zwracam więc uwagi na szczególne wymagania dotyczące przetwarzania tego rodzaju danych.

W przypadku najmu i przetwarzania danych najemców podstawą przetwarzania będzie najczęściej:

  • konieczność wykonania umowy (trudno zrealizować umowę najmu, jeśli nie znamy danych najemcy),
  • wypełnienie obowiązków prawnych przez administratora (np. wystawienie faktury, rozliczenie księgowe), a także
  • prawnie uzasadniony interes administratora (przechowujemy dane najemcy do momentu przedawnienia roszczeń, które mogą wytoczyć obydwie strony).

Dla przetwarzanych przeze mnie danych pracowników, dostawców i osób, z którymi koresponduję, podstawy mogą być nieco inne (patrz fragment artykułu o obowiązku informacyjnym).

Wystarczy znaleźć jedną podstawę prawną dla danego rodzaju przetwarzania.

Jeśli nie masz dla jakichś danych co najmniej jednej podstawy przetwarzania, to nie powinieneś ich przetwarzać.

Uwaga, wg mnie zasadniczo w przypadku działalności polegającej na najmie nie musimy od nikogo zbierać zgód na przetwarzanie jego danych (chyba że zamierzamy robić coś wykraczającego poza najem). Jeśli mogę wykazać, że jakieś przetwarzanie jest niezbędne do wykonania umowy lub zabezpieczenia mojego prawnie uzasadnionego interesu, to zgoda nie jest potrzebna.

Moje podejście do RODO na jednym obrazku 😉

Po przeczytaniu 2 czy 3 książek o RODO, kilkudziesięciu artykułów i dość szybkim „wdrożeniu” RODO w kilku swoich firmach (ze wsparciem ww. prawników) nadal nie czuję się ekspertem w tym temacie. Doszedłem jednak do wniosku, że RODO nie jest jakimś oderwanym od rzeczywistości zbiorem wymagań, ale ogólnym, jak najbardziej jednak spójnym, systemem mającym zapewnić ochronę danych osobowych w całej Unii. Postarałem się więc zwizualizować swoje rozumienie RODO dla firmy zajmującej się wynajmem mieszkań na jednym obrazku:

Podkreślam, że nie jest to obrazek, który ma zilustrować całe „RODO”, ale pokazać podejście do ochrony danych osobowych dla konkretnego podmiotu gospodarczego, czyli firmy wynajmującej mieszkania. Powyższy obrazek pozwolił mi na weryfikację, czy objąłem „wdrożeniem” wszystkie elementy, a także na pewne uporządkowanie podejścia i uporządkowanie tego artykułu. Nie przejmuj się w tym momencie, jeśli nie rozumiesz w pełni tego obrazka. Poniżej opisuję poszczególne jego elementy – po przeczytaniu tego artykułu stanie się on dla Ciebie jasny.

Analiza ryzyka

RODO narzuca nam podejście do przetwarzania danych osobowych oparte o ryzyko.

O jakie ryzyko chodzi?

Patrząc na motyw 75 RODO, można powiedzieć, że chodzi o ryzyko naruszenia praw lub wolności osób, których te dane dotyczą. Nie chodzi więc o ryzyko dla naszej firmy np. kary lub szkody biznesowej wynikającej z wycieku danych, ale o to, czy ucierpią osoby, których dane przetwarzamy.

To ryzyko musimy regularnie analizować (szacować).

RODO nie podaje konkretnej metody przeprowadzania analizy. Każdy musi dokonywać jej samodzielnie, uwzględniając wiele specyficznych dla niego czynników, takich jak: wielkość, struktura organizacyjna, możliwości techniczne czy charakter, zakres danych oraz cel przetwarzania, kontekst oraz zagrożenia dla tych danych.

Następnie powinniśmy dostosować do tego ryzyka nasze podejście do przetwarzania danych, w szczególności musimy dostosować wszelkie środki związane z bezpieczeństwem przetwarzanych danych.

RODO nie narzuca więc nam jakichś konkretnych rozwiązań zabezpieczających przetwarzane dane, ale wymusza analizę ryzyka i dostosowanie tych rozwiązań do wyników tej analizy.

Wziąłem więc sobie powyższe założenia do serca i dokonałem analizy ryzyka. Fakt ten opisałem w notatce (znajdziecie ją w pakiecie dokumentów).

Wszystkie przykładowe dokumenty z tego artykułu możesz otrzymać, zapisując się na mój DARMOWY newsletter. Oprócz tych dokumentów (za darmo!) otrzymasz także m.in. wzór umowy najmu oraz mailowy kurs rozliczania podatków od najmu. Jeśli jesteś już moim subskrybentem, po wpisaniu adresu e-mail w formularzu do zapisu na newsletter zostaniesz od razu przekierowany na stronę, z której będziesz mógł pobrać pliki RODO oraz inne bonusy.

Z mojego rozumienia RODO wynika, że analiza ryzyka powinna być przeprowadzana raz na jakiś czas, a inne elementy powinny być dostosowane do wyników tej powtarzanej analizy (art. 24 ust. 1 RODO: „[…] Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”.).

W moim wykonaniu polega to po prostu na tym, że raz na rok dokonuję ponownej analizy i oceniam, czy muszę zmienić coś w swoim podejściu do przetwarzania danych (a jeśli coś wymaga zmiany, to odpowiednio modyfikuję podejście). Zgodnie z zasadą rozliczalności (o której piszę niżej) z tej ponownej analizy również sporządzam notatkę (z tego powodu w pakiecie dokumentów znajdziecie dwie notatki – z 1 maja 2018 roku oraz z 1 maja 2019 roku) i archiwizuję w odpowiednim folderze.

Więcej szczegółów na temat podejścia opartego o ryzyko znajdziesz w dwuczęściowym poradniku przygotowanym przez Prezesa UODO.

Ocena skutków przetwarzania

Opisana wyżej ocena ryzyka jest też podstawą do decyzji, czy musimy zrobić ocenę skutków przetwarzania.

Artykuł 35 RODO mówi, że jeżeli dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to musimy, przed rozpoczęciem przetwarzania (!), dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. W tym samym artykule wymienione są również przykładowe sytuacje, w których taka ocena jest konieczna. Narzuca też na organ nadzorczy (w przypadku Polski na Prezesa UODO) obowiązek podania do publicznej wiadomości wykazu rodzajów operacji przetwarzania, które powodują konieczność zrobienia oceny skutków przetwarzania.

W lipcu 2019 roku Prezes UODO wydał komunikat w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony.

Po analizie ryzyka oraz przejrzeniu ww. komunikatu Prezesa UODO stoję na stanowisku, że operacje przetwarzania danych, które wykonuje moja firma świadcząca usługi najmu, nie wymagają dokonania oceny skutków przetwarzania.

Uwaga to jest moja subiektywna ocena, dokonana na bazie wykonanej w mojej firmie analizy ryzyka. W Twoim wypadku sytuacja może być inna.

Analizę ryzyka, jak wspomniałem wcześniej, przeprowadzam raz na rok, więc adekwatnie do tego raz na rok dokonuję decyzji, czy muszę wykonać ocenę skutków przetwarzania.

Jesteś winny (zasada rozliczalności, czyli domniemanie winy)!

Artykuł  5 ust. 2 RODO mówi, że „Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”)”.

Dodatkowo, artykuł 82 ust. 3 RODO mówi, że „Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności […], jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody”.

Zasada rozliczalności oznacza, że nie tylko musimy wykonać obowiązki wynikające z RODO, ale także być w stanie udowodnić, że je wykonaliśmy. RODO zakłada domniemanie winy, czyli jeśli nie wykażesz, że nie ponosisz winy, to automatycznie, jako administrator, odpowiadasz za szkody spowodowane przetwarzaniem naruszającym RODO (artykuł 82 ust. 2).

Jedynym chyba sposobem na udowodnienie, że coś zrobiliśmy zgodnie z RODO, jest odpowiednia dokumentacja. Z tego powodu przy wszystkich obowiązkach opisywanych w tym artykule zawsze opisuję także, w jaki sposób dokumentuję wykonanie tego obowiązku. Dzięki dokumentacji będę miał w razie potrzeby możliwość udowodnienia, że tego obowiązku dopełniłem. Przykładowo, każda wspomniana wcześniej analiza ryzyka jest opisana w osobnej notatce, która jest dowodem, że tej analizy dokonałem.

Na samym końcu tego artykułu opisuję dokładniej, w jaki sposób zarządzam dokumentacją, przede wszystkim właśnie po to, żeby zadośćuczynić zasadzie rozliczalności.

Uwaga, ta konieczność dokumentacji wszystkiego doprowadziła do tego, że spełnienie obowiązków wynikających z RODO jest przez wiele osób utożsamiane ze zrobieniem/prowadzeniem odpowiedniej dokumentacji! Nic bardziej mylnego!

Do spełnienia obowiązków wynikających z RODO nie wystarczy „zrobić papiery”. Trzeba spełniać wymagania RODO, czyli m.in. odpowiednio przetwarzać i zabezpieczać dane, a potem to jeszcze (niestety) udokumentować, żeby mieć dowód, że to prawidłowo robimy.

Obowiązek informacyjny

Jednym z praw, które zapewnia wszystkim RODO, jest prawo do wiedzy, co się dzieje z naszymi danymi osobowymi. Z tym wiąże się narzucony na administratora obowiązek informacyjny. Ma on poinformować osobę, której dane przetwarza:

  • gdy zbiera dane od tej osoby (artykuł 13 RODO),
  • gdy zbiera dane na temat tej osoby z innych źródeł (artykuł 14 RODO),
  • gdy zmienia albo dodaje cel przetwarzania,
  • gdy osoba, której dane dotyczą, zażąda dostępu do danych (artykuł 15 RODO).

Ale o czym poinformować?

Dość precyzyjnie określają to wspomniane wyżej artykuły 13, 14 i 15 RODO.

Przykładowo, gdy zbieramy dane od osoby, której te dane dotyczą, musimy przedstawić jej m.in.:

  • tożsamość i dane kontaktowe administratora,
  • cel i podstawy prawne przetwarzania danych,
  • odbiorców lub kategorie odbiorców danych,
  • informację o okresie przechowywania danych (lub kryteriach jego ustalania),
  • jej prawach i ewentualnym profilowaniu

(uwaga, powyższa lista nie jest pełna – odsyłam do artykułu 13 RODO).

Trzeba pamiętać, że musimy spełnić obowiązek informacyjny wobec wszystkich osób, których dane przetwarzamy (nie tylko wobec najemców).

Jak to zrobić?

Wobec najemców

Ja przedstawiam najemcom kartkę, na której umieszczam odpowiednie informacje (jest to załącznik do umowy najmu) i proszę o podpis. Potem tę kartkę skanuję i wrzucam do odpowiedniego folderu razem z zeskanowaną umową, a papierową wersję archiwizuję w segregatorze.

Przykład takiego dokumentu znajdziesz w pakiecie, który otrzymasz po zapisaniu się na newsletter. Uprzedzam, że ten dokument należy odpowiednio zmodyfikować i dostosować do swojego przypadku (pewnym minimum jest, chociażby wstawienie odpowiednich danych administratora 😉).

