Archiwum kategorii: blog

Newsletter zgodny z prawem – czyli jaki?

Prawidłowe i zgodne z prawem wysyłanie newslettera wymaga przede wszystkim zapoznania się z przepisami ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną oraz ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne. Zawarte w nich uregulowania nakładają na przedsiębiorców wymóg uzyskania odpowiednich zgód przed rozpoczęciem wysyłania newslettera.

⧠ zgoda na przesyłanie informacji handlowej za pomocą środków komunikacji elektronicznej

Konieczność jej pozyskania wynika z art. 10 ustawy o świadczeniu usług drogą elektroniczną, który zakazuje przesyłania niezamówionej informacji handlowej za pomocą środków komunikacji elektronicznej (np. e-mail, wiadomość SMS). W świetle tego przepisu informację handlową, czyli każdą informację przeznaczoną bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy, uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na jej otrzymywanie (co może nastąpić zwłaszcza poprzez podanie w tym celu adresu e-mail).

⧠ zgoda na używanie telekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośredniego

Art. 172 ustawy Prawo telekomunikacyjne wprowadza zakaz używania telekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośredniego bez uprzedniej zgody użytkownika końcowego. Kluczowe dla zrozumienia tego przepisu jest wyjaśnienie pojęcia telekomunikacyjnych urządzeń końcowych – zgodnie z definicją ustawową są to urządzenia telekomunikacyjne przeznaczone do podłączenia bezpośrednio lub pośrednio do zakończeń sieci (czyli nic innego jak komputer, telefon czy tablet, na którym użytkownik odczytuje wiadomość zawierającą newsletter). W świetle tego przepisu bez znaczenia jest, na jaki adres wysyłamy newsletter – czy adres pozwalający zidentyfikować konkretną osobę fizyczną (imię.nazwisko@poczta.pl), czy adres firmowy (biuro@poczta.pl) – uprzednia zgoda odbiorcy newslettera w każdym przypadku jest konieczna.

Praktyczne stosowanie powyższych przepisów i ich relacja budzi niekiedy wątpliwości. Problem pojawia się zwłaszcza w sytuacji, gdy użytkownik sklepu lub serwisu internetowego zamawia newsletter wpisując w tym celu swój adres e-mail w odpowiednim polu na stronie internetowej przedsiębiorcy (co jest równoznaczne z wyrażeniem zgody na przesyłanie informacji handlowej w świetle art. 10 ustawy o świadczeniu usług drogą elektroniczną) – czy także w takich przypadkach przedsiębiorca ma obowiązek pozyskania odrębnej zgody na używanie telekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośredniego?

Zgodnie ze stanowiskiem Prezesa Urzędu Komunikacji Elektronicznej z dnia 7 października 2016 r. w takiej sytuacji na przedsiębiorcy nie ciąży obowiązek uzyskania zgody, o której mowa w art. 172 ustawy Prawo telekomunikacyjne. Oznacza to, że użytkownik, który składa indywidualne żądanie otrzymania określonej informacji handlowej (zapisuje się do newslettera), wyraża jednocześnie zgodę na wykorzystanie jego urządzenia końcowego w celach marketingu bezpośredniego.

Zgoda na newsletter – najważniejsze zasady

1. Zgoda uprzednia
Wysyłanie newslettera może być zgodne z prawem tylko i wyłącznie wówczas, gdy nastąpi po uzyskaniu odpowiedniej zgody od odbiorcy. Wszelkie działania marketingowe podjęte przed uzyskaniem zgody są sprzeczne z prawem.

2. Zgoda wyrażona wprost
Zgoda na otrzymywanie newslettera nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. W praktyce oznacza to, że dla takiej zgody musi zostać umieszczony osobny checkbox jasno i wyraźnie określający, na co odbiorca wyraża zgodę.

3. Zgoda może być w każdym czasie wycofana w sposób prosty i wolny od opłat
Przedsiębiorca nie może w żaden sposób utrudniać odbiorcy rezygnacji z dalszego otrzymywania newslettera. Najlepiej sprawdzającą się praktyką w tym względzie jest umieszczenie w stopce e-maila wysyłanego do klienta odpowiedniego linku, którego kliknięcie umożliwi mu szybkie i sprawne wypisanie się z listy subskrybentów.

4. Utrwalenie i potwierdzenie zgody przez użytkownika
Oznacza to, że samo wyrażenie zgody na otrzymywanie newslettera nie jest wystarczające – zgoda ta musi zostać dodatkowo w odpowiedni sposób utrwalona i potwierdzona. W praktyce wygląda to w ten sposób, że po wpisaniu przez klienta w odpowiednim polu swojego adresu e-mail, wysyłana jest na ten adres automatycznie generowana wiadomość zawierająca link aktywacyjny. Aktywowanie tego linku przez odbiorcę powoduje, że adres e-mail zostaje dodany do bazy subskrybentów (metoda double opt-in). Metoda ta umożliwia przedsiębiorcy zachowanie potwierdzenia uzyskanej zgody, co jest szczególnie istotne, jeśli weźmiemy pod uwagę, że w przypadku sporu to na nim ciąży obowiązek udowodnienia, że dopełnił wszelkich formalności przed rozpoczęciem wysyłania newslettera.

A jaka zgoda być nie może?

Wśród niedozwolonych metod pozyskiwania zgody na przesyłanie newslettera (i niestety wciąż często występujących) wymienić można:

1. Wyrażenie zgody na newsletter poprzez akceptację regulaminu
Praktyka ta polega na tym, że zgoda na przesyłanie newslettera jest ukryta w regulaminie korzystania ze sklepu lub serwisu internetowego. Tym samym klient, akceptując regulamin, jednocześnie wyraża zgodę na otrzymywanie newslettera. Brak osobnego checkboxa ze zgodą na newsletter narusza wskazaną powyżej zasadę, że zgoda musi zostać wyrażona wprost.

2. Połączenie zgody na przetwarzanie danych osobowych ze zgodą na otrzymywanie newslettera

Takie działanie zmusza klienta do podjęcia jednej decyzji w odniesieniu do dwóch zupełnie osobnych kwestii – zgody na przetwarzanie danych osobowych i zgody na otrzymywanie newslettera. Jest ono niedozwolone, ponieważ narusza podstawową zasadę odbierania zgód – jedna zgoda może dotyczyć wyłącznie jednego celu, dla którego jest zbierana.

3. Automatycznie zaznaczony checkbox zgody
Wyrażenie zgody na otrzymywanie newslettera przez odbiorcę musi nastąpić poprzez jego aktywne działanie – niedopuszczalna jest zatem sytuacja, w której checkbox ten jest z góry zaznaczony, a klient, nie chcąc otrzymywać informacji handlowych, musi wyrazić swój sprzeciw (tzw. opt-out).

Newsletter a ochrona danych osobowych

Zgodnie z ustawą o ochronie danych osobowych adres e-mail, jeżeli pozwala na zidentyfikowanie konkretnej osoby (np. imię.nazwisko@poczta.pl), zalicza się do danych osobowych. Zatem nie wszystkie adresy e-mail są danymi osobowymi. Jeżeli jednak na liście subskrybentów znajduje się chociaż kilka adresów e-mail składających się z imienia i nazwiska, powoduje to, że mamy do czynienia z danymi osobowymi i musimy przestrzegać przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

⧠ zgoda na przetwarzanie danych osobowych w celach marketingowych

Żeby przetwarzanie danych osobowych było zgodne z prawem, musi się ono odbywać na podstawie jednej z przesłanek dopuszczalności wymienionych w ustawie. Wśród nich jest właśnie zgoda osoby, której dane dotyczą. Odbierając taką zgodę, administrator danych osobowych (czyli przedsiębiorca prowadzący newsletter) jest obowiązany poinformować osobę, od której ją odbiera o:

 adresie swojej siedziby i pełnej nazwie lub o miejscu swojego zamieszkania oraz imieniu i nazwisku (w przypadku, gdy administratorem danych jest osoba fizyczna);
 celu zbierania danych (w naszym przypadku są to cele marketingowe, wysyłka newslettera);
 prawie dostępu do treści swoich danych oraz ich poprawiania;
 dobrowolności podania danych.

Zgoda na przetwarzanie danych osobowych w celach marketingowych nie jest zawsze konieczna. Ustawa o ochronie danych osobowych daje przedsiębiorcy prowadzącemu newsletter możliwość zrezygnowania z niej w sytuacji, gdy przetwarzanie danych osobowych (adresu e-mail) jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Za taki cel ustawa uznaje m.in. marketing bezpośredni własnych produktów lub usług. Zatem, jeżeli newsletter nie dotyczy produktów lub usług „obcych”, uzyskanie zgody nie jest wymagane.

Zgłoszenie newslettera do GIODO – czy jest konieczne?

W myśl ustawy o ochronie danych osobowych baza adresów e-mail stanowi zbiór danych osobowych. A każdy zbiór, poza wyjątkami ściśle wskazanymi w ustawie (do których nie zalicza się newsletter), podlega zgłoszeniu. Zgłoszenie wymaga wypełnienia odpowiedniego wniosku i przesłania go do GIODO. Dokładne informacje na temat zgłoszenia oraz instrukcję, jak je wypełnić znajdą Państwo tutaj.