Jednym z elementów, o których trzeba poinformować osoby, których dane przetwarzamy, jest podstawa ich przetwarzania. Zwracam uwagę, że, zgodnie z tym, co napisałem wcześniej w tym artykule, w przypadku przetwarzania danych osobowych naszych najemców podstawą przetwarzania nie jest zgoda najemcy (nie musimy mieć od nich zgody). Z tego powodu podpis na tej kartce nie jest zgodą, ale wyłącznie potwierdzeniem dla mnie, że najemca otrzymał i zapoznał się z tymi informacjami (pamiętasz o zasadzie rozliczalności? Ten podpis jest dowodem, że dopełniłem obowiązku informacyjnego).

Czasami niektórzy wynajmujący uzyskują jednak od najemców zgody np. na przedstawienie im oferty przedłużenia najmu na kolejny rok. Wg mnie najlepiej dodać wtedy odpowiednie pole w ww. dokumencie oraz odpowiednio zmodyfikować informacje m.in. o celach i podstawach przetwarzania. Podpis najemcy będzie potwierdzeniem zgody.

Jak już wspomniałem wcześniej, przetwarzam dane osobowe nie tylko najemców, ale także innych osób: pracowników, dostawców i osób, z którymi wymieniam maile (którzy nie zawsze należą do jednej z wcześniej wymienionych grup). Wobec nich również należy dopełnić obowiązku informacyjnego.

Wobec pracowników

Właściwie to musiałem dopełnić obowiązku informacyjnego wobec jednego pracownika, bo tylko jednego zatrudniam 😉. Zrobiłem to poprzez przedstawienie odpowiedniego dokumentu, a na jego kopii uzyskałem potwierdzenie, że zapoznał się z nim. Oczywiście, zarchiwizowałem dokument w postaci elektronicznej oraz papierowej.

Przykład takiego dokumentu znajdziesz w pakiecie, który otrzymasz po zapisaniu się na newsletter.

Przetwarzanie danych w procesach rekrutacji i zatrudniania pracowników to oczywiście bardzo szeroki temat, którego nie jestem w stanie pokryć w tym artykule. Jeśli jesteś pracodawcą, polecam poradnik UODO na ten temat.

Aczkolwiek inny organ też wypowiedział się na ten temat i, jak to zwykle w Polsce bywa, jego zdanie jest odmienne 😉

Wobec dostawców

Wobec dostawców, o ile są to osoby fizyczne, spełniłem obowiązek informacyjny wysyłając im również odpowiedni dokument, a potem zachowałem kopię maili, które wysłałem.

Przykład takiego dokumentu znajdziesz w pakiecie, który otrzymasz po zapisaniu się na newsletter.

Wobec odbiorców maili

Polityka w kontaktach bezpośrednich, do której link mam w stopce każdego maila (mojepokojeadamnowak.pl/klauzula-informacyjna-mail), jest sposobem na spełnienie obowiązku informacyjnego wobec osób, z którymi koresponduję mailowo.

Przykład takiego dokumentu znajdziesz w pakiecie, który otrzymasz po zapisaniu się na newsletter.

W przypadku wielu firm elementem związanym z obowiązkiem informacyjnym jest polityka prywatności publikowana najczęściej na stronie internetowej. W moim przypadku zdecydowałem, że nie będę mieć/publikować polityki prywatności, bo… firma nie ma strony internetowej i obowiązek informacyjny spełniam poprzez wcześniej wymienione elementy.

Niektórzy wynajmujący żądają od swoich najemców poręczenia od kogoś innego np. od studenta żądają poręczenia od rodziców. W takim wypadku należy również spełnić obowiązek informacyjny wobec osób poręczających.

W przypadku podnajmu, gdzie przetwarzasz dane osobowe właścicieli mieszkań, obowiązku informacyjnego należy dopełnić także wobec nich.

Obsługa praw jednostki

Jeśli przejrzałeś dokumenty przedstawiane najemcom i innym osobom, których dane przetwarzamy, to zauważyłeś zapewne, że informujemy tam te osoby o prawach im przysługujących m.in. prawie dostępu do swoich danych oraz otrzymania ich kopii, prawie do sprostowania (poprawiania) swoich danych, prawie do usunięcia danych, ograniczenia przetwarzania danych, prawie do wniesienia sprzeciwu wobec przetwarzania danych, prawie do przenoszenia danych, prawie do wniesienia skargi do organu nadzorczego.

Skoro informujemy ich, że mogą skorzystać z tych wszystkich praw, to musimy im jeszcze to umożliwić (zrealizować ich żądania). To, w jaki sposób to zrobić, opisuje art. 12 RODO.

Przede wszystkim, musimy się komunikować „w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem”. Dotyczy to nie tylko komunikacji podczas obsługi żądań, ale całej komunikacji z osobami, których dane przetwarzamy. Przykładowo, o jakość komunikacji musimy zadbać również w dokumencie informacyjnym. Nie powinniśmy więc np. używać żargonu prawniczego, cytować wyłącznie przepisów, a najlepiej też przeprowadzić tzw. „test Kowalskiego” (czyli dać to do przeczytania przeciętnemu człowiekowi bez doświadczenia z ochroną danych i sprawdzić, czy rozumie).

Zanim odpowiemy na żądanie, musimy potwierdzić tożsamość/uwierzytelnić daną osobę, żeby mieć pewność, że udzielamy informacji właściwej osobie.

Ze względu na zasadę rozliczalności powinniśmy komunikować się na piśmie lub elektronicznie. Na żądanie wnioskodawcy można informacji udzielić ustnie, ale i tak wtedy trzeba potwierdzić tożsamość i udokumentować jakoś obsługę żądania.

Powinniśmy bezzwłocznie odpowiadać na każde żądanie, a w każdym razie w ciągu miesiąca (w uzasadnionych przypadkach można to wydłużyć o 2 miesiące, z podaniem uzasadnienia). W ciągu miesiąca powinniśmy także poinformować wnioskodawcę, jeśli zdecydujemy się nie zrealizować żądania (i podać powody).

W przypadku nieuzasadnionych lub nadmiernych (także ze względu na swój ustawiczny charakter) żądań możemy pobrać rozsądną opłatę (uwzględniającą koszty administracyjne) za ich realizację albo odmówić podjęcia działań. Powinniśmy jednak sami wykazać, że żądanie jest nieuzasadnione lub nadmierne.

Jak więc mogłaby wyglądać obsługa takiego żądania? Wg mnie trzeba wykonać następujące kroki:

  • potwierdzenie tożsamości (żeby się upewnić, że odpowiemy właściwej osobie),
  • analiza, czy jest zasadne i nie jest nadmierne,
  • ewentualne pobranie opłaty, jeśli żądanie jest nieuzasadnione lub nadmierne, lub odmowa realizacji,
  • sprawdzenie, czy w ogóle przetwarzamy dane wnioskodawcy (jeśli nie, informujemy go o tym i zamykamy sprawę),
  • analiza i realizacja żądania np. poprzez udzielenie informacji.

Dobrym przykładem żądania, które często się pojawia, a jednocześnie możemy odmówić jego realizacji, jest wniosek od byłego najemcy, żebyśmy usunęli wszystkie jego dane. Często tak się dzieje, gdy rozstajemy się z najemcą w nie najlepszej atmosferze (bo np. zatrzymaliśmy część jego kaucji na poczet zniszczeń, które zrobił w lokalu) i on w złości przysyła nam żądanie „Na podstawie RODO proszę skasować wszystkie moje dane, które Państwo mają”.

W takiej sytuacji należy zapisać jego żądanie, wysłać odpowiedź odmowną i ją również zapisać.

A dlaczego możemy odmówić realizacji tego żądania? Ponieważ mamy inne niż jego zgoda podstawy przetwarzania jego danych np. obowiązki wynikające z przepisów prawa (np. musimy przechowywać dokumentację księgową czy też prawnie uzasadniony interes (np. ochrona przed jego roszczeniami w przyszłości)).

Przy każdym żądaniu, nawet gdy odmówimy jego realizacji, musimy pamiętać o zasadzie rozliczalności, czyli o dokumentowaniu. Ja po prostu zapisuję w odpowiednim folderze wszystkie żądania (np. wydruk maila do PDF) oraz nasze odpowiedzi na nie (także wydruk maila do PDF).

Ograniczenie celu, minimalizacja danych, ograniczenie przechowywania

Zgodnie z artykułem 5 ust. 1 pkt b RODO dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”).

Wg mnie oznacza to tyle, że jeśli wzięliśmy dane od najemców w celu realizacji umowy najmu i ochrony przed roszczeniami, to nie możemy zacząć wykorzystywać je, bez dodatkowych kroków (m.in. dopełnienia obowiązku informacyjnego i zdobycia zgody) np. do marketingu jakichś usług wśród naszych najemców. Dbam więc o to, żeby wykorzystywać je wyłącznie w tych celach, do których je od nich zebrałem (i o tych celach tych najemców poinformowałem).

Zgodnie z artykułem 5 ust. 1 pkt c RODO dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”).

W dużym skrócie oznacza to, że zbieramy od najemców i potem przetwarzamy wyłącznie te dane, których naprawdę potrzebujemy (które są niezbędne do realizacji celów przetwarzania). Przykładowo, od dawna nie kopiuję już ich dowodów osobistych (akurat tego nie robię nie tylko z powodu RODO), nie pytam najemców o informacje, których nie potrzebuję. W przypadku zaświadczeń o zatrudnieniu proszę jedynie o ich okazanie, natomiast ich nie zbieram i nie archiwizuję.

Zgodnie z artykułem 5 ust. 1 pkt e RODO dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”).

Oznacza to, że dane możemy przechowywać tak długo, jak jest to uzasadnione celami ich przetwarzania (czyli tak długo jak mamy podstawę ich przetwarzania). Przykładowo, jeśli przechowujemy je w celu ochrony przed roszczeniami, to robimy to wyłącznie do upływu okresu przedawnienia roszczeń (te okresy są określone innymi przepisami).

W mojej opinii nie jest łatwo określić, jak długo powinniśmy czy też możemy przetwarzać (przechowywać) poszczególne dane. Wg mnie w przypadku danych najemcy znajdujących się na umowie uzasadnione może być przechowywanie nawet przez kilkanaście lat.

W każdym razie zadbałem o to, żeby o okresie lub kryteriach jego ustalania poinformować w dokumencie informacyjnym wszystkie osoby, których dane przetwarzam. Do tego raz na jakiś czas analizuję przetwarzane dane i ewentualnie usuwam te, do przetwarzania których nie mam już podstaw. Niemniej, to zagadnienie nie jest banalne i nie mam jeszcze dobrego rozwiązania np. na usuwanie tych danych z kopii zapasowych (na których siłą rzeczy możemy mieć sporo danych, dla których podstawy przetwarzania zniknęły i należałoby je usunąć).

Zapewnienie bezpieczeństwa danych

Zgodnie z artykułem 5 ust. 1 pkt d i e RODO dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane („prawidłowość”), a także przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Na podstawie analizy ryzyka, o której pisałem wcześniej oraz adekwatnie do wyników tej analizy, trzeba wdrożyć odpowiednie środki techniczne i organizacyjne, żeby zapewnić prawidłowość, integralność i poufność danych osobowych, które przetwarzam.

Wg mnie środki techniczne to m.in. te dotyczące infrastruktury służącej do przetwarzania danych osobowych: urządzeń końcowych (komputery, telefony, tablety), serwerów i sieci, usług w chmurze, ale także po prostu firmowych szaf z dokumentami papierowymi. Nie wiem, czy widzieliście w Internecie reklamy „szaf zgodnych z RODO”? Nie bardzo wiem, czym różnią się od normalnych szaf zamykanych na klucz, ale jestem prawie pewien, że niczym 😉

Jakie środki techniczne wdrożyłem (prawdę mówiąc, wiele z nich było wdrożone już wcześniej, zanim w firmie nastało RODO 😉)?

Przede wszystkim, każda osoba w firmie ma swój login i hasło do każdego systemu, którego używamy. Nie stosujemy pożyczania sobie urządzeń czy też udostępniania loginu/hasła innym osobom. Wdrożyłem odpowiednią politykę zmiany tych haseł.

Dostęp do każdego urządzenia (komputera, telefonu, tabletu) jest chroniony hasłem.

Oczywiście, dbamy o to, żeby nie stracić komputera, telefonu czy tabletu, ale jeśli już do tego dojdzie, to osoba, która przejmie dane urządzenia, w praktyce nie powinna mieć możliwości odczytania danych znajdujących się na tym urządzeniu, ponieważ dane na nim są odpowiednio szyfrowane, tak, aby bez znajomości hasła nie można było ich odczytać.

W przypadku rezygnacji z danego urządzenia (np. wyrzucenia na śmietnik czy sprzedaży), a także w przypadku oddawania go do serwisu dbamy o skasowanie danych osobowych z nośników w danym urządzeniu.

Używamy tylko sprawdzonego oprogramowania, w tym oprogramowania antywirusowego, od wiarygodnych dostawców i na bieżąco je aktualizujemy.

Pliki firmowe trzymane są w chmurze, co niejako oznacza tworzenie kopii bezpieczeństwa poza siedzibą firmy, ale niezależnie od tego jeszcze robimy regularne kopie tych danych na lokalny „dysk sieciowy”.

Zadbaliśmy o ograniczony dostęp do biura (klucze i karty dostępowe), a jeśli już ktoś obcy wchodzi do biura, to dbamy o to, żeby nigdy nie został sam w pokoju/miejscu, gdzie mógłby mieć dostęp do danych.

Dokumenty papierowe zawierające dane osobowe trzymamy w zamkniętej na klucz szafie i nie leżą one nigdy „luzem” na naszym biurkach (chyba że akurat nad nimi pracujemy). A tak generalnie, nie tylko z tego względu, dążę do tego, żeby dokumenty papierowe wyeliminować (co jednak w polskiej rzeczywistości nigdy nie będzie do końca możliwe).

Powyższe kwestie można zawrzeć w „polityce czystego biurka”- zbiorze zasad, który możemy wdrożyć w firmie.

Środki organizacyjne to przede wszystkim ludzie. Są oni, tak naprawdę, kluczowym elementem bezpieczeństwa danych w firmie.

Mam w firmie jednego pracownika, w związku z tym przeprowadziłem szkolenie dla tego pracownika (zrobiłem to samodzielnie, z dokumentacją uczestnictwa w postaci karty szkolenia w celu spełnienia zasady rozliczalności), dałem upoważnienie do przetwarzania danych oraz pracownik podpisał zobowiązanie do zachowania poufności (te dokumenty również znajdziesz w pakiecie, który otrzymasz po zapisaniu się na newsletter). Oczywiście, w przypadku, gdy pracownik odchodzi, upoważnienie powinno być odwołane. W przypadku większej liczby pracowników/współpracowników należałoby prowadzić ewidencję wydanych i odwołanych upoważnień. Zgodnie z art. 24 ust. 2 RODO, wszystkie powyższe zasady opisałem w „Polityce ochrony danych osobowych”, która jest zbiorem zasad postępowania z danymi osobowymi, do przestrzegania których zobowiązani są wszyscy w mojej firmie. Taką politykę znajdziesz także wśród dokumentów, które otrzymasz po zapisaniu się na newsletter. Uwaga, absolutnie musisz dostosować jej treść do swojego przypadku.

Ponownie zgodnie z art. 24 ust. 2 RODO, stworzyłem także instrukcję zarządzania systemami informatycznymi, w której opisałem wszystkie zasady związane z naszą infrastrukturą IT wykorzystywaną do przetwarzania danych osobowych.

Moją wersję instrukcji zarządzania systemami informatycznymi otrzymasz w pakiecie po zapisaniu się na newsletter. Uwaga, absolutnie musisz dostosować jej treść do swojego przypadku.

Zgodnie z art. 24 ust. 1 RODO („Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.”) polityka ochrony danych osobowych a także instrukcja zarządzania systemami informatycznymi mogą, a wręcz powinny podlegać zmianom, w miarę nabywania nowych doświadczeń, nowych zagrożeń czy sposobów na zabezpieczenie danych.

Jedna uwaga na koniec: art. 24 ust. 2 mówi o wdrożeniu przez administratora odpowiednich polityk ochrony danych „Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania”. Nie wiem, czy stworzenie i wdrożenie tych dwóch dokumentów jest adekwatne w małej firmie zajmującej się wynajmem. W mojej opinii tak, ale ktoś może mieć inne zdanie, a ja w pełni je uszanuję.

Oczywiście, ww. elementy zapewniają zabezpieczenie danych w obrębie mojej firmy, ale ja przecież przekazuję te dane także innym podmiotom. Wdrażanie tych wszystkich zabezpieczeń u siebie w firmie nie miałoby sensu, gdybyśmy nie zadbali o to, żeby dane osobowe, które przetwarzamy, były bezpieczne u partnerów, którym je powierzamy. O tym, jak zapewnić bezpieczeństwo w przypadku powierzenia innym podmiotom, piszę poniżej.

Powierzenie danych innym podmiotom

Przekazuję dane swoich klientów innym podmiotom tj. powierzam im je do przetwarzania (te podmioty stają się dla mnie procesorami). Zgodnie z art. 28 ust. 1 RODO powinienem korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Co to oznacza? Trzeba po prostu wybierać wiarygodnych partnerów/dostawców, którzy wiedzą co to jest RODO i co do których masz pewność, że to RODO wdrożyli.

Zgodnie z art. 28 ust. 3 RODO administrator z każdym procesorem, któremu powierza dane do przetwarzania, powinien podpisać umowę powierzenia lub to powierzenie powinno odbywać się na podstawie innego instrumentu prawnego.

Art. 28 ust. 3 RODO dość precyzyjnie określa, jakie wymagania powinna spełniać umowa powierzenia lub inny instrument prawny wiążący administratora (czyli Twoją firmę) z procesorem.

Jeśli któryś z partnerów/dostawców, którym masz potencjalnie powierzać dane osobowe do przetwarzania, ma problem z podpisaniem umowy powierzenia albo nie podoba Ci się ta umowa (np. nie spełnia wymagań art. 28 ust. 3 RODO, dostawca nie bierze na siebie żadnej odpowiedzialności), to być może nie jest właściwym dostawcą i trzeba poszukać innego.

A komu powierza dane osobowe firma zajmująca się wynajmem mieszkań? Niestety, wielu podmiotom np.:

  • swojej firmie księgowej (nasze biuro podpisuje z klientami umowę powierzenia przy okazji podpisywania umowy na obsługę księgową),
  • firmie zarządzającej najmem w naszym imieniu (jeśli z takowej korzystamy),
  • firmie utrzymującej system do zarządzania najmem (w moim przypadku korzystam z Systemu Obsługi Najmu, który udostępnia odpowiednie informacje o RODO),
  • firmie obsługującej skrzynki mailowe (może to być firma hostingowa bądź po prostu Google lub Microsoft, jeśli korzystamy z płatnych skrzynek od tych firm),
  • dostawcy usługi chmurowej np. Dropbox, Google, Microsoft,
  • firmie IT zapewniającej wsparcie informatyczne,
  • firmie kurierskiej (jeśli z takowej korzystamy),
  • konserwatorom budynków,
  • innym podmiotom, w zależności od tego, w jaki sposób prowadzimy swój biznes.

Duże znaczenie ma to, czy dane będą przekazane poza Europejski Obszar Gospodarczy (EOG). Pamiętajcie, że RODO to akt unijny, w związku z tym z pewną dozą nieufności podchodzi do faktu, że dane mogłyby wypłynąć poza obszar obowiązywania RODO. Tak naprawdę, wg mnie, nie jest łatwo tego uniknąć, bo sporo firm korzysta z usług Google’a, który swoje serwery ma na całym świecie. Istnieje jednak możliwość sprawienia, żeby usługodawcy typu Google czy Microsoft przetwarzali Twoje dane tylko na obszarze EOG i/lub w innych bezpiecznych lokalizacjach (wg moich informacji opcja dostępna chyba tylko w ramach płatnych usług tych firm np. GSuite).

Jak podpisałem umowy powierzenia? W większości przypadków dostałem propozycję od partnerów/dostawców lub znalazłem na ich stronie internetowej i po przeanalizowaniu, czy dana umowa spełnia wymagania (obejmuje wszystkie elementy wymienione w art. 28 ust. 3 RODO) zawarłem je w formie dokumentowej (na papierze bądź inaczej). W przypadku niektórych dostawców upewniłem się, że wiąże mnie z nimi inny instrument prawny (tak było z Google, co do którego upewniłem się też, że znajduje się na liście Privacy Shield).

Oczywiście, dbam o to, żeby wszystkie powierzenia mieć udokumentowane. Każdy procesor, któremu powierzam dane, ma u mnie osobny folder, w którym trzymam informacje o podpisanej umowie powierzenia. Wśród pakietu dokumentów, który otrzymasz po zapisaniu się na newsletter, jest także przykładowa umowa powierzenia danych, którą klienci naszego biura rachunkowego podpisują z nami.

Zgłaszanie oraz ewidencja incydentów naruszeń 

Zgodnie z art. 33 ust. 1 RODO każdy administrator w przypadku naruszenia ochrony danych osobowych, bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu […], chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Co to jest naruszenie? Zgodnie z art. 4 pkt 12 RODO „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Można również odwołać się tu do trzech różnych typów naruszenia ochrony danych osobowych:

  • Naruszenie poufności (czyli gdy dane zostaną ujawnione komuś, kto nie powinien mieć do nich dostępu),
  • Naruszenie dostępności (czyli dane uległy trwałemu zniszczeniu/utracie lub trwale straciliśmy do nich dostęp),
  • Naruszenie integralności (czyli dane uległy zmianie w sposób nieautoryzowany).

Dodatkowo, art. 33 ust. 5 RODO mówi, że Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.