Polityka bezpieczeństwa informacji

Każdy administrator danych osobowych ma obowiązek opracowania oraz wdrożenia polityki bezpieczeństwa informacji. Dokument zawierający politykę bezpieczeństwa informacji ma na celu określenie sposobu przetwarzania danych osobowych oraz środków ich ochrony.

Poniżej przedstawimy listę zagadnień, które powinny znaleźć się w polityce bezpieczeństwa informacji wraz z omówieniem, dzięki czemu będą mogli Państwo w prosty sposób dostosować je do własnych potrzeb.

Zagadnienia ogólne

⧠ wskazanie podmiotu odpowiedzialnego za opracowanie i wdrożenie polityki bezpieczeństwa – administratora danych osobowych
⧠ wyjaśnienie celu wprowadzenia polityki bezpieczeństwa – zapewnienie zgodności działania administratora danych z przepisami o ochronie danych osobowych
⧠ podstawy prawne
– Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
– Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
– Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji
– Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbioru danych
⧠ zakres przedmiotowy polityki bezpieczeństwa – opisujemy poniżej

Definicje

Zdefiniowanie pojęć kluczowych, które będą powtarzały się w dalszej części dokumentu, pozwoli na utrzymanie spójności i uniknięcie konieczności ich każdorazowego wyjaśniania. Wprowadzając definicje w polityce bezpieczeństwa można (i jest to nawet wskazane) posłużyć się definicjami ustawowymi.

Administrator Bezpieczeństwa Informacji

Jeśli został powołany, dobrym rozwiązaniem jest poświęcenie miejsca w polityce bezpieczeństwa na określenie jego obowiązków i zakresu odpowiedzialności. Zgodnie z przepisami ustawy o ochronie danych osobowych (u.o.d.o.) administrator bezpieczeństwa informacji odpowiedzialny jest w szczególności za zapewnienie przestrzegania przepisów o ochronie danych osobowych i prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

Upoważnienie do przetwarzania danych osobowych

Pracownicy, wykonując swoje obowiązki, przetwarzają dane osobowe. Zgodnie z przepisami u.o.d.o. muszą w tym celu otrzymać stosowne upoważnienie nadane przez administratora danych. Zasady, na jakich będzie się to odbywało, muszą zostać określone w polityce bezpieczeństwa. Wzór dokumentu upoważnienia dołączamy do polityki bezpieczeństwa.

Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe

⧠ adres siedziby administratora danych osobowych
⧠ siedziby wszystkich podmiotów, którym powierzono przetwarzanie danych na podstawie umowy
⧠ adresy miejsc, w których przechowywanie są nośniki informacji zawierające dane osobowe

Z uwagi na szeroką definicję przetwarzania danych w u.o.d.o., do obszaru tego zalicza się nie tylko miejsca, w których wykonywane są operacje na danych osobowych (wprowadzanie, modyfikowanie, kopiowanie danych), ale także miejsca, w których jedynie przechowuje się wszelkie nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową, szafy zawierające komputerowe nośniki informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe). Z wielu względów praktycznych zbyt dokładne określanie tych pomieszczeń nie jest wskazane, a często nawet możliwe. Dlatego też przyjmuje się, że wystarczające jest określenie powyższych miejsc poprzez wskazanie ich adresu, bez dokładnego określania poszczególnych pomieszczeń.

Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych

⧠ wskazanie nazw zbiorów danych oraz nazw programów używanych do ich przetwarzania

W wykazie powinny znaleźć się informacje o wszystkich programach wykorzystywanych do przetwarzania danych w ramach danego zbioru, bez względu na to czy zarządzanie oraz administracja tymi programami leży w gestii administratora danych, czy podmiotów zewnętrznych. Ponadto trzeba mieć na uwadze, że – w odróżnieniu od rejestru – wykaz zbiorów danych osobowych zawiera wszystkie zbiory danych przetwarzane przez administratora danych, bez żadnych wyjątków (czyli również te zwolnione z obowiązku rejestracji).

Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi

W punkcie tym wskazujemy poszczególne grupy informacji (np. dane adresowe klienta, zamówienia klienta, sprzedawane towary) oraz istniejące między nimi relacje, dzięki czemu możliwa będzie identyfikacja pełnego zakresu danych osobowych, jakie są przetwarzane w określonym zbiorze. Powiązania te można przedstawić zarówno w formie opisu tekstowego, jak i w postaci graficznej.

Sposób przepływu danych pomiędzy poszczególnymi systemami

⧠ wskazanie wszystkich używanych systemów informatycznych
⧠ informacja, z jakimi zbiorami danych poszczególne systemy współpracują
⧠ sposób przepływu informacji pomiędzy zbiorem danych a systemem informatycznym – jednokierunkowy (np. informacje pobierane są tylko do odczytu) lub dwukierunkowy (np. informacje pobierane są do odczytu i zapisu)
⧠ sposób przepływu danych pomiędzy poszczególnymi systemami
– wskazanie zakresu przesyłanych danych
– ogólne informacje na temat sposobu przesyłania danych, które mogą decydować o rodzaju narzędzi niezbędnych do zapewnienia ich bezpieczeństwa podczas teletransmisji
– wskazanie podmiotu lub kategorii podmiotów, do których dane są przekazywane

W informacji o sposobie przepływu danych pomiędzy poszczególnymi systemami musimy uwzględnić również przepływ do podmiotów zewnętrznych zaangażowanych w proces przetwarzania danych osobowych – mogą to być np. systemy podmiotów, którym zostało powierzone przetwarzanie danych osobowych na podstawie art. 31 u.o.d.o. Co ważne, w punkcie tym nie jest wymagane szczegółowe omawianie rozwiązań technologicznych – powyższe informacje powinny zostać przedstawione w sposób ogólny i przejrzysty.

Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

⧠ środki ochrony fizycznej
⧠ środki sprzętowe, informatyczne i telekomunikacyjne
⧠ środki ochrony w ramach oprogramowania systemu
⧠ środki organizacyjne

Określenie środków technicznych i organizacyjnych powinno być poprzedzone analizą zagrożeń i ryzyka związanych z przetwarzaniem danych osobowych – zastosowane środki muszą być adekwatne do zagrożeń wynikających ze sposobu, jak również kategorii przetwarzanych danych osobowych. Powinny one spełniać wymogi określone w art. 36-39 u.o.d.o. oraz być adekwatne do wymaganych poziomów bezpieczeństwa, o których mowa w § 6 rozporządzenia.

Załączniki

1. Wyznaczenie Administratora Bezpieczeństwa Informacji
2. Upoważnienie do przetwarzania danych osobowych
3. Ewidencja osób uprawnionych do przetwarzania danych osobowych – powinna zawierać następujące informacje:
– imię i nazwisko,
– funkcja,
– zakres upoważnienia,
– numer upoważnienia,
– data przyznania upoważnienia,
– data ustania upoważnienia,
– identyfikator (login)

Jednym z elementów zakładania spółki z ograniczoną odpowiedzialnością, o czym pisaliśmy tutaj, jest złożenie wniosku do KRS o rejestrację spółki. W tym celu należy wypełnić formularz KRS-W3. Formularz należy pobrać ze strony Ministerstwa Sprawiedliwości.

WYPEŁNIENIE WNIOSKU

Jak wypełnić formularz KRS-W3? Zacznijmy od podstawowych informacji:
• Należy wypełnić tylko pola jasne.
• We wszystkich wypełnianych polach, w których występuje możliwość wyboru, należy wstawić X w jednym odpowiednim kwadracie.
• Wszystkie niewypełnione pola należy przekreślić.

Poniżej szczegółowo omówimy wypełnienie formularza i załączników na podstawie przykładowej spółki. Ustalmy, że nasza spółka posiada 2 wspólników, którzy równocześnie zasiadają w jej zarządzie. Kapitał zakładowy spółki wynosi 10 000 zł i dzieli się na 200 udziałów po 50 zł każdy. Spółka prowadzi działalność pod firmą Przykładowa spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie. Spółka zajmuje się sprzedażą książek.

KRS-W3 – Wniosek o rejestrację podmiotu w rejestrze przedsiębiorców

Wypełnianie formularza rozpoczynamy od ustalenia sądu rejonowego (sądu gospodarczego) właściwego ze względu na siedzibę naszej spółki. W naszym przypadku jest to Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIII Wydział Krajowego Rejestru Sądowego. Następnie wypełniamy cztery pola określające siedzibę naszej spółki oraz zakreślamy kwadrat dotyczący rejestracji nowego podmiotu.

W części A.1 zaznaczamy, że wniosek o wpis składa spółka, zatem zgodnie z poleceniem poniżej – pozostałe pola przekreślamy. Następnie w części A.2 oznaczamy adresata korespondencji, w tym przypadku będzie to nasza spółka. Jeśli nie korzystamy z pomocy profesjonalnego pełnomocnika, pole A.3 należy przekreślić.