Co to wszystko oznacza? Wg mnie powinniśmy w firmie monitorować wszystkie incydenty związane z ochroną danych osobowych. Gdy jakiś wystąpi, powinniśmy:

  • ocenić, czy naruszenie danych osobowych skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych (art. 33 ust. 1)
  • jeśli ryzyko nie jest mało prawdopodobne, bez zbędnej zwłoki, nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia, dokonać zgłoszenia do Prezesa UODO (tutaj znajdziecie opis, jak to zrobić),
  • ewentualnie powiadomić osobę, której dane dotyczą (art. 34 ust. 1 i 2 RODO), chyba że nie będzie to wymagane na podstawie art. 34 ust. 3 RODO,
  • udokumentować to naruszenie, w tym okoliczności, skutki i podjęte działania zaradcze (art. 33 ust. 5 RODO), niezależnie od tego, czy naruszenie zostało zgłoszone do Prezesa UODO i czy została powiadomiona osoba, której dane dotyczą.

Dokumentacja, o której mowa w ostatnim punkcie, musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania RODO (art. 33 ust. 5 RODO).

Mój plan na zarządzanie incydentami to ich monitorowanie i robienie raportu z każdego naruszenia w postaci osobnego pliku tekstowego, który umieszczam potem w odpowiednim folderze.

Dodatkowo, w tym samym folderze mam ewidencję naruszeń, gdzie zapisuję te wszystkie autodonosy 😉 (jej wzór znajdziesz w pakiecie dokumentów, który otrzymasz po zapisaniu się na newsletter).

Dodatkowo, odsyłam do bardzo szczegółowego dokumentu opublikowanego w maju 2019 przez Prezesa UODO pt. „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”.

Dokumentacja wewnętrzna

RODO nie określa formalnych wymagań dotyczących dokumentacji przetwarzania danych osobowych, dając tym samym dużą swobodę w tym zakresie administratorom danych (polecam przejrzenie tego, co na temat dokumentacji napisał Prezes UODO). Nie oznacza to jednak, że można takiej dokumentacji nie robić 😉 Wg mnie oznacza to, że określenie właściwego zakresu dokumentacji jest nawet trudniejsze.

Dlaczego w ogóle robić tę dokumentację?

Wiele osób nazywa to „papierologią stosowaną” czy też po prostu biurokracją.

Jestem zagorzałym przeciwnikiem biurokracji i osobiście słabo znoszę kontakty ze wszelkimi urzędami (które są siedliskiem biurokracji) oraz dużymi firmami, które też często działają jak urzędy (a czasami wręcz jeszcze gorzej). 

RODO zawiera tylko kilka konkretnych informacji dot. wymaganej dokumentacji (wspomina o wdrożeniu odpowiednich polityk ochrony danych, rejestrze czynności przetwarzania i rejestrze kategorii czynności przetwarzania itp.), ale tak naprawdę konieczność prowadzenia dokumentacji wynika ze wspomnianej już wyżej zasady rozliczalności (art. 5 ust. 1 RODO: „Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”)”.). W powyższym artykule podczas omawiania poszczególnych obowiązków odnosiłem się do tego, w jaki sposób dokumentuję spełnienie tego obowiązku. Przykładowy komplet dokumentacji otrzymasz po zapisaniu się na newsletter.

Jednym z istotniejszych elementów dokumentacji, wymagający osobnego omówienia, jest rejestr czynności przetwarzania.

Rejestr czynności przetwarzania

Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych jest nałożony (prawie) na każdego administratora poprzez art. 30 RODO. Określa on dość dobrze, co powinno znaleźć się w takim rejestrze oraz że ma on formę pisemną (może być elektroniczna). Wiem, że niektórzy mogą uznać, że nie muszą prowadzić rejestru czynności przetwarzania, ponieważ zatrudniają mniej niż 250 osób (art. 30 ust. 5 RODO). Po analizie art. 30 ust. 5 RODO stwierdziłem jednak, że nie ma ucieczki od stworzenia rejestru.

W jaki sposób stworzyłem taki rejestr?

Najpierw określiłem, jakie zbiory danych osobowych przetwarzam: najemców, potencjalnych najemców, pracowników, potencjalnych pracowników, dostawców, osób, z którym koresponduję.

Następnie na tej podstawie zdefiniowałem czynności przetwarzania tak, żeby pokryć wszystkie ww. zbiory tj. żeby zbiór tych czynności obejmował wszystkie aktywności podejmowane wobec tych zbiorów danych osobowych. Jednocześnie jednak kierowałem się dążeniem do prostoty, wychodząc z założenia, że w tak niewielkiej firmie nie ma sensu danej czynności rozbijać na mniejsze.

W ten sposób w rejestrze znalazły się następujące czynności przetwarzania:

  • Poszukiwanie najemców
  • Obsługa najmu
  • Rekrutacja pracowników
  • Kadry i płace
  • Rozliczenia i administrowanie dostawcami
  • Korespondencja mailowa
  • Komunikacja telefoniczna

Na stronie UODO znajdziecie krótki poradnik na ten temat, wraz z przykładowym rejestrem czynności przetwarzania. Nie ukrywam, że swój rejestr czynności przetwarzania w firmie zajmującej się najmem właśnie na tym przykładzie wzorowałem.

Jeśli będziesz tworzył swój rejestr czynności przetwarzania, zadbaj o to, żeby obejmował on wszystkie elementy wymagane przez RODO (te zaznaczone na czerwono w przykładzie z UODO).

Nie stworzyłem i nie prowadzę natomiast rejestru kategorii czynności przetwarzania, gdyż jako firma wynajmująca tylko komuś mieszkania nie przetwarzam danych osobowych na zlecenie innych administratorów (nie jestem procesorem).

Zarządzanie i udostępnianie dokumentacji

Jak zarządzać tą dokumentacją?

Wg mnie warto te dokumenty mieć w swoich zasobach w formie elektronicznej (oczywiście, odpowiednio zabezpieczone) i w razie potrzeby ją uaktualniać. Stworzyłem sobie do tej dokumentacji odpowiednią strukturę folderów na dysku, żeby zachować logikę i porządek:

  • ODO (główny folder dotyczący Ochrony Danych Osobowych. Nie nazwałem go RODO, ponieważ ochrona danych osobowych jest szerszym pojęciem niż RODO i istniała dużo wcześniej niż RODO)
    • Analiza ryzyka
    • Obowiązek informacyjny
    • Personel
    • Powierzenia
    • Realizacja uprawnień
    • Naruszenia

Wszystkie przykładowe dokumenty z tego artykułu otrzymasz właśnie w wyżej przedstawionej strukturze (o ile zapiszesz się na mój DARMOWY newsletter).

Nie uważam, że trzeba całą tę dokumentację mieć w formie papierowej (z pewnym wyjątkiem, o którym poniżej).

Niektóre z dokumentów mają formę papierową np. podpisana przez najemcę informacja o przetwarzaniu danych, niektóre umowy przetwarzania, podpisane przez pracowników karty szkolenia czy też upoważnienia i zobowiązania do zachowania poufności. W tej sytuacji ja skanuję te dokumenty, wkładam na dysk (do jednego z ww. folderów), a papierowe wersje archiwizuję w odpowiednio zabezpieczonym segregatorze podpisanym „RODO”.

Zwracam też uwagę, że dokumentacja, którą stworzysz (a potem będziesz aktualizować), nie jest publiczna tj. nie trzeba jej nigdzie publikować np. na stronie internetowej 😉 Niektóre z tych informacji są przekazywane zewnętrznym podmiotom np. informacja o przetwarzaniu danych dla najemców, umowy powierzenia z kontrahentami itp. Większość dokumentacji jednak jest przeznaczona dla administratora jako spełnienie zasady rozliczalności, powinna być chroniona i nie trzeba jej udostępniać nawet na żądanie innych podmiotów. Trzeba dość świadomie zarządzać tym, które elementy dokumentacji i komu udostępniamy (zachęcam do przeczytania tego artykułu na stronie GIODO, mimo tego, że powstał przed wejściem w życie RODO).

Specyficzne sytuacje/modele działalności

Firma wynajmująca komuś mieszkania może też w ramach swoich struktur zajmować się innymi rzeczami, w szczególności rzeczami pokrewnymi z branży nieruchomości. Mogą to być np. zarządzanie najmem, podnajem, usługi krótkotrwałego zakwaterowania. Poniżej umieszczam moje uwagi związane z tymi tematami w kontekście RODO.

Zarządzanie najmem – gdy oprócz wynajmu zarządzasz także dla kogoś najmem albo korzystasz z firmy zarządzającej najmem, to rodzi to pewne obowiązki wynikające z RODO m.in. obowiązek informacyjny wobec partnerów czy klientów. Moim zdaniem, w przypadku korzystania/świadczenia usług zarządzania najmem, administratorem danych osobowych najemców nadal będzie wynajmujący, a firma zarządzająca będzie przetwarzać dane na jego zlecenie (będzie procesorem), co oznacza m.in. konieczność podpisania odpowiedniej umowy powierzenia. Dodatkowo, w idealnej sytuacji firma zarządzająca wykonuje w imieniu wynajmującego obowiązki związane z ochroną danych osobowych (np. obowiązek informacyjny wobec najemców).

Podnajem – gdy jesteś jednocześnie najemcą oraz wynajmującym, wg mnie dochodzi kolejna grupa podmiotów, których dane przetwarzamy i wobec których trzeba np. wypełnić obowiązek informacyjny. Tą nową/dodatkową grupą są oczywiście właściciele mieszkań, które wykorzystujesz do swojej działalności polegającej na podnajmie.

Wynajem krótkoterminowy – jeśli regularnie przyjmujesz gości dokonujących rezerwacji z wykorzystaniem portali typu Airbnb.com i Booking.com, to prowadzisz działalność gospodarczą i RODO dotyczy Cię w całej rozciągłości. Wg mnie dochodzi kolejna grupa podmiotów, czyli gości, których dane przetwarzamy i wobec których trzeba wypełnić obowiązek informacyjny.

W obszarze wynajmu czasami też wykorzystuje się instytucje poręczycieli, a także np. monitoring wizyjny. Każdy z tych tematów wymaga przemyślenia i spełnienia odpowiednich obowiązków wynikających z RODO. Powyższe tematy być może będę rozwijał w ciągu najbliższych kilku/kilkunastu miesięcy, w zależności od zainteresowania.

Zastrzeżenia na koniec

Zdaję sobie sprawę, że osoba siedząca w temacie ochrony danych osobowych (prawnik, zaawansowany specjalista ochrony danych) zapewne będzie miała sporo uwag do zastosowanego przeze mnie podejścia. W szczególności być może nie wykonałem/opisałem wszystkich obowiązków, które mnie dotyczą. Jestem otwarty na wszelkie uwagi, w szczególności krytykę, ale wyłącznie na tę konstruktywną 😊

Przypominam jednak, że RODO to tzw. „softlaw” i to moja decyzja/ocena, jakie środki zastosować. Apeluję więc o konstruktywne uwagi, z uwzględnieniem specyficznej sytuacji firmy wynajmującej komuś mieszkania. Pamiętajcie, że ten artykuł to przykład „wdrożenia RODO” w firmie w konkretnej branży (wynajmu mieszkań) i o konkretnej strukturze/modelu działania przedsiębiorstwa. Nie jest to przykład uniwersalny!  Przykładowo, nie zajmowałem się kompletnie kwestiami przetwarzania danych osobowych w kontekście firmowej strony internetowej, social media (np. gdy posiadamy fanpage na Facebooku), wysyłania newslettera, gdyż moja firma zajmująca się wynajmem mieszkań nic z tych rzeczy nie robi/nie posiada😉.