W części B i C wpisujemy dane, które będą widniały w rejestrze, a zaczynamy od firmy spółki – w naszym przypadku jest to Przykładowa spółka z ograniczoną odpowiedzialnością. Należy pamiętać, aby wpisać pełną nazwę spółki wraz z oznaczeniem formy prawnej, pomimo że forma prawna została poniżej oznaczona automatycznie. Jeśli tego nie zrobimy, firma spółki będzie błędna. W rubryce 32 i 33 należy wpisać NIP i REGON spółki, jeśli spółka je posiada, natomiast jeśli tak nie jest, należy przekreślić te pola, a pola 30 i 31 zaznaczyć.

Pola C.2 dotyczą spółki uprzednio zarejestrowanej w dowolnym rejestrze. W naszym przypadku spółka jest nowym podmiotem, więc je przekreślamy. W rubryce 37 zaznaczamy, czy nasza spółka prowadzi działalność z innymi podmiotami na podstawie umowy spółki cywilnej. W polach C.4 wpisujemy dane spółki dotyczące jej siedziby i adresu, natomiast jeśli spółka nie posiada poczty elektronicznej i strony internetowej – pola 47 i 48 przekreślamy. W naszym przypadku spółka posiada jedynie adres e-mailowy, w związku z czym rubrykę odnoszącą się do strony internetowej przekreśliliśmy.

W rubryce 49 wpisujemy informacje dotyczące umowy spółki. Zgodnie z treścią polecenia, w pustym polu powinniśmy zawrzeć datę sporządzenia aktu notarialnego, oznaczenie notariusza i kancelarii prawnej oraz numer repertorium. W przypadku naszej spółki, wymagana informacja brzmi: AKT NOTARIALNY Z DNIA 27 LUTEGO 2017 ROKU, NOTARIUSZ KATARZYNA PRZYKŁADOWA, KANCELARIA NOTARIALNA W WARSZAWIE PRZY ULICY REJONOWEJ 4/8, REPERTORIUM A NR 5567/2017. W części C.6 określamy na jaki czas została utworzona spółka. Nasza spółka została utworzona na czas nieoznaczony, w związku z czym zaznaczamy drugą odpowiedź. Pole 51 wypełniamy tylko w przypadku, gdy umowa spółki przewiduje do ogłoszeń spółki inne pismo niż Monitor Sądowy i Gospodarczy.

W rubryce 52 należy określić, zgodnie z umową spółki, ile udziałów może mieć jej wspólnik (w naszej spółce jest to więcej niż jeden udział). W części C.9 wpisujemy słownie i liczbowo informację dotyczącą kapitału zakładowego, gdzie w polu 53 wpisujemy jego wysokość, a w polu 55 wartość udziałów objętych za aport. W naszym przypadku w polu 53 wpisaliśmy słownie i liczbowo kwotę 10 000 zł, a pole 55 przekreśliliśmy, ponieważ w naszej spółce udziały nie zostały objęte za aport. W polach 54 i 56 należy wpisać walutę kapitału spółki (w naszym przypadku jest to PLN), a w rubryce C.10 określić dzień kończący pierwszy rok obrotowy (u nas – 31 grudnia 2017).

W części D.1 autor formularza pozostawił nam krótką ściągę dotycząca wykorzystania załączników. Jeśli mają Państwo wątpliwości w tym zakresie, zdecydowanie polecamy z niej skorzystać. W części D.1.1 oznaczamy liczbę wykorzystanych przez nas załączników, wpisując je w puste miejsce z prawej strony, a pozostałe przekreślając. W polu D.1.2 wpisujemy listę załączonych do wniosku dokumentów (listę wymaganych dokumentów zawarliśmy tutaj). Z prawej strony spisu należy określić ich liczbę oraz zaznaczyć krzyżykiem czy mają formę papierową, czy elektroniczną. Należy pamiętać, że liczba załączników i dokumentów jest skrupulatnie sprawdzana – warto więc zadbać o to, aby (podobnie jak w przypadku innych wpisywanych treści) była prawidłowa. Wypełniony wniosek i jego załączniki podpisują zawsze wszyscy członkowie zarządu lub pełnomocnik spółki (art. 164 § 1 ksh), w naszym przypadku jest to prezes oraz wiceprezes spółki.

Uwaga! Warto pamiętać o konieczności przekreślenia każdego pola, w którym nie wpisaliśmy informacji. W sytuacji prawidłowego wypełnienia wniosku i pozostawienia niewykreślonego pustego pola, wniosek i tak zostanie zwrócony.

Poniżej zamieszczamy wypełniony formularz KRS-W3 dla naszej spółki.

Po wypełnieniu głównego formularza przystępujemy do wypełniania jego załączników. W naszym przypadku będą to 3 załączniki – KRS-WE, KRS-WK oraz KRS-WM.

KRS-WE – Wspólnicy spółki z ograniczoną odpowiedzialnością podlegający wpisowi do rejestru

Wypełnianie załącznika zaczynamy od wpisania nazwy podmiotu, którego dotyczy wniosek – w naszym przypadku jest to Przykładowa Spółka z ograniczoną odpowiedzialnością. Poniżej znajduje się informacja dotycząca liczby potrzebnych nam załączników KRS-WE: Jeśli wspólników podlegających wpisowi do rejestru jest więcej niż trzech, informacje o pozostałych należy wpisać na kolejnych egzemplarzach załącznika. Nasza spółka ma 2 wspólników, zatem wystarczy nam jeden egzemplarz załącznika.

Dodatkowo należy pamiętać, że w związku z art. 38. pkt 8) lit. c) ksh wpisowi do rejestru podlegają wspólnicy, którzy posiadają co najmniej 10% kapitału zakładowego. W naszym przypadku drugi wspólnik posiada jedynie 2 udziały, które stanowią 1% kapitału zakładowego spółki, więc nie podlega on wpisowi do rejestru.

W polu 1 określamy, czy wspólnik jest osobą fizyczną. Jeśli tak, to pola o numerach 7 i 8 należy przekreślić (dotyczą one numeru KRS i numeru REGON). Nasz wspólnik jest osobą fizyczną, zatem zakreślamy taką odpowiedź oraz (zgodnie z poleceniem) przekreślamy pola 7 i 8 poniżej. Następnie w punkcie 2 wpisujemy nazwę, firmę lub nazwisko wspólnika, przy czym w przypadku nazwiska złożonego, pierwszy człon nazwiska wpisujemy do rubryki 2, a drugi człon do rubryki 3. Za błąd uznaje się wpisanie 2 członów nazwiska łącznie do jednego pola oraz nieprzekreślenie pola 3 w sytuacji, kiedy wspólnik ma nazwisko jednoczłonowe. W rubrykach 4 i 5 podajemy imiona wspólnika, a w punkcie 6 jego numer PESEL. Dane naszego wspólnika – Agnieszki Barbary Przypadek – wpisujemy w określone pola, zgodnie z poleceniem. W polu 9 określamy liczbę udziałów wspólnika oraz ich łączną wartość (nie należy podawać tu wartości nominalnej jednej akcji). Agnieszka Barbara Przypadek posiada 198 udziałów o łącznej wartości 9 900,00 złotych i taką też informację podajemy w załączniku. W punkcie 10 zaznaczamy czy zgłaszany wspólnik posiada całość udziałów (w naszym przypadku nie posiada). Pozostałe pola przekreślamy. Załącznik podobnie jak formularz podpisują wszyscy członkowie zarządu.

Poniżej wypełniony załącznik KRS-WE dla naszej spółki.

KRS-WK – Organy podmiotu / wspólnicy uprawnieni do reprezentowania spółki

W jednym egzemplarzu KRS-WK możemy wpisać maksymalnie 2 osoby wchodzące w skład organu lub 2 wspólników reprezentujących spółkę. Podobnie jak w przypadku załącznika KRS-WE, wypełnianie dokumentu rozpoczynamy od wpisania nazwy spółki. Następnie w polu 1, spośród 3 możliwości (organ uprawniony do reprezentacji podmiotu, wspólnicy uprawnieni do reprezentowania spółki oraz organ nadzoru) wybieramy jedną, która określa czego dotyczy zgłoszenie. W przypadku naszej spółki jest to organ uprawniony do reprezentacji podmiotu, czyli zarząd spółki. W polu 2 wpisujemy nazwę tego organu. W sytuacji, kiedy zamierzamy zgłosić wspólników uprawnionych do reprezentacji spółki, pole 2 należy przekreślić.

Punkt 3 powinien zawierać informację dotyczącą sposobu reprezentacji podmiotu przez określony przez nas podmiot (zarząd, wspólników bądź prokurentów). W naszym przypadku informacja dotycząca sposobu reprezentacji brzmi: DO SKŁADANIA OŚWIADCZEŃ W IMIENIU SPÓŁKI UPOWAŻNIONY JEST KAŻDY CZŁONEK ZARZĄDU SAMODZIELNIE. Warto natomiast zauważyć, że w sytuacji reprezentowania spółki przez wspólnika będącego osobą prawną, informacja powinna obejmować również wskazanie osób reprezentujących taką osobę prawną.

Część II załącznika wypełniamy dokładnie w taki sam sposób, jak wygląda to w KRS-WE, z tym zastrzeżeniem, że w KRS-WK zamiast liczby udziałów podajemy funkcję osoby w organie reprezentacji (pole 9). W naszym przypadku 2 osoby przez nas zgłaszane pełnią funkcję PREZESA oraz WICEPREZESA ZARZĄDU, zatem wpisujemy taką informację we wskazane miejsce. Dodatkowo poniżej musimy odpowiedzieć na pytanie, czy te osoby są zawieszone (pola 10, 11). Pod załącznikiem podpisy składają wszyscy członkowie zarządu.

Poniżej wypełniony załącznik KRS-WK dla naszej spółki.

KRS-WM – Przedmiot działalności

Tradycyjnie, wypełnianie załącznika rozpoczynamy od podania nazwy spółki. Następnie w polu I.1.1 wpisujemy przedmiot przeważającej działalności według Polskiej Klasyfikacji Działalności (PKD), określony w umowie spółki. Co ważne, przedmiot przeważającej działalności musi zostać wpisany na poziomie podklasy. Nasza spółka specjalizuje się w sprzedaży książek, zatem jako przedmiot przeważającej działalności wyróżniliśmy kod PKD: 47.61.Z SPRZEDAŻ DETALICZNA KSIĄŻEK PROWADZONA W WYSPECJALIZOWANYCH SKLEPACH.

W pozostałych polach wpisujemy przedmioty pozostałej działalności, a niewykorzystane rubryki przekreślamy. Dla naszej spółki wybraliśmy jeszcze dwa kody PKD i wpisaliśmy je w polach I.1.2. – 47.62.Z SPRZEDAŻ DETALICZNA GAZET I ARTYKUŁÓW PIŚMIENNYCH PROWADZONA W WYSPECJALIZOWANYCH SKLEPACH oraz 47.63.Z SPRZEDAŻ DETALICZNA NAGRAŃ DŹWIĘKOWYCH I AUDIOWIZUALNYCH PROWADZONA W WYSPECJALIZOWANYCH SKLEPACH. Pod załącznikiem także podpisują się wszyscy członkowie zarządu.

Należy pamiętać, że wpisowi do KRS podlega maksymalnie 10 kodów PKD, w tym jeden przedmiot przeważającej działalności. Warto zatem wybrać do tego celu najczęściej używane kody, te które najlepiej charakteryzują działalność naszej spółki.

Poniżej wypełniony załącznik KRS-WM dla naszej spółki.

Po wypełnieniu wszystkich potrzebnych załączników, należy załączyć je do głównego formularza wraz z wcześniej przygotowanymi dokumentami spółki, jeszcze raz dokładnie sprawdzić oraz złożyć na biurze podawczym sądu.

Instrukcja zarządzania systemem informatycznym

Przetwarzając dane osobowe należy zadbać o ich prawidłową ochronę. Jeżeli dane osobowe przetwarzane są w systemie informatycznym, ich administrator musi przygotować i stosować (wdrożyć) dokument o nazwie „instrukcja zarządzania systemem informatycznym”.

Dokument będzie opisywał sposób przetwarzania danych osobowych w systemie informatycznym oraz środki techniczne i organizacyjne, jakie administrator danych osobowych stosuje w celu ochrony danych osobowych. Obowiązek przygotowania instrukcji zarządzania systemem informatycznym wynika z art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.) oraz § 3 ust. 3 i § 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku, w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Treść instrukcji zarządzania systemem informatycznym zależy m.in. od rodzaju przetwarzanych danych osobowych i systemu informatycznego, w którym dane osobowe są przetwarzane (jego budowy, struktury, dostępu do systemu, jego ochrony). Nie da się więc przygotować uniwersalnego wzoru instrukcji zarządzania systemem informatycznym. Żeby ułatwić Państwu przygotowanie takiego dokumentu, stworzyliśmy listę punktów, która musi zostać omówiona w instrukcji zarządzania systemem informatycznym.


Zagadnienia ogólne

⧠ systemy informatyczne, których dotyczy instrukcja
⧠ lokalizacja systemów
⧠ stosowane metody dostępu (bezpośrednio z komputera, na którym system jest zainstalowany, w lokalnej sieci komputerowej, poprzez sieć telekomunikacyjną)

Procedury nadawania uprawnień do przetwarzania danych osobowych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności

⧠ zasady przyznawania użytkownikowi identyfikatora
⧠ zasady nadawania uprawnień użytkownika do zasobów systemu
⧠ zasady modyfikacji uprawnień użytkownika do zasobów systemu:
– operacje związane z nadawaniem użytkownikowi uprawnień do pracy w systemie, począwszy od utworzenia użytkownikowi konta, poprzez przydzielenie i modyfikację jego uprawnień, aż do momentu usunięcia konta z systemu
⧠ procedura określająca zasady rejestracji użytkowników:
– zasady postępowania z hasłami użytkowników uprzywilejowanych (tzn. użytkowników posiadających uprawnienia na poziomie administratorów systemów informatycznych)
– zasady administrowania systemem w przypadkach awaryjnych (np. nieobecności administratora)
⧠ osoby odpowiedzialne za realizację procedur oraz rejestrowanie i wyrejestrowywanie użytkowników w systemie

Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem

⧠ tryb przydzielania haseł (zaleca się, aby unikać przekazywania haseł przez osoby trzecie lub za pośrednictwem niechronionych wiadomości poczty elektronicznej)
­ – wskazanie czy hasła użytkowników przekazywane mają być w formie ustnej czy pisemnej
­ – wskazanie zaleceń dotyczących stopnia ich złożoności – 6 lub 8 znaków (pkt IV ppkt 2 oraz pkt VIII załącznika do rozporządzenia z dnia 29 kwietnia 2004 r.)
⧠ wskazanie osób odpowiedzialnych za przydział haseł (funkcjonalnie lub personalnie)
⧠ zobowiązanie użytkownika do niezwłocznej zmiany hasła po jego otrzymaniu – chyba że system nie umożliwia wykonania takiej operacji
⧠ dodatkowe informacje dotyczące haseł (w zależności od stosowanych rozwiązań):
­ – wymogi dotyczące ich powtarzalności
­ – wymogi dotyczące zestawu tworzących je znaków
⧠ informacja o wymaganej częstotliwości i metodzie zmiany hasła
­ – częstotliwość – nie rzadziej niż co 30 dni (pkt IV ppkt 2 załącznika do rozporządzenia z dnia 29 kwietnia 2004 r.)
­ – informacja czy zmiana hasła wymuszana jest po określonym czasie przez system, czy użytkownik sam musi o tym pamiętać
⧠ wymóg przechowywania haseł w postaci zaszyfrowanej
⧠ sposób przechowywania haseł użytkowników posiadających uprawnienia administratorów systemów oraz sposób odnotowywania ich awaryjnego użycia
⧠ dodatkowo w przypadku zastosowania innych niż identyfikator i hasło metod weryfikacji tożsamości użytkownika, np. kart mikroprocesorowych lub metod biometrycznych
­ – sposób personalizacji kart
­ – sposób pobierania danych biometrycznych w procesie rejestrowania użytkownika w systemie
­ – sposób przechowywania danych biometrycznych

Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu

⧠ kolejne czynności, jakie należy wykonać w celu uruchomienia systemu, w szczególności zasady postępowania użytkowników podczas przeprowadzania procesu uwierzytelniania się (logowania się do systemu)
⧠ metody postępowania w sytuacji tymczasowego zaprzestania pracy na skutek opuszczenia stanowiska pracy
⧠ metody postępowania, kiedy wgląd w wyświetlane na monitorze dane może mieć nieuprawniona osoba
⧠ informacja o konieczności wykonania operacji wyrejestrowania się z systemu przed wyłączeniem stacji komputerowej oraz o czynnościach, jakie w tym celu należy wykonać
⧠ sposób postępowania w sytuacji podejrzenia naruszenia bezpieczeństwa systemu, np. w przypadku braku możliwości zalogowania się użytkownika na jego konto, czy też w przypadku stwierdzenia fizycznej ingerencji w przetwarzane dane albo użytkowane narzędzia programowe lub sprzętowe

Procedury tworzenia kopii zapasowych zbiorów danych osobowych oraz programów i narzędzi programowych służących do ich przetwarzania

⧠ metody i częstotliwość tworzenia kopii zapasowych danych oraz kopii zapasowych systemu używanego do ich przetwarzania:
­ – informacja, dla jakich danych wykonywane będą kopie zapasowe
­ – typ nośników, na których kopie będą wykonywane
­ – narzędzia programowe i urządzenia, które mają być do tego celu wykorzystywane
­ – harmonogram wykonywania kopii zapasowych dla poszczególnych zbiorów danych wraz ze wskazaniem odpowiedniej metody sporządzania kopii (kopia przyrostowa, kopia całościowa)
⧠ okresy rotacji oraz całkowity czas użytkowania poszczególnych nośników danych
⧠ procedury likwidacji nośników zawierających kopie zapasowe danych po ich wycofaniu na skutek utraty przydatności lub uszkodzenia
­ – wymóg wcześniejszego pozbawienia przeznaczonych do likwidacji urządzeń, dysków lub innych nośników zawierających dane osobowe zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkodzenia w sposób uniemożliwiający ich odczytanie (pkt VI załącznika do rozporządzenia z dnia 29 kwietnia 2004 r.)