PS1. Jeszcze w październiku 2019 przeprowadzę darmowe szkolenie online (webinar) na temat tego, jak wdrożyć RODO w firmie zajmującej się wynajmem. Kliknij tutaj, żeby się zapisać.

PS2. Zastanawiam się nad tym, czy byłoby zainteresowanie szkoleniem stacjonarnym na żywo o tym, jak wdrożyć RODO w firmie zajmującej się wynajmem mieszkań. Zakładam, że powyższy artykuł może być podstawą do samodzielnego wdrożenia, ale być może ktoś woli ten obszar poznać głębiej, podczas szkolenia na żywo w sali szkoleniowej. Jeśli miałbyś/miałabyś ochotę uczestniczyć w takim szkoleniu – kliknij tutaj i wpisz swój adres mailowy.

Do osób, które przekażą mi swój adres, odezwę się w pierwszej kolejności w przypadku, gdy zdecydujemy się zorganizować takie szkolenie (najprawdopodobniej w Warszawie).

Na koniec, chciałbym serdecznie podziękować Andrzejowi Petrulewiczowi oraz Michałowi Zimniewiczowi za konstruktywną krytykę i uwagi do artykułu. Jesteście Wielcy!

Wybór okładki do poradnika o podatkach od najmu na 2020

Wybór okładki do poradnika o podatkach od najmu na 2020

Poznajecie ten obrazek? Tak, “Podatek od najmu i rozliczenia z najemcami. Edycja 2020” zbliża się wielkimi krokami. To już po raz ósmy siadam i zaczynam pisać mój poradnik. Znowu na długie dni zniknę dla świata, mając nadzieję, że uda mi się dotrzymać terminu i wydać książkę na początku grudnia.

I po raz kolejny przychodzę prosić Was o pomoc.

Podobno nie powinno się oceniać książki po okładce, ale mimo wszystko okładka jest twarzą książki i lepiej żeby podobała się potencjalnym czytelnikom 😉

Spośród kilkunastu propozycji wybraliśmy w naszym zespole trzy. Połowę roboty wykonałem, resztę oddaję w Wasze ręce. Napiszcie po prostu w komentarzu cyfrę od 1 do 3, wskazując okładkę, która Wam się najbardziej podoba.

Jedna z osób, które zagłosują (w dowolny sposób: przez komentarz na blogu, mail lub komentarz na Facebooku), otrzyma w prezencie nową wersję poradnika lub jedną wybraną przez siebie książkę z naszego sklepu.

Poniżej propozycje okładek:

Okładka numer 1

__________________________________________________

Okładka numer 2

__________________________________________________

Okładka numer 3

A poniżej jeszcze wszystkie trzy okładki razem:

Wpisz, proszę, w komentarzu poniżej cyfrę od 1 do 3 🙂

Zmiany w podatkach w II połowie 2019 i na początku 2020

Zmiany w podatkach w II połowie 2019 i na początku 2020

(autorem tego artykułu jest Marek Golec)

W styczniu 2019 r. na naszym blogu pojawił się artykuł dotyczący zmian podatkowych, które weszły w życie w trakcie 2018 r. i z dniem 1 stycznia 2019 r. Artykuł traktował również o zmianach, które miały nadejść w przyszłości.

Od tamtego wpisu minęło niewiele ponad pół roku i liczba zmian w przepisach, które wchodzą w życie oraz zostały ogłoszone jest na tyle duża, że postanowiliśmy ich tematyce poświęcić kolejny wpis, tym bardziej, że zmiany są istotne. Poniżej przedstawiamy je i opisujemy.

Biała lista podatników VAT

(od 1 września 2019 r.)

Wykaz podatników VAT jest prowadzony od dnia 1 września 2019 r. w Biuletynie Informacji Publicznej na stronie internetowej Ministerstwa Finansów oraz w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG).

Dzięki temu wykazowi, który jest aktualizowany w każdy dzień roboczy, będziemy mogli dokładniej, niż do tej pory, zweryfikować naszych kontrahentów. Sprawdzimy, czy nasz kontrahent jest czynnym podatnikiem VAT, czy odmówiono mu rejestracji, wykreślono go z rejestru lub przywrócono zarejestrowanie.

Warto podkreślić, że wykaz zawiera informacje o kontrahencie na dany dzień, do pięciu lat wstecz.

Ponadto, będziemy mogli zweryfikować numer rachunku rozliczeniowego (firmowego) naszego kontrahenta, co, jak zobaczycie w dalszej części artykułu, okaże się niezwykle ważne. Proszę mieć na uwadze, że weryfikacja rachunku leży w gestii przedsiębiorcy, a nie biura rachunkowego, ponieważ ma nastąpić nie w dniu księgowania, lecz w dniu zlecenia przelewu.

Numery rachunków rozliczeniowych (firmowych) wszystkich podmiotów są zaciągane z zasobów Krajowej Administracji Skarbowej, do której są one przekazywane przez urzędy skarbowe lub CEIDG. Gwoli przypomnienia, w przypadku spółek prawa handlowego podajemy je na formularzu NIP-8, spółek cywilnych na formularzu NIP-2, a w przypadku jednoosobowych działalności gospodarczych we wniosku CEIDG-1.

Dodajmy jeszcze, że przedsiębiorcy mają obowiązek zgłaszać wszystkie rachunki rozliczeniowe związane z prowadzoną działalnością gospodarczą. Jeśli komuś to umknęło, warto dopełnić formalności.

Na liście nie będzie prywatnych numerów rachunków oszczędnościowych lub oszczędnościowo-rozliczeniowych, używanych do rozliczeń przez osoby prowadzące działalność gospodarczą.

Przedsiębiorcy rozliczający się przy pomocy prywatnych kont mogą mieć spore kłopoty. Po pierwsze, te rachunki nie znajdą się na tzw. białej liście. Po drugie, od 1 stycznia 2020 r. transakcje na kwotę powyżej 15 000 złotych, dokonane na rachunek prywatny np. oszczędnościowo-rozliczeniowy, nie będzie można zaliczyć do kosztów uzyskania przychodu.

Transakcje na kwotę powyżej 15 000 zł a koszt podatkowy

(od 1 stycznia 2017 r. i od 1 stycznia 2020 r.)

Od 1 stycznia 2017 r. obowiązuje przepis w ustawie o podatku dochodowym od osób fizycznych, dalej „ustawa o PIT” oraz w ustawie o podatku dochodowym od osób prawnych, dalej „ustawa o CIT”, który wyłącza możliwość zaliczenia do kosztów uzyskania przychodów tej części zapłaty, która nie została uregulowana za pośrednictwem rachunku bankowego, w razie, gdy transakcja przekracza 15 000 zł. Przypomnijmy, że omawiany przepis obowiązuje, pod warunkiem, że obie strony transakcji są przedsiębiorcami.

Jeśli do takiej transakcji dochodzi, bez znaczenia pozostaje fakt, że poszczególne płatności czy kwoty faktur składających się na daną transakcję nie przekraczają kwoty 15 000 zł.

Innymi słowy, ta część zapłaty, która została dokonana w sposób gotówkowy, nie może stanowić kosztu podatkowego.

Począwszy od 1 styczna 2020 r. prawodawca przyjmuje jeszcze bardziej restrykcyjną postawę. Może się okazać, że podatnik nie będzie miał prawa do zaliczenia wydatku w koszty podatkowe, nawet w sytuacji, gdy ureguluje całą kwotę transakcji dokonując przelewu na rachunek bankowy kontrahenta.

Tak się stanie, jeżeli płatność zostanie dokonana przelewem na rachunek inny, niż zawarty na dzień zlecenia przelewu w wykazie podmiotów, o którym mowa w art. 96b ust. 1 ustawy o podatku od towarów i usług, dalej „ustawa o VAT”, czyli w wykazie zwanym “białą listą podatników”. Z treści ustawy zmieniającej wynika, że powyższe dotyczy tylko zapłaty na rzecz podatnika VAT czynnego.

Zatem wskazane jest sprawdzanie w wykazie informacji dotyczącej statusu podatnika VAT, jak i numeru rachunku bankowego, tego samego dnia, przed zleceniem przelewu.

W sytuacji, gdy przelew na rzecz czynnego podatnika VAT zostanie zrealizowany na inny rachunek bankowy, niż widniejący na białej liście podatników na dzień jego realizacji, prawodawca umożliwia zaliczenie do kosztów tej kwoty, pod warunkiem zawiadomienia (na formularzu wedle ustalonego wzoru) o tym fakcie naczelnika urzędu skarbowego właściwego dla wystawcy faktury, w terminie trzech dni od dnia zlecenia przelewu. Zapewne takie zawiadomienie nie wpłynęłoby pozytywnie na dalsze relacje między kontrahentami.

Odpowiedzialność solidarna

(od 1 stycznia 2020 r.)

Sprawdzanie informacji zawartych w wykazie podatników VAT będzie wskazane również w przypadku transakcji opiewających na niższe kwoty niż 15 000 zł.

Opisane wcześniej zmiany dotyczyły podatków dochodowych. Teraz przejdźmy do VAT-u.

Ze zmian w ordynacji podatkowej wynika, że w razie zrealizowania przez przedsiębiorcę przelewu na inny rachunek bankowy kontrahenta, niż wskazany na białej liście, przedsiębiorca będzie odpowiadał solidarnie całym swoim majątkiem wraz z kontrahentem, jeśli kontrahent nie odprowadzi do urzędu skarbowego VAT-u. Przedsiębiorca odpowiada do wysokości kwoty VAT, wynikającej z płatności dokonanych na inny rachunek bankowy, niż wskazany na białej liście.

Tak, jak w przypadku kosztów, istnieje możliwość uniknięcia odpowiedzialności solidarnej, pod warunkiem zawiadomienia o płatności na inny rachunek bankowy, niż wskazany na białej liście, naczelnika urzędu skarbowego właściwego dla wystawcy faktury, w terminie trzech dni od dnia zlecenia przelewu.

Prawodawca zaznaczył, że uciążliwość polegająca na odpowiedzialności solidarnej, nie będzie miała zastosowania w sytuacji, gdy przelew będzie zrealizowany na inny rachunek bankowy, niż wskazany na białej liście, jeżeli zapłata będzie dokonana z zastosowaniem mechanizmu podzielonej płatności, co może zachęcić podatników do częstszego niż dotychczas korzystania z dobrowolnego split payment.

Obowiązkowy split payment i rezygnacja z odwrotnego obciążenia

(od 1 listopada 2019 r.)