Sposób, miejsce i okres przechowywania:

a) elektronicznych nośników informacji zawierających dane osobowe (dyskietki, płyty CD, taśmy magnetyczne itp.)
b) kopii zapasowych

⧠ wskazanie pomieszczeń przeznaczonych do przechowywania nośników informacji
⧠ sposób zabezpieczenia nośników przed nieuprawnionym przejęciem, odczytem, skopiowaniem lub zniszczeniem
– ­wymóg przechowywania kopii zapasowych w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem (pkt IV ppkt 4a załącznika do rozporządzenia z dnia 29 kwietnia 2004 r.)
⧠ wymóg usuwania kopii zapasowych niezwłocznie po ustaniu ich użyteczności (pkt IV ppkt 4b załącznika do rozporządzenia z dnia 29 kwietnia 2004 r.)
⧠ w przypadku przekazywania nośników informacji podmiotom zewnętrznym w celu bezpiecznego ich przechowywania (np. deponowanie kopii zapasowych w skarbcach bankowych)
­ – procedury przekazywania nośników tym podmiotom
­ – metody zabezpieczania przekazywanych nośników przed dostępem osób nieuprawnionych podczas ich transportu/przekazywania

Sposób zabezpieczania systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu

⧠ określenie obszarów systemu narażonych na ingerencję wirusów komputerowych oraz wszelkiego innego szkodliwego oprogramowania
⧠ wskazanie możliwych źródeł przedostania się szkodliwego oprogramowania do systemu
⧠ wskazanie działań, jakie należy podejmować, aby minimalizować możliwość zainstalowania się szkodliwego oprogramowania
⧠ wskazanie zastosowanych narzędzi programowych, których zadaniem jest przeciwdziałanie skutkom szkodliwego działania oprogramowania
­ – wskazanie oprogramowania antywirusowego, które zostało zainstalowane
­ – określenie metody i częstotliwości aktualizacji definicji wirusów
­ – wskazanie osób odpowiedzialnych za zarządzane oprogramowaniem
⧠ procedury postępowania użytkowników na okoliczność zidentyfikowania określonego typu zagrożeń – informacja o czynnościach, które użytkownik powinien wykonać
⧠ w przypadku, gdy stosowane są inne niż oprogramowanie antywirusowe metody ochrony – wskazanie tych metod i procedur związanych z ich stosowaniem

Sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia z dnia 29 kwietnia 2004 r.

⧠ opis sposobu oraz formy odnotowania informacji o odbiorcach (art. 7 pkt 6 ustawy o ochronie danych osobowych), którym dane osobowe zostały udostępnione oraz dacie i zakresie tego udostępnienia (nie jest wystarczające odnotowanie w formie papierowej) – nie dotyczy sytuacji, kiedy system informatyczny jest używany do przetwarzania danych zawartych w zbiorach jawnych

Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych

⧠ cel procedur
⧠ zakres procedur
⧠ częstotliwość procedur
⧠ opis procedur
­ – podmioty i osoby uprawnione do dokonywania przeglądów i konserwacji
­ – określenie sposobu, w jaki administrator danych nadzoruje czynności konserwacyjne systemu wykonywane przez osoby nieposiadające upoważnień do przetwarzania danych (np. specjalistów z firm zewnętrznych)
­ – określenie sposobu usuwania danych osobowych z nośników informatycznych w przypadku przekazywania ich do naprawy – wymóg, aby urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, pozbawić przed oddaniem do naprawy zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawiać je pod nadzorem osoby upoważnionej przez administratora danych (pkt VI ppkt 3 załącznika do rozporządzenia z dnia 29 kwietnia 2004 r.)

Ochrona danych osobowych – czy każdy zbiór danych trzeba zgłosić do GIODO?

Nie, nie zawsze trzeba zgłaszać zbiór danych do rejestracji GIODO (dla niecierpliwych – o tym piszemy w punkcie 5).

Ale po kolei. Najpierw wyjaśnijmy, co to są dane osobowe (1), potem czym jest zbiór danych osobowych (2), kto powinien zgłosić zbiór danych osobowych do rejestracji GIODO (3), kiedy zbiór danych osobowych należy zgłosić do rejestracji GIODO (4), a kiedy ustawa przewiduje zwolnienia z obowiązku rejestracji zbioru danych osobowych GIODO (5).

1. CO TO SĄ DANE OSOBOWE?

Dane osobowe to informacje dotyczące konkretnej osoby fizycznej. Zatem, jeżeli jakieś informacje pozwalają stwierdzić, że kryje się za nimi konkretna osoba fizyczna, to takie informacje będą danymi osobowymi.
Taka informacja może być wyrażona w dowolny sposób, np. słowem, zapisem elektronicznym, zapisem dźwiękowym (dlatego podczas rozmów z call center jesteśmy informowani o tym, że są one rejestrowane – jest to nasza zgoda na zapisywanie danych osobowych nas dotyczących, czyli naszego głosu), fotograficznym (zdjęcia przedstawiające osoby).

Przykłady danych osobowych:

a) numery identyfikacyjne, np.:

  • PESEL
  • NIP

b) dane o osobie:

  • imię
  • nazwisko
  • adres
  • głos (informujemy, że rozmowy są nagrywane)
  • numer telefonu
  • e-mail
  • IP komputera, numer rejestracyjny samochodu

c) czynniki określające cechy, np.:

  • wygląd zewnętrzny
  • grupa krwi
  • status majątkowy
  • pochodzenie
  • poglądy polityczne, przynależność religijna
  • stan zdrowia, nałogi, seksualność
  • orzeczenia dotyczące karania
  • kod genetyczny

Niemal każda informacja z udziałem człowieka może zostać uznana za informację zindywidualizowaną, gdyż zawsze istnieje możliwość określenia tożsamości człowieka. Dlatego informacji nie uznaje się za dane osobowe, gdy możliwość określenia tożsamości osoby byłaby nadmiernie kosztowna lub czasochłonna.

Jak wynika z powyższego, niemal w każdym biznesie korzysta się z danych osobowych. Sklep internetowy, produkt w modelu SaaS – korzystają z danych osobowych klientów. Wysyłając newsletter – korzystamy z danych osobowych w postaci adresów e-mail (a czasem imienia i nazwiska adresata).

2. CZYM JEST ZBIÓR DANYCH OSOBOWYCH?

Zbiór danych osobowych występuje wówczas, gdy zebrane dane osobowe są uporządkowane i dostępne według określonych kryteriów.
Zatem, żeby jakikolwiek zestaw danych mógł zostać zakwalifikowany jako zbiór podlegający rejestracji, musi on wykazywać się uporządkowaną strukturą, w której możliwe jest odnalezienie informacji bez potrzeby przeglądania całego zestawu. Możliwość posłużenia się jakimkolwiek kryterium osobowym (np. imię, nazwisko, data urodzenia, PESEL) bądź nieosobowym (np. data zamieszczenia danych w zbiorze, numer referencyjny) w celu wyszukania informacji o danych osobowych jest decydująca dla uznania zebranych danych za zbiór danych osobowych.

Zbiorem danych osobowych będzie więc np. baza klientów sklepu bądź serwisu internetowego, baza adresatów newslettera, rejestr danych przetwarzanych w związku z prowadzeniem spraw księgowych czy rejestr darczyńców bądź osób, którym została udzielona pomoc w przypadku fundacji i stowarzyszeń.
Jeżeli zbieramy dane, ale nie tworzą one zbioru danych w rozumieniu tej definicji (nie są w żaden sposób uporządkowane), to nie musimy ich zgłaszać i rejestrować w GIODO.

3. KOGO DOTYCZY OBOWIĄZEK REJESTRACJI ZBIORU DANYCH OSOBOWYCH?

Co do zasady zbiór danych osobowych należy zarejestrować w GIODO.
Obowiązek ten dotyczy KAŻDEGO administratora danych osobowych. Administratora danych osobowych czyli podmiotu, który decyduje o zebranych danych osobowych (posiłkując się ustawą – administratorem danych osobowych jest podmiot decydujący o celach i środkach przetwarzania danych osobowych). Nie ma przy tym znaczenia to, czy przedsiębiorca, który korzysta z newslettera, wykonuje wszystkie związane z nim czynności sam, czy zlecił zebranie bazy mailingowej i przesyłanie newslettera podmiotowi zewnętrznemu (czyli tym samym zlecił przetwarzanie danych) – przedsiębiorca ten jest wciąż administratorem danych osobowych i to na nim ciąży obowiązek zgłoszenia zbioru danych osobowych do rejestracji GIODO.

4. ZGŁOSZENIE ZBIORU

Zgłoszenia zbioru danych osobowych do rejestracji GIODO należy dokonać przed rozpoczęciem przetwarzania danych osobowe w zbiorze, czyli jeszcze przed pozyskaniem pierwszych danych do zbioru. Jeżeli zbiór obejmuje wyłącznie tzw. dane zwykłe, możemy rozpocząć ich przetwarzanie już od momentu zgłoszenia (w przypadku zbioru danych zawierającego dane wrażliwe, z rozpoczęciem przetwarzania należy zaczekać do momentu rejestracji zbioru przez GIODO i otrzymania odpowiedniego zaświadczenia).

Zbiór danych zgłaszamy do GIODO na odpowiednim formularzu w formie papierowej lub za pośrednictwem elektronicznej platformy e-GIODO.
Tutaj opublikowaliśmy artykuł z instrukcją, jak wypełnić wniosek.

5. ZWOLNIENIA Z OBOWIĄZKU REJESTRACJI

Przed przystąpieniem do wypełniania odpowiedniego zgłoszenia warto zapoznać się z przewidzianym w art. 43 u.o.d.o. zamkniętym katalogiem wyjątków od obowiązku rejestracji.

Zgłoszeń zbioru danych do rejestracji GIODO nie muszą dokonywać m.in. administratorzy danych:

1) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się (wyjątek ten dotyczy w szczególności aktualnych i byłych pracowników administratora danych osobowych, kandydatów do pracy, osób pracujących na podstawie umowy zlecenia lub umowy o dzieło);

2) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;

3) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;

4) powszechnie dostępnych (np. dane dostępne w książce telefonicznej, Internecie czy prasie);

5) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego (np. zbiory będące rejestrami przepustek jednorazowych, kontakty w telefonie służbowym);

6) przetwarzanych w zbiorach papierowych (jednakże wyjątek ten nie dotyczy danych wrażliwych, tj. ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym);

7) którzy powołali i zgłosili do GIODO administratora bezpieczeństwa informacji.

Powyższe zwolnienia dotyczą jedynie obowiązku zgłoszenia zbioru danych do rejestracji GIODO. Administrator danych obowiązany jest stosować się do wszelkich pozostałych zasad przetwarzania danych osobowych przewidzianych przez u.o.d.o. i przepisy wykonawcze.

Ochrona danych osobowych – jak zgłosić zbiór danych do rejestracji GIODO?

ZGŁOSZENIE – INFORMACJE PRAKTYCZNE

Zgłoszenie zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych powinno zostać dokonane przed rozpoczęciem przetwarzania danych, czyli z reguły przed rozpoczęciem zbierania danych osobowych. Ponadto zgłoszenie nie obejmuje poszczególnych danych przetwarzanych w zbiorze, ani dokumentów potwierdzających zawarte w nim oświadczenia (np. polityki bezpieczeństwa). Zgłoszeniu podlega wyłącznie zbiór danych osobowych.

Zgłaszając zbiór danych osobowych do rejestracji GIODO, administratorzy danych powinni pamiętać o zasadzie, że jedno zgłoszenie obejmuje tylko jeden zbiór danych osobowych. Zgłoszeniu zbioru danych osobowych do rejestracji GIODO podlegają zbiory prowadzone z użyciem systemu informatycznego. Administrator danych ma obowiązek zgłoszenia zbioru prowadzonego w formie papierowej tylko wówczas, gdy przetwarzane są w nim dane wrażliwe.

Zgłoszenia zbioru danych osobowych należy dokonać na formularzu stanowiącym załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, który jest dostępny również w formie elektronicznej za pośrednictwem „Elektronicznej platformy komunikacji z Generalnym Inspektorem Ochrony Danych Osobowych” (e-GIODO).

Papierową wersję zgłoszenia (wymaganą także w przypadku przesłania wniosku za pośrednictwem platformy bez podpisu elektronicznego) można przesłać pocztą bądź złożyć osobiście w Biurze GIODO (ul. Stawki 2, 00-193 Warszawa). Administratorzy danych osobowych, którzy posiadają kwalifikowany podpis elektroniczny bądź elektroniczny podpis potwierdzony profilem zaufanym e-PUAP, mogą dokonać zgłoszenia w formie elektronicznej bez konieczności dostarczenia wersji papierowej do GIODO.

Na administratorze danych, który dokonał zgłoszenia zbioru, ciąży ponadto obowiązek poinformowania GIODO o każdej zmianie informacji w stosunku do tej podanej w zgłoszeniu, w terminie 30 dni od dnia dokonania zmiany (w przypadku, gdy zmiana dotyczy rozszerzenia zakresu przetwarzanych danych o dane wrażliwe, zmianę tę należy zgłosić przed jej dokonaniem).

Zgłoszenie zbioru danych osobowych do rejestracji GIODO oraz zgłoszenie zmian informacji zawartych w zgłoszeniu jest wolne od opłat.
Gdy zbiór obejmuje wyłącznie tzw. dane zwykłe, można rozpocząć ich przetwarzanie już od momentu zgłoszenia. Natomiast, jeżeli zgłoszony zostaje zbiór danych zawierający dane wrażliwe, wówczas z rozpoczęciem przetwarzania należy zaczekać do momentu rejestracji zbioru danych osobowych przez GIODO i otrzymania odpowiedniego zaświadczenia.


FORMULARZ KROK PO KROKU

W kolejnej części artykułu przeanalizujemy krok po kroku formularz zgłoszenia na przykładzie zbioru danych osobowych o nazwie Klienci sklepu XYZ.

Wypełnienie formularza rozpoczynamy od określenia przedmiotu naszego zgłoszenia. Do wyboru mamy trzy możliwości:
(i) zgłoszenie zbioru na podstawie art. 40 ustawy o ochronie danych osobowych (u.o.d.o.) (tzw. zbioru zwykłego),
(ii) zgłoszenie zmian na podstawie art. 41 ust. 2 u.o.d.o. oraz
(iii) zgłoszenie zbioru, w którym będą przetwarzane dane określone w art. 27 ust. 1 u.o.d.o. (tzw. dane wrażliwe).

W naszym wniosku zaznaczamy pierwszy kwadracik, ponieważ chcemy zgłosić nowy zbiór niezawierający danych wrażliwych (tak zresztą będzie w zdecydowanej większości zgłaszanych zbiorów). Co ważne, w tej części wniosku należy zaznaczyć tylko jedno pole, w przeciwnym razie wniosek nie zostanie rozpatrzony.

Część A. Nazwa zbioru danych

Pierwsza część wniosku dotyczy nazwy zgłaszanego zbioru danych osobowych – w naszym przypadku brzmi ona Klienci sklepu XYZ. W tym zakresie nie obowiązują żadne szczegółowe wytyczne, każdy administrator danych może w zasadzie dowolnie określić nazwę zbioru. Ważne jest tylko, aby pamiętać o dwóch zasadach – określenia nazwy w sposób jak najbardziej zwięzły i adekwatny do rodzaju danych przetwarzanych w zbiorze.

Część B. Charakterystyka administratora danych

1. Wnioskodawca (administrator danych)
W tym polu wskazujemy:
 nazwę administratora danych (UWAGA: w przypadku spółek prawa handlowego administratorem spółki nie jest jej prezes, a sama spółka – zatem w tym miejscu wpisujemy pełną nazwę spółki);
 adres siedziby administratora;
 numer REGON.
W przypadku, gdy zgłaszającym jest osoba fizyczna, wpisujemy jej imię i nazwisko oraz adres zamieszkania.

2. Przedstawiciel wnioskodawcy, o którym mowa w art. 31a u.o.d.o.
Administrator danych osobowych, który ma siedzibę albo miejsce zamieszkania w państwie trzecim i jednocześnie przetwarza dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium naszego kraju, jest obowiązany wyznaczyć swojego przedstawiciela w Polsce. Pojęcie państwa trzeciego oznacza państwo nienależące do Europejskiego Obszaru Gospodarczego (EOG tworzą państwa członkowskie Unii Europejskiej oraz Islandia, Lichtenstein i Norwegia).

Jeżeli komentowany przepis ma zastosowanie i administrator danych wyznaczył swojego przedstawiciela w Polsce, w tym punkcie należy podać jego nazwę i adres siedziby lub imię i nazwisko oraz adres zamieszkania. W naszym przypadku to pole pozostawiamy puste.

3. Powierzenie przetwarzania danych osobowych
Zgodnie z art. 31 u.o.d.o. administrator danych może powierzyć innemu podmiotowi przetwarzanie danych w drodze umowy zawartej na piśmie. Jak wyjaśnia sam GIODIO: Instytucja powierzenia przetwarzania danych, o której mowa w art. 31 ustawy, ma bardzo istotne znaczenie praktyczne. Zezwala ona administratorowi danych na skorzystanie z usług wyspecjalizowanych podmiotów zewnętrznych. Oznacza to, że administrator danych osobowych nie musi osobiście wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. Może powierzyć ich przetwarzanie – w całości lub w części (źródło).

Wskazany przepis ma na celu zapobieżenie sytuacji, w której powierzenie przez administratora innemu podmiotowi przetwarzania danych prowadziłoby do osłabienia ich ochrony. W praktyce ma on zastosowanie m.in. w przypadkach, takich jak zlecanie obsługi księgowej zewnętrznym podmiotom czy korzystanie z usług firmy informatycznej. W takich sytuacjach podmioty zewnętrzne mogą uzyskać dostęp do chronionych danych osobowych (co jest niezbędne do wykonania usługi) jedynie na podstawie odpowiedniej umowy.