Wspomnieliśmy o dobrowolnym split payment. W wielu przypadkach nadal taki pozostanie, jednakże w pewnych sytuacjach podatnicy będą zobligowani podzielić płatność.

Obowiązkowy split payment będzie miał zastosowanie w odniesieniu do dostaw towarów i świadczenia usług, które obecnie są wymienione w załącznikach nr 11 (odwrotne obciążenie na towary), 13 (odpowiedzialność solidarna) i 14 (odwrotne obciążenie na usługi, zasadniczo budowlano-montażowe) do ustawy o VAT, czyli takich dla których stosuje się procedurę odwrotnego obciążenia, oraz które są objęte zakresem odpowiedzialności solidarnej.

Załączniki nr 11, 13 i 14 do ustawy o VAT zostaną uchylone. Wymienione w nich towary i usługi znajdą się w nowododanym załączniku nr 15 do ustawy o VAT. Za przykład towarów i usług, które znajdą się w nowym załączniku możemy podać: stal, profile aluminiowe, sprzęt elektroniczny, części do pojazdów samochodowych i motocykli, usługi budowlane i montażowe.

Zatem, jeśli nabywca otrzyma fakturę, na której będą znajdować się towary lub usługi wymienione w załączniku nr 15 do ustawy o VAT i kwota transakcji przekroczy 15 000 zł, wtedy będzie on obowiązany zastosować mechanizm podzielonej płatności.

Jeśli kwota transakcji nie przekroczy 15 000 zł, nabywca będzie mógł zastosować mechanizm podzielonej płatności na zasadzie dobrowolności.

W przypadku transakcji, dla których kwota należności jest równa lub większa od 15 000 zł, sprzedawca będzie musiał zadbać, aby na fakturze pojawiły się słowa: „mechanizm podzielonej płatności”.

W razie niewywiązania się przez podatników z opisanych obowiązków, prawodawca przewidział sankcje administracyjne dla spółek oraz karne skarbowe dla osób fizycznych.

Możliwość regulowania PIT, CIT, akcyzy, należności celnych i składek ZUS z rachunku VAT

(od 1 listopada 2019 r.)

Kiedy w 2017 r. zapowiadano wprowadzenie mechanizmu podzielonej płatności, wielu przedsiębiorców obawiało się, że drastycznie zaburzy on płynność finansową firm. Po jego wprowadzeniu od 1 lipca 2018 r., nie zauważyliśmy takiego efektu ze względu na całkowitą dobrowolność jego stosowania.

Przy obecnym podejściu prawodawcy, polegającym na ograniczaniu dobrowolnego split payment oraz zwalnianiu podatników z odpowiedzialności solidarnej przy stosowaniu mechanizmu podzielonej płatności, może się okazać, że na rachunkach VAT pojawią się pokaźniejsze kwoty niż dotychczas.

Prawodawca ma zamiar zapobiec zamrażaniu środków podatników na rachunkach VAT poprzez umożliwienie przeznaczenia ich nie tylko na zapłatę zobowiązania z tytułu VAT, ale również na zapłatę PIT, CIT, akcyzy, należności celnych oraz składek ZUS.

W ślad za możliwością zapłaty różnych podatków i składek ZUS z rachunku VAT idzie rozszerzenie egzekucji z tego rachunku również na zaległości z tytułu tych podatków i składek. Środki zgromadzone na rachunku VAT nie będą, jak dotychczas, podlegały pod egzekucję komorniczą.

Gwoli przypomnienia, środki na rachunku VAT do 1 listopada 2019 r. podlegają egzekucji lub zabezpieczeniu jedynie w przypadku należności z tytułu VAT.

Bez zmian pozostaje możliwość zwrotu nadwyżki podatku od towarów i usług w ciągu 25 dni na rachunek VAT bez dokonywania czynności sprawdzających przez naczelnika urzędu skarbowego.

Indywidualny rachunek podatkowy

(od 1 stycznia 2020 r.)

Za przykładem Zakładu Ubezpieczeń Społecznych, który w 2018 r. wprowadził indywidualne rachunki dla płatników składek, Krajowa Administracja Skarbowa od 1 stycznia 2020 r. przypisuje podatnikom ich indywidualne rachunki podatkowe.

Do tej pory nierzadko przydarza się komuś zapłacić podatek na błędny rachunek urzędu skarbowego lub nawet do niewłaściwego urzędu. Dzięki spersonalizowanym numerom rachunków, które będą zawierały:

– sumę kontrolną,

– numer rozliczeniowy jednostki organizacyjnej banku,

– identyfikator podatkowy,

takie sytuacje na gruncie PIT, CIT, VAT oraz niepodatkowych należności budżetowych (np. mandaty, grzywny) już nie będą miały miejsca. Nie będą też powodowały poświęcania czasu, zarówno urzędników, jak i podatników na wyjaśnienia i przeksięgowywanie wpłat.

Jak wynika z ustawy o zmianie ustawy o podatku od towarów i usług oraz niektórych innych ustaw, indywidualny numer rachunku podatkowego nie będzie dotyczył wpłat z tytułu np. podatku od spadków i darowizn oraz podatku od czynności cywilnoprawnych (PCC).

Numer indywidualnego rachunku podatkowego będzie udostępniany, po podaniu identyfikatora podatkowego, w Biuletynie Informacji Publicznej na stronie Ministerstwa Finansów lub w urzędzie skarbowym.

Indywidualny rachunek podatkowy nie będzie zawierał historii wpłat podatników, gdyż będzie on służył jedynie do dokonywania wpłat i identyfikacji podmiotu ze strony urzędu skarbowego.

Zwroty nadpłat będą realizowane na rachunki bankowe uprzednio zgłoszone organowi lub we wniosku CEIDG-1, a nie na ich indywidualne rachunki podatkowe.

Z ustawy zmieniającej dowiadujemy się, jak mają być zaliczane wpłaty.

Jeżeli podatnik nie ma zaległości, dokonaną wpłatę zalicza się na poczet podatku zgodnie ze wskazaniem podatnika, a w przypadku braku takiego wskazania – na poczet zobowiązania podatkowego o najwcześniejszym terminie płatności spośród wszystkich zobowiązań podatkowych podatnika.

U podatnika, na którym ciążą zobowiązania podatkowe, których termin płatności upłynął, dokonaną wpłatę zalicza się na poczet zaległości podatkowej o najwcześniejszym terminie płatności we wskazanym przez podatnika podatku, a w przypadku braku takiego wskazania lub braku zaległości podatkowej we wskazanym podatku – na poczet zaległości podatkowej o najwcześniejszym terminie płatności spośród wszystkich zaległości podatkowych podatnika.

„Bez PIT dla młodych”

(od 1 sierpnia 2019 r.)

Ze względu na roczny okres rozliczania podatków dochodowych, zmiany w tych podatkach powinny wchodzić w życie od nowego roku i być ogłoszone z zachowaniem co najmniej miesięcznego vacatio legis. Wyjątek stanowi sytuacja, w której zmiana jest korzystna dla podatnika, wtedy można ją wprowadzić w życie w trakcie roku podatkowego.

Skoro można wprowadzać korzystne zmiany w trakcie roku, prawodawca zdecydował o dodaniu przepisu, który wszedł w życie z dniem 1 sierpnia 2019 r. odnośnie zwolnienia nazywanego potocznie ulgą „bez PIT dla młodych”.

Z brzmienia nowowprowadzonego przepisu wynika, że wolne od podatku dochodowego są przychody ze stosunku służbowego, stosunku pracy, pracy nakładczej, spółdzielczego stosunku pracy oraz umów zlecenia, otrzymane przez podatnika do ukończenia 26. roku życia, do wysokości nieprzekraczającej w roku podatkowym kwoty 85 528 zł.

W 2019 r. limit ten jest wyliczony proporcjonalnie i stanowi równowartość 5/12 kwoty 85 528 zł, tj. 35 636,67 zł.

Doprecyzujmy, że zwolnienie „bez PIT dla młodych” w 2019 r. dotyczy przychodów osiągniętych w okresie od sierpnia do grudnia, a nie w trakcie całego roku. Za okres od stycznia do lipca młodzi podatnicy rozliczą się na zasadach w tamtym czasie obowiązujących. Wynika to z zasady „tempus regit actum”, co oznacza, że czas rządzi czynnością prawną.

Zwolnienie nie obejmie przychodów osiąganych w ramach umów o dzieło i pozarolniczej działalności gospodarczej.

Osoby objęte zwolnieniem w 2019 roku powinny złożyć w firmie, która je zatrudnia, stosowne oświadczenie, aby od sierpnia 2019 r. otrzymywali wynagrodzenie niepomniejszone o zaliczki na podatek dochodowy. Jeżeli tego nie uczynią, pobrane przez płatnika zaliczki będą zwrócone w zeznaniu rocznym, które należy złożyć do końca kwietnia 2020 r.

Począwszy od 2020 r. nie będzie konieczności składania oświadczenia, gdyż płatnik (np. pracodawca, zleceniodawca) nie będzie już potrącał zatrudnionemu, któremu przysługuje zwolnienie, zaliczek na podatek dochodowy.

W razie przekroczenia limitu młody podatnik rozliczy się z podatku od nadwyżki. Co ważne, będzie mu jeszcze przysługiwała tzw. kwota wolna.

Wyższe koszty pracownicze i 17% PIT

(od 1 października 2019 r.)

Pomimo, że ustawodawca pierwotnie chciał wprowadzić wyższe koszty uzyskania przychodów dla pracowników i obniżyć najniższą stawkę podatku skali podatkowej, z 18% na 17% od 1 stycznia 2020 r., zdecydował się również w tym przypadku skorzystać z możliwości wprowadzenia korzystnych zmian dla podatników w trakcie roku. Te zmiany mają wejść w życie od 1 października 2019 r.

Ustawodawca zdecydował się na taki krok, mimo że wywoła to wiele chaosu, zwłaszcza w działach księgowo-kadrowych firm oraz w biurach rachunkowych. Takie kroki godzą w regułę dobrej legislacji podatkowej, która polega m.in. na tym, że wprowadzanie zmian w podatkach dochodowych powinno mieć miejsce raz w roku – z dniem 1 stycznia.

Przechodząc do merytoryki, docelowo koszty uzyskania przychodów wyniosą:

  • 250 zł miesięczne (bez dojazdów, u jednego pracodawcy) – obecnie 111,25 zł,
  • 300 zł miesięczne (z dojazdami, u jednego pracodawcy) – obecnie 139,06 zł,
  • 3 000 zł roczne (bez dojazdów, jeden pracodawca) – obecnie 1 335,00 zł,
  • 3 600 zł roczne (z dojazdami, jeden pracodawca) – obecnie 1 668,72 zł,
  • 4 500 zł roczne (bez dojazdów, więcej niż jeden pracodawca) obecnie 2 002,05 zł,
  • 5 400 zł roczne (z dojazdami, więcej niż jeden pracodawca) obecnie 2 502,56 zł.

Ze względu na pośpiech ustawodawcy, kwoty rocznych kosztów pracowniczych będą wyliczone proporcjonalnie za 2019 r.

Przejdźmy do stawek podatku.