Jeżeli administrator powierzył przetwarzanie danych innemu podmiotowi, w punkcie tym należy podać nazwę i siedzibę tego podmiotu. Natomiast w przypadku, gdy administrator jeszcze nie powierzył żadnemu podmiotowi przetwarzania danych, ale przewiduje dokonanie tej czynności – należy zaznaczyć drugi kwadracik i – po podpisaniu umowy powierzenia przetwarzania danych osobowych – zgłosić do GIODO zmianę tej informacji. W naszym formularzu niniejsze pole pozostawimy puste.

4. Podstawa prawna upoważniająca do prowadzenia zbioru danych

Dla naszego zbioru danych – bazy klientów sklepu internetowego – jako podstawy prawne upoważniające do prowadzenia zbioru posłużą nam dwie przesłanki.

a) Zgoda osoby, której dane dotyczą, na przetwarzanie danych jej dotyczących

Przesłanka ta nie jest tak oczywista, jak mogłoby się wydawać i wymaga szerszego omówienia. Po pierwsze, zgoda musi być wyraźna, nie może być dorozumiana albo domniemana z innego oświadczenia woli. W tym świetle za niedopuszczalne należy uznać takie praktyki, jak automatyczne zaznaczenie opcji „tak” obok klauzuli zgody (tzw. opcja domyślna), czy umieszczanie zgody w dokumentach pośrednich obowiązujących klienta (np. w regulaminie). Oznacza to, że do wyrażenia zgody na przetwarzanie danych osobowych niezbędne jest aktywne działanie klienta. Natomiast forma wyrażenia zgody może być dowolna, np. mailowa, telefoniczna czy poprzez zaznaczenie odpowiedniego checkboxa.

Po drugie, zgoda musi być dobrowolna. Klient musi mieć możliwość swobodnego, nieskrępowanego podjęcia decyzji w sprawie wyrażenia zgody.
Po trzecie, administrator danych, przed pozyskaniem zgody na przetwarzanie danych osobowych, musi wypełnić ciążący na nim obowiązek informacyjny. Administrator danych jest obowiązany poinformować osobę, od której zbiera dane o: (i) celu i zakresie, w jakim dane mają być przetwarzane, (ii) swoich danych (pełnej nazwie i adresie siedziby bądź w przypadku osób fizycznych – o imieniu i nazwisku oraz miejscu zamieszkania), (iii) prawie dostępu do treści swoich danych oraz ich poprawiania, (iv) dobrowolności albo obowiązku podania danych.
Każdy właściciel sklepu internetowego (administrator danych) powinien przygotować odpowiednią klauzulę zgody adekwatną do powyższych wytycznych, aby nie narazić się na zarzut nielegalnego pozyskania i przetwarzania danych osobowych.

b) Przetwarzanie jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą

W przypadku zbioru danych będącego bazą klientów, przesłanka ta ma podstawowe znaczenie. Zezwala ona na przetwarzanie danych osobowych klienta przez właściciela sklepu internetowego w taki sposób i w takim zakresie, w jakim jest to niezbędne do wywiązania się z umowy sprzedaży, która została zawarta z klientem. Ponadto swoim zakresem obejmuje także przetwarzanie danych osobowych w trakcie różnorakich procedur prowadzących do zawarcia umowy, jak np. procedury przetargowej czy konkursowej. Opierając swoją legitymację do przetwarzania danych osobowych klienta na tej przesłance trzeba jednak pamiętać, że umożliwia ona przetwarzanie danych tylko przez okres konieczny do wykonania bądź zawarcia umowy.
Tak więc, zaznaczamy pierwsze oraz trzecie pole wyboru w naszym formularzu i przechodzimy do części C.

Część C. Cel przetwarzania danych, opis kategorii osób, których dane dotyczą oraz zakres przetwarzanych danych

5. Cel przetwarzania danych w zbiorze
Określenie celu przetwarzania danych w zbiorze jest bardzo ważną częścią niniejszego zgłoszenia, gdyż to właśnie na tej podstawie w trakcie jego weryfikacji będzie badana przesłanka adekwatności. Oznacza ona, że administrator danych może zbierać tylko tyle danych osobowych, ile jest konieczne dla osiągnięcia celu, w jakim dane będą przetwarzane. Dlatego też warto określić ten cel dokładnie, tak aby nie powstały żadne wątpliwości, czy jest on proporcjonalny do zakresu zbieranych danych.
W naszym formularzu pole to wypełnimy w następujący sposób: Zarządzanie relacjami z klientami i potencjalnymi klientami oraz wykonywanie umów.

6. Opis kategorii osób, których dane dotyczą
W polu tym należy wpisać krótkie, zbiorcze określenie osób, których dane osobowe mają być przetwarzane, np. klienci, adresaci newslettera, subskrybenci. W żadnym wypadku nie chodzi o wskazanie konkretnych danych, np. imion i nazwisk poszczególnych osób.
W naszym formularzu pole to wypełnimy w następujący sposób: Klienci sklepu internetowego XYZ.

7. Zakres przetwarzania w zbiorze danych o osobach
Punkty 7 i 8 dotyczą zakresu przetwarzanych danych osobowych zwykłych. Natomiast w punktach 9 i 10 można wskazać zakres oraz podstawy prawne przetwarzania danych osobowych wrażliwych – w naszym omówieniu zgłoszenia pominiemy te dwa punkty, gdyż nie mają one zastosowania do zgłaszanego przez nas zbioru danych.

Punkt numer 7 wymienia wszystkie najczęściej występujące dane osobowe, spośród których należy wybrać i zaznaczyć krzyżykiem te, które będą przetwarzane. W naszym przypadku – zbioru zawierającego dane klientów sklepu internetowego – w zupełności wystarczy, jeśli zaznaczymy następujące pola: nazwiska i imiona, adres zamieszkania lub pobytu, Numer Identyfikacji Podatkowej, numer telefonu.
Wypełniając tę część formularza należy przez cały czas mieć na uwadze, aby zakreślone dane były adekwatne do celu ich przetwarzania, wskazanego w punkcie 5.

8. Inne dane osobowe, oprócz wymienionych w pkt 7, przetwarzane w zbiorze
W polu tym należy wymienić zakres danych, które będą przetwarzane i które nie zostały zawarte we wcześniejszym wyliczeniu. W naszym formularzu wpisujemy: adres e-mail.

9. Dane przetwarzane w zbiorze
Tę część zostawiamy pustą.

10. Podstawa prawna przetwarzania danych wskazanych w pkt 9

Tę część zostawiamy pustą.

Część D. Sposób zbierania oraz udostępniania danych

11. Sposób zbierania danych do zbioru
W punkcie tym przekazujemy GIODO informację o źródle pozyskiwania danych osobowych do zbioru. Mamy do wyboru dwie możliwości, spośród których trzeba zaznaczyć przynajmniej jedną (w przypadku, jeżeli dane będą pozyskiwane zarówno od osób, których dotyczą, jak i z innych źródeł, wówczas należy zaznaczyć obydwa wymienione w tym punkcie pola wyboru).

Pojęcie „innych źródeł” co do zasady związane jest z odpłatnym pozyskiwaniem baz danych osobowych od innych przedsiębiorców. W naszym przypadku zakładamy, że będziemy zbierać dane bezpośrednio od osób, których one dotyczą (na podstawie wyrażonej zgody i w związku z wykonywaniem umowy) i zaznaczamy pierwszy kwadracik.

12. Sposób udostępniania danych ze zbioru

Udostępnienie danych to realizowana przez administratora danych operacja przetwarzania danych osobowych, w wyniku której dane zostają przekazane innemu podmiotowi. Podmiot ten staje się ich administratorem i, co za tym idzie, uzyskuje możliwość decydowania o celach i środkach ich przetwarzania. Oznacza to, że – w przeciwieństwie do powierzenia przetwarzania danych – wskutek udostępnienia administrator danych traci kontrolę nad tym, co będzie się z nimi działo. W praktyce w obrocie gospodarczym udostępnienie danych występuje najczęściej w przypadku handlu bazami danych.

Zgodnie z u.o.d.o. odbiorcą danych jest każdy, komu udostępnia się dane osobowe, z wyłączeniem: (i) osoby, której dane dotyczą, (ii) osoby upoważnionej do przetwarzania danych, (iii) przedstawiciela, o którym była mowa w punkcie 2 zgłoszenia, (iv) podmiotu, o którym była mowa w punkcie 3 zgłoszenia, (v) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.

Zatem, jeśli – jako administratorzy danych – planujemy udostępniać wchodzące w skład zbioru dane podmiotom innym niż wyżej wymienione, w punkcie tym należy zaznaczyć kwadracik i w punkcie 13 wskazać te podmioty (ich nazwę i adres siedziby lub imię i nazwisko oraz adres zamieszkania). Ponieważ w naszym formularzu zakładamy, że dane ze zbioru nie będą udostępniane, pole wyboru pozostawiamy puste i przechodzimy do punktu 14.

13. Odbiorcy lub kategorie odbiorców, którym dane mogą być przekazywane
Tę część zostawiamy pustą.

14. Informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego
Jak już zostało wyjaśnione w punkcie 2, państwami trzecimi są państwa nienależące do Europejskiego Obszaru Gospodarczego (w którego skład wchodzi Unia Europejska oraz Islandia, Lichtenstein i Norwegia). Wskutek ustawodawstwa unijnego na terenie państw należących do EOG został zapewniony swobodny przepływ danych osobowych oraz ujednolicony poziom ich ochrony, co w efekcie pozwala na przekazywanie danych pomiędzy tymi państwami bez konieczności informowania o tym fakcie GIODO. W celu utrzymania tego poziomu, w przypadku przekazywania danych do państwa trzeciego, administrator danych musi pamiętać o konieczności spełnienia dodatkowych wymagań przewidzianych w rozdziale 7 u.o.d.o.
W naszym formularzu tę część zostawiamy pustą.

Część E. Opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36 – 39 u.o.d.o.

15. Sposób prowadzenia zbioru danych osobowych
a) centralnie bądź w architekturze rozproszonej
Pomimo, że użyta w tym podpunkcie terminologia wygląda na skomplikowaną, wyjaśnienie jej nie jest trudne. Centralne prowadzenie zbioru danych oznacza – najprościej rzecz ujmując – zlokalizowanie danych należących do tego zbioru w jednym miejscu (w jednym pomieszczeniu, budynku, na jednym serwerze, nośniku).

Natomiast prowadzenie zbioru w architekturze rozproszonej oznacza, że dane są przetwarzane w sposób zdecentralizowany (w różnych miejscach, na różnych nośnikach), czego najlepszym przykładem jest przetwarzanie danych za pomocą systemu informatycznego, do którego możliwy jest dostęp z kilku stanowisk komputerowych czy na dwóch serwerach zlokalizowanych w odrębnych budynkach.
W punkcie tym wybieramy drugi kwadracik (w tym miejscu należy zaznaczyć tylko jeden z nich).

b) wyłącznie w postaci papierowej bądź z użyciem systemu informatycznego
Podpunkt ten chyba nie wymaga dokładniejszych wyjaśnień – zakładając, że nasz sklep korzysta z komputerów i innych urządzeń oraz programów służących do przetwarzania danych osobowych, zaznaczamy drugie pole wyboru (w tym punkcie również należy wybrać tylko jedno pole).

c) z użyciem co najmniej jednego urządzenia systemu informatycznego służącego do przetwarzania danych osobowych połączonego z siecią publiczną (np. Internet) bądź bez użycia takiego urządzenia
W dobie dynamicznego rozwoju technologicznego zapewne wielu osobom ciężko jest wyobrazić sobie komputer bądź inne urządzenie (router, modem) bez dostępu do Internetu, dlatego też w odniesieniu do zbiorów prowadzonych w systemie informatycznym w zdecydowanej większości przypadków będą Państwo w tym podpunkcie zaznaczać drugie pole wyboru. Tak też robimy i w naszym zgłoszeniu.

16. Informacja dotycząca spełnienia wymogów określonych w art. 36 – 39 u.o.d.o.
Podpunkty od 16a do 16e wskazują wymogi, które każdy administrator danych obowiązany jest spełnić przed rozpoczęciem przetwarzania danych w zbiorze.

a) informacja o tym, czy został wyznaczony administrator bezpieczeństwa informacji (ABI)
Do zadań ABI (może być nim, np. pracownik spółki lub zewnętrzna firma świadcząca tego typu usługi) należy, najogólniej mówiąc, zapewnianie przestrzegania przepisów o ochronie danych osobowych. Zgodnie z obecnymi przepisami administrator danych może powołać ABI, ale nie musi. Jeśli administrator danych nie zdecyduje się na powołanie ABI (co w odpowiedni sposób trzeba zgłosić do GIODO), wówczas musi samodzielnie wykonywać należące do niego czynności związane z zapewnieniem odpowiedniego poziomu przetwarzania danych, m.in. sprawdzanie zgodności przetwarzania danych osobowych z przepisami, opracowanie i aktualizowanie odpowiedniej dokumentacji, zapoznawanie osób upoważnionych do przetwarzania danych z przepisami o ochronie danych osobowych, prowadzenie rejestru zbiorów.
W naszym formularzu zaznaczamy drugie pole wyboru – administrator danych sam wykonuje czynności administratora bezpieczeństwa informacji.

b) do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych

c) prowadzona jest ewidencja osób upoważnionych do przetwarzania danych
Powyższe dwa punkty są ze sobą powiązane – do przetwarzania danych mogą zostać dopuszczone wyłącznie osoby, które otrzymały wcześniej indywidualne upoważnienie, a administrator danych ma obowiązek prowadzenia ewidencji takich upoważnień.
Oczywiście obydwa punkty należy zaznaczyć.

d) została opracowana i wdrożona polityka bezpieczeństwa

e) została opracowana i wdrożona instrukcja zarządzania systemem informatycznym
Zarówno polityka bezpieczeństwa, jaki i instrukcja zarządzania systemem informatycznym to wskazane przez ustawodawcę minimum dokumentacji dotyczącej przetwarzania danych osobowych, którą każdy administrator danych musi wdrożyć (oczywiście instrukcja zarządzania systemem informatycznym nie ma zastosowania do zbiorów prowadzonych wyłącznie w formie papierowej). Z uwagi na obszerną materię dokładnego omówienia tych dokumentów dokonamy w osobnych artykułach.
W tym miejscu należy podkreślić, że do zgłoszenia zbioru danych do rejestracji GIODO wystarczy zaznaczenie podpunktów d) i e) w formularzu – dokumentów tych nie należy załączać do zgłoszenia.

f) inne środki zastosowane w celu zabezpieczenia danych
Jeżeli zapewniamy jakiekolwiek inne środki ochrony danych osobowych, w tym miejscu należy je wskazać. Dla przykładu mogą to być:
 środki ochrony fizycznej, takie jak monitoring, służba ochrony zabezpieczająca dostęp do budynku;
 środki sprzętowe, informatyczne i telekomunikacyjne, takie jak określenie zasad szyfrowania w procesie przetwarzania danych, stosowanie identyfikatorów oraz haseł;
 środki organizacyjne, takie jak szkolenia z zakresu przepisów i procedur dotyczących danych osobowych.

Część F. Informacja o sposobie wypełniania warunków technicznych i organizacyjnych, o których mowa w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024)

17. Wskazanie poziomu, na jakim zostały zastosowane środki bezpieczeństwa
UWAGA – ta część zgłoszenia dotyczy wyłącznie zbiorów prowadzonych w systemach informatycznych.

Zgodnie z § 6 ww. rozporządzenia:
a) poziom co najmniej podstawowy stosuje się, gdy: (i) w systemie informatycznym nie są przetwarzane dane wrażliwe oraz (ii) żadne z urządzeń systemu informatycznego nie jest połączone z siecią publiczną;
b) poziom co najmniej podwyższony stosuje się, gdy: (i) w systemie informatycznym przetwarzane są dane wrażliwe oraz (ii) żadne z urządzeń systemu informatycznego nie jest połączone z siecią publiczną;
c) poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego połączone jest z siecią publiczną bez względu na rodzaj przetwarzanych danych.

Ponieważ w punkcie 15c naszego zgłoszenia zaznaczyliśmy pierwsze pole wyboru, jesteśmy zobowiązani do przetwarzania danych osobowych na poziomie wysokim i do tego też poziomu musimy dostosować wszystkie środki bezpieczeństwa.

Tak wypełniony formularz należy jeszcze tylko podpisać zgodnie z zasadami reprezentacji i zgłoszenie zbioru danych jest gotowe do doręczenia GIODO.


Trzeba jednak podkreślić, że zgłoszenie zbioru danych do rejestracji GIODO to tylko jeden z obowiązków administratora danych i nie przesądza ono o przetwarzaniu danych osobowych zgodnie z prawem. Przede wszystkim każdy administrator danych powinien pamiętać o dopełnieniu wszelkich obowiązków formalnych i zastosowaniu odpowiednich środków organizacyjnych i technicznych w celu zapewnienia należytej ochrony danych osobowych.

Opisany w niniejszym artykule formularz zgłoszenia zbioru danych do rejestracji GIODO będzie aktualny w takim kształcie do dnia 24 maja 2018 roku. Po tym dniu zacznie obowiązywać Ogólne Rozporządzenie o Ochronie Danych Osobowych, którego regulacje będą miały zastosowanie do wszystkich administratorów danych. O wszelkich zmianach wynikających z Rozporządzenia poinformujemy w osobnym artykule.

Aby ułatwić Państwu proces założenia spółki z ograniczoną odpowiedzialnością w tradycyjny sposób, przygotowaliśmy przewodnik do pobrania (poniżej), w którym wyszczególnione zostały wszystkie potrzebne do tego celu dokumenty. Cała procedura nie jest trudna. Zapraszamy do lektury oraz do kontaktu w razie pytań.

Wkrótce na stronie poruszymy także zagadnienie tworzenia umowy spółki z ograniczoną odpowiedzialnością oraz wyjaśnimy, jak we właściwy sposób wypełnić wniosek do Krajowego Rejestru Sądowego. Zachęcamy do śledzenia wpisów!

 Przewodnik dotyczący założenia spółki z ograniczoną odpowiedzialnością do pobrania -> pobierz»

Wykorzystanie zdjęć budynków – zdjęcia elewacji i zdjęcia wnętrz

Często otrzymujemy pytania od fotografów