Mimo obniżenia najniższej stawki podatku dla podatników rozliczających się według skali progresywnej z 18% na 17%, prawodawca pozostawia stawkę 32% na niezmienionym poziomie dla dochodów ponad 85 528 zł.

W 2019 r. na tej płaszczyźnie też mamy proporcję. Stawka podatku w pierwszym progu skali za ten rok wyniesie 17,75%.

Warto w tym miejscu nadmienić, że podatki dochodowe w ostatnich latach zostały podniesione.

Przypomnijmy, że w 2017 r. dla dochodów przekraczających 85 528 zł zostały wprowadzone niekorzystne przepisy ograniczające, a w wielu przypadkach pozbawiające kwoty zmniejszającej podatek (potocznie – kwoty wolnej).

Ponadto, osoby osiągające dochody, nie tylko opodatkowane według skali progresywnej, ponad 1 000 000 zł rocznie, są objęte 4% podatkiem zwanym „daniną solidarnościową”.

Likwidacja podstawowych deklaracji VAT oraz nowa struktura JPK_VDEK

(od 1 kwietnia 2020 r.)

Nowa struktura jednolitego pliku kontrolnego JPK_VDEK będzie składała się, jak dotychczas JPK_VAT, z części ewidencyjnej, czyli elektronicznych rejestrów sprzedaży i zakupu VAT oraz, co jest novum, części deklaracyjnej.

Z powyższego wynika, że deklaracje VAT-7 i VAT-7K nie będą już sporządzane i wysyłane do urzędów skarbowych. Wyeliminuje to konieczność wysyłania dwóch odrębnych dokumentów, którymi są deklaracja i plik JPK_VAT.

Dodatkowym udogodnieniem będzie brak konieczności dodawania załączników VAT-ZZ, VAT-ZD, VAT-ZT. Pola wyboru, które są przewidziane dla JPK_VDEK będą spełniały funkcję obecnych załączników. Znikną też deklaracje VAT-27.

Przypomnijmy, że struktury JPK_VAT składają tylko podatnicy VAT czynni. Analogicznie będzie ze strukturami JPK_VDEK.

Zagadkową kwestią jest wysyłanie nowych JPK (ewidencyjnych i deklaracyjnych) przez czynnych podatników VAT, którzy rozliczają podatek od towarów i usług kwartalnie. Obecnie tacy podatnicy składają JPK_VAT co miesiąc, a deklarację VAT-7K co kwartał.

Z ustawy zmieniającej wynika, że podatnicy rozliczający się kwartalnie będą mieli obowiązek przesyłania części ewidencyjnej JPK za pierwszy i drugi miesiąc kwartału, a za trzeci miesiąc kwartału część ewidencyjną wraz z częścią deklaracyjną.

Przejdźmy do korekt jednolitego pliku kontrolnego z powodu żądania wystawienia faktury. Obecnie, w sytuacji, gdy nabywca towaru lub usługi wystąpi do sprzedawcy z żądaniem wystawienia faktury już po wysyłce JPK_VAT, sprzedawca musi się cofać do miesiąca, w którym miała miejsce sprzedaż i korygować JPK_VAT.

Po wejściu JPK_VDEK taka sytuacja nie zaistnieje. Faktura wystawiona na żądanie nabywcy będzie ujęta w części ewidencyjnej pliku JPK_VDEK za okres rozliczeniowy, w którym zostanie wystawiona i sprzedawca nie będzie miał obowiązku korekty jednolitego pliku kontrolnego za jeden z poprzednich miesięcy.

Na koniec omawiania tej zmiany doprecyzujmy, że podatnicy VAT zwolnieni nadal będą wysyłać do urzędu skarbowego deklaracje np. VAT-9M, która dotyczy importu usług. Pozostałe deklaracje również będą obowiązywać, z wyjątkiem wspomnianych VAT-7, VAT-7K i VAT-27.

Nowa matryca stawek VAT i Wiążąca Informacja Stawkowa (WIS)

(od 1 kwietnia 2020 r.) *

Dotychczasowe przyporządkowanie stawek VAT dla poszczególnych towarów i usług jest oparte na Polskiej Klasyfikacji Wyrobów i Usług 2008 (PKWiU 2008). Niedoskonałością tego rozwiązania jest fakt, że ta klasyfikacja nie została stworzona dla celów podatkowych, a dla celów statystycznych.

Często podatnicy nie mają pewności, czy konkretnemu towarowi lub usłudze można przypisać dany symbol PKWiU. W razie pomyłki lub innej interpretacji organu podatkowego stawka VAT może się różnić, co niesie ze sobą poważne konsekwencje.

W razie wątpliwości, podatnicy mogą wystąpić do Głównego Urzędu Statystycznego z zapytaniem w sprawie symbolu PKWiU dla danego towaru lub usługi, jednakże taka opinia nie jest wiążąca dla organu podatkowego.

Z tego powodu pojawił się pomysł wprowadzenia nowej matrycy stawek VAT, która w przypadku towarów ma opierać się na Nomenklaturze scalonej (ang. Combined Nomenclature, CN). Nota bene, taryfy celne na poziomie całej Unii Europejskiej od pewnego czasu są określane w oparciu o kody CN.

W przypadku usług nie będziemy się posługiwać kodami CN, a nowszą klasyfikacją PKWiU 2015.

Wprowadzenie nowej matrycy stawek VAT będzie wiązało się z dużym uproszczeniem dla podatników i organów. Stawki będą ujednolicone, w miarę możliwości dla całych działów CN, a nie, jak obecnie, do pojedynczych produktów. Obecne podejście sprawia, że w tej samej grupie PKWiU podobne towary mogą być opodatkowane różnymi stawkami. Stosowanie się do obecnej klasyfikacji czasami prowadzi do sytuacji kuriozalnych, takich jak np. trzy różne stawki VAT na pączki (5%, 8%, 23%).

Oprócz uproszczenia polegającego na ujednoliceniu, wprowadzenie nowej matrycy stawek ma na celu obniżyć stawki dla poszczególnych grup towarów.

Obniżeniu ulegną stawki VAT np. na owoce tropikalne i cytrusowe, niektóre orzechy (pistacjowe, migdały, kokosowe), które obecnie są opodatkowane według stawki 8%, objęte zostaną, tak jak pozostałe owoce, stawką 5%.

Pieczywo wszelkiego rodzaju będzie opodatkowane stawką 5%, a nie jak dotychczas 5%, 8% i 23%.

Co ciekawe, stawka na e-booki zostanie obniżona z 23% na 5%, a e-prasy z 23% na 8%.

W przypadku czasopism specjalistycznych nastąpi podwyżka stawki z 5% na 8%.

W ślad za wprowadzeniem nowej matrycy stawek VAT, Dyrektor Krajowej Informacji Skarbowej w Bielsku-Białej będzie wydawał na wniosek podatnika Wiążącą Informację Stawkową (WIS). Podobnie, jak indywidualna interpretacja przepisów prawa podatkowego będzie ona chronić podatnika.

We wniosku, który będzie podlegał opłacie w wysokości 40 zł, zainteresowany będzie mógł zapytać o stawkę VAT dla sprzedawanego towaru lub świadczonej usługi. Wiążąca Informacja Stawkowa (WIS), którą otrzyma podatnik w ciągu trzech miesięcy od złożenia lub uzupełnienia wniosku, będzie wskazywała na właściwy kod Nomenklatury scalonej (CN) dla towaru lub symbol PKWiU 2015 dla usługi. Ponadto WIS będzie informował podatnika o stawce podatku.

Podobnie, jak w przypadku interpretacji, każda Wiążąca Informacja Stawkowa będzie publikowana w Biuletynie Informacji Publicznej Krajowej Informacji Skarbowej.

Wspomnijmy, że praktyka wiążących informacji jest już stosowana w przypadku należności celnych i w podatku akcyzowym. Wiążącą Informację Akcyzową (WIA) wydaje Dyrektor Izby Administracji Skarbowej we Wrocławiu, a Wiążącą Informację Taryfową (WIT) Dyrektor Izby Administracji Skarbowej w Warszawie.

*Omawiane w tej części artykułu zmiany wchodzą w życie od 1 kwietnia 2020 r. z wyjątkiem obniżonych stawek VAT dla e-booków (5%) i e-prasy (8%), co będzie miało miejsce od 1 listopada 2019 r.

Zmiana definicji pierwszego zasiedlenia

(od 1 września 2019 r.)

Ze względu na sprzeczność polskiej definicji pierwszego zasiedlenia z przepisami unijnymi, w wyniku wyroku Trybunału Sprawiedliwości Unii Europejskiej z dnia 16 listopada 2017 r. prawodawca postanowił zmienić tę definicję.

Przez pierwsze zasiedlenie według aktualnego brzmienia przepisu, rozumie się oddanie do użytkowania pierwszemu nabywcy lub użytkownikowi lub rozpoczęcie użytkowania na potrzeby własne budynków, budowli lub ich części, po ich:

a) wybudowaniu,

b) ulepszeniu, jeżeli wydatki poniesione na ulepszenie, w rozumieniu przepisów o podatku dochodowym, stanowiły co najmniej 30% wartości początkowej.

Jak widać, nie będzie już wymogu oddania budynków, budowli, lub ich części do użytkowania pierwszemu nabywcy lub użytkownikowi, w wykonaniu czynności podlegających opodatkowaniu, aby spełnić warunek pierwszego zasiedlenia.

Brak zwolnienia z VAT dla kolejnych grup drobnych podatników (do 200 000 zł obrotu)

(od 1 września 2019 r.)

Ustawodawca uprzywilejowuje możliwością skorzystania ze zwolnienia z VAT drobnych przedsiębiorców, czyli takich, u których wartość sprzedaży nie przekroczyła łącznie w poprzednim roku podatkowym kwoty 200 000 zł. U podatników rozpoczynających działalność gospodarczą limit liczy się proporcjonalnie.

Warto zaznaczyć, że to zwolnienie jest nazywane “zwolnieniem ze względu na wysokość obrotu.”

Do końca sierpnia 2019 r. wiele grup podatników nie mogło skorzystać z tego zwolnienia z VAT.

To byli i nadal są podatnicy, dokonujący dostaw:

– towarów wymienionych w załączniku nr 12 do ustawy, czyli wyrobów (złomu) z metali szlachetnych lub z udziałem tych metali,

– towarów opodatkowanych podatkiem akcyzowym, w rozumieniu przepisów o podatku akcyzowym, z wyjątkiem:

– energii elektrycznej (PKWiU 35.11.10.0),

– wyrobów tytoniowych,

– samochodów osobowych innych, niż wymienione nowe środki transportu, zaliczanych przez podatnika, na podstawie przepisów o podatku dochodowym, do środków trwałych podlegających amortyzacji,

– budynków, budowli lub ich części, w przypadkach, gdy ich dostawa dokonywana jest w ramach lub w ciągu dwóch lat od pierwszego zasiedlenia,

– terenów budowlanych,

– nowych środków transportu.

Ponadto podatnicy świadczący usługi:

– prawnicze,

– w zakresie doradztwa, z wyjątkiem doradztwa rolniczego związanego z uprawą i hodowlą roślin oraz chowem i hodowlą zwierząt, a także związanego ze sporządzaniem planu zagospodarowania i modernizacji gospodarstwa rolnego,

– jubilerskie,

Wszyscy wymienieni powyżej, przed wykonaniem pierwszej czynności, muszą zarejestrować się jako podatnicy VAT czynni.

Osoby nieposiadające siedziby działalności gospodarczej na terytorium kraju również nie mogą korzystać ze zwolnienia z VAT ze względu na wysokość obrotu.

Jak widzimy, katalog podmiotów jest szeroki. Mimo to, prawodawca postanowił go rozszerzyć o trzy grupy podatników.

Pierwszą grupą są sklepy internetowe, które w ramach sprzedaży wysyłkowej dokonują dostawy:

– preparatów kosmetycznych i toaletowych (PKWiU 20.42.1),

– komputerów, wyrobów elektronicznych i optycznych (PKWiU 26),

– urządzeń elektrycznych i nieelektrycznego sprzętu gospodarstwa domowego (PKWiU 27),

– maszyn i urządzeń, gdzie indziej niesklasyfikowanych (PKWiU 28).

Drugą grupę stanowią sprzedający hurtowo i detalicznie, zarówno stacjonarnie, jak i w systemie wysyłkowym części do:

– pojazdów samochodowych (PKWiU 45.3),

– motocykli (PKWiU 45.4).

Trzecia grupa to firmy świadczące usługi ściągania długów, w tym faktoringu.

W razie, dostawy towarów lub świadczenia usług po 31 sierpnia 2019 r., gdy przed tą datą przedsiębiorca będący podatnikiem zwolnionym z VAT otrzymał zaliczkę, wówczas będzie ona podlegać zwolnieniu z VAT. Natomiast pozostała część zapłaty, uiszczona po wejściu w życie przepisu będzie opodatkowana VAT-em.

NIP na paragonie

(od 1 stycznia 2020 r.)

Przedsiębiorca dokonujący zakupów firmowych nie będzie mógł uzyskać faktury na podstawie wystawionego paragonu, jeśli nie będzie on zawierał NIP-u.

W przypadku wystawienia faktury do paragonu, niezawierającego NIP-u nabywcy, wystawca faktury narazi się na sankcję w wysokości 100% VAT-u wynikającego z faktury. Na taką samą sankcję narazi się odbiorca faktury, jeśli odliczy z niej VAT.

Powyższe dotyczy jednostek organizacyjnych, nieposiadających osobowości prawnej oraz osób prawnych. W przypadku przedsiębiorców, będących osobami fizycznymi, wspomniane sankcje nie znajdą zastosowania, ponieważ w stosunku do osób fizycznych, które za ten sam czyn ponoszą̨ odpowiedzialność za wykroczenie skarbowe albo za przestępstwo skarbowe, dodatkowego zobowiązania podatkowego nie ustala się.

Szczególny przypadek wystąpi, kiedy sprzedawca będzie zobligowany do wystawienia faktury, nawet jeśli paragon nie będzie zawierał NIP-u nabywcy. Zdarzy się tak w przypadku usług taksówek osobowych.

Abstrahując od taksówek, obowiązek wystawienia faktury do paragonu niezawierającego NIP-u zaistnieje również, jeśli osoba fizyczna zażąda wystawienia faktury w terminie trzech miesięcy, licząc od końca miesiąca, w którym dostarczono towar lub wykonano usługę, bądź otrzymano całość lub część zapłaty.

Podkreślić należy, że w takich okolicznościach faktura na rzecz osoby fizycznej będzie mogła zostać wystawiona, jednakże bez NIP-u.

Kasy fiskalne on-line

(od 1 stycznia 2020 r.)

Kasy fiskalne, które były dotychczas używane przez podatników będą stopniowo zastępowane nowymi.

Kasy fiskalne online będą przekazywały dane na temat transakcji, w tym paragony i raporty dobowe, w sposób automatyczny zgodnie z harmonogramem przekazu danych lub na żądanie użytkownika, do Centralnego Repozytorium Kas. Wysyłane drogą elektroniczną paragony nie będą zawierały żadnych informacji na temat konsumenta.

Przedsiębiorcy z niektórych branż będą zobligowani do rejestrowania sprzedaży na kasie fiskalnej online.

W pierwszej kolejności, od 1 stycznia 2020 r. mają to być branże motoryzacyjna i paliwowa.

Następne, od 1 lipca 2020 r. będą to branże gastronomiczna i hotelarska. Warto w tym miejscu zauważyć, że do branży hotelarskiej kwalifikują się firmy zajmujące się świadczeniem usług zakwaterowania (najem krótkoterminowy).

Świadczenie usług fryzjerskich, kosmetycznych i kosmetologicznych, budowlanych, w zakresie opieki medycznej świadczonej przez lekarzy i lekarzy dentystów, prawniczych, związanych z działalnością obiektów służących poprawie kondycji fizycznej (wyłącznie w zakresie wstępu) będzie rejestrowane na kasie fiskalnej on-line od 1 stycznia 2021 r.

Podatnicy będą mogli odliczyć kwotę wydatkowaną na zakup kasy elektronicznej w wysokości 90% jej ceny zakupu nie więcej jednak niż 700 zł.

Obowiązkowe przeszkolenie osób obsługujących kasę fiskalną w firmie

(1 maja 2019 r.)

Pomimo faktu, że rozporządzenie Ministra Finansów z dnia 29 kwietnia 2019 r. w sprawie kas rejestrujących (Dz.U. 2019 poz. 816) weszło w życie z dniem 1 maja 2019 r., wartym przypomnienia jest obowiązek zapoznania pracownika lub innej osoby prowadzącej u danego podatnika ewidencję sprzedaży na kasie fiskalnej z informacją obejmującą podstawowe zasady prowadzenia ewidencji i wystawiania paragonu fiskalnego oraz skutki ich nieprzestrzegania.

Innymi słowy, jeśli podatnik powierza kasę fiskalną pracownikowi lub innej osobie w celu rejestrowania na niej sprzedaży, ma on obowiązek przeszkolenia tej osoby i uzyskania oświadczenia.

Wzory informacji o zasadach ewidencji, z którą pracownik lub inna osoba powinna się zapoznać oraz oświadczenia osoby, która prowadzi u podatnika ewidencję sprzedaży przy użyciu kasy rejestrującej, o zapoznaniu się z informacją o zasadach ewidencji, stanowi załącznik nr 1 do wspomnianego rozporządzenia.

Do kiedy należy przeszkolić osobę prowadzącą ewidencję sprzedaży na kasie fiskalnej?

Dla osób zatrudnionych przed 1 maja 2019 r. oświadczenie powinno być podpisane najpóźniej 31 maja 2019 r., natomiast w przypadku osób podejmujących zatrudnienie po 1 maja 2019 r., oświadczenie od tej osoby należy uzyskać przed rozpoczęciem prowadzenia ewidencji na kasie fiskalnej przez tę osobę.

Mój Plan B (wywiad z Bartkiem Jezierskim)

Mój Plan B (wywiad z Bartkiem Jezierskim)

Zapraszam Cię  do odsłuchania wywiadu z Bartkiem Jezierskim, który inwestuje w nieruchomości, rynki alternatywne, metale szlachetne i kryptowaluty, ale przede wszystkim jest autorem bloga Mój Plan B.

Rozmawialiśmy nie tylko o inwestycjach w nieruchomości, ale o tytułowym planie B, czyli w jaki sposób przygotować siebie i swoją rodzinę, głównie od strony majątkowo-finansowej, na nieprzewidziane katastrofy rynkowe, gospodarcze czy inne.

Porozmawialiśmy też o, a właściwie staraliśmy się obalić, pewne mity czy też przesądy związane z finansami, pieniędzmi i podatkami:

  • Czy pieniądze rzeczywiście szczęścia nie dają?
  • Czy etat jest najbezpieczniejszą formą zatrudnienia?
  • Czy oszczędnością i pracą ludzie rzeczywiście się bogacą?
  • Czy Państwo jako instytucja rzeczywiście dba o obywateli?
  • Czy płacenie jak najwyższych podatków jest rzeczywiście formą patriotyzmu?

Do tego było jeszcze kilka innych truizmów, które wzięliśmy na tapetę i które, najczęściej, skrytykowaliśmy.

Wywiad możesz odsłuchać poprzez iTunes i/lub poprzez dowolną aplikację do słuchania podcastów:

Subscribe: iTunes | RSS

Wywiad możesz także odsłuchać bezpośrednio na tej stronie (po prostu kliknij ikonę odtwarzania poniżej) lub możesz ściągnąć plik mp3 z wywiadem i odtworzyć go na dowolnym urządzeniu (komputerze, komórce, odtwarzaczu mp3 itp.). W celu ściągnięcia kliknij strzałkę do dołu poniżej (z prawej strony).

Transkrypt wywiadu (spisana treść w formie pliku PDF) znajduje się tutaj.

Linki związane z wywiadem:

Jak sprzedawać, nie sprzedając (wywiad z Wojtkiem Woźniczką)

Jak sprzedawać, nie sprzedając (wywiad z Wojtkiem Woźniczką)

Zapraszam Cię do posłuchania kolejnego wywiadu. Do rozmowy zaprosiłem Wojtka Woźniczkę, którego ludzie z branży nieruchomości znają jako specjalistę od negocjacji, a ostatnio także sprzedaży. Jest to już drugi wywiad z Wojtkiem na tym blogu, pierwszy można przeczytać TUTAJ.

Z Wojtkiem rozmawialiśmy trochę o negocjacjach i dwóch jego książkach na ten temat, ale skupiliśmy się głównie na sprzedaży.

Trzecia książka Wojtka dotyczy właśnie tego tematu. W jaki sposób sprzedawać, nie sprzedając, czyli koncepcji: nie sprzedawaj, a pozwól kupić. Tak naprawdę, każdy z nas coś codziennie sprzedaje, a w branży nieruchomości tym bardziej umiejętności sprzedażowe są istotne. Oferujemy przecież nasze mieszkania czy pokoje najemcom, nieruchomości na sprzedaż ich potencjalnym nabywcom, a jeśli prowadzimy biznes podnajmowy to tym bardziej musimy sprzedać nasze usługi właścicielom mieszkań.

Na koniec wywiadu Wojtek ujawnił pewna niespodziankę, o której, wg mojej wiedzy, po raz pierwszy wspomniał publicznie.

Wywiad możesz odsłuchać poprzez iTunes i/lub poprzez dowolną aplikację do słuchania podcastów:

Subscribe: iTunes | RSS

Wywiad możesz także odsłuchać bezpośrednio na tej stronie (po prostu kliknij ikonę odtwarzania poniżej) lub możesz ściągnąć plik mp3 z wywiadem i odtworzyć go na dowolnym urządzeniu (komputerze, komórce, odtwarzaczu mp3 itp.). W celu ściągnięcia kliknij strzałkę do dołu poniżej (z prawej strony).

Transkrypt wywiadu (spisana treść w formie pliku PDF) znajduje się tutaj.

Linki związane z wywiadem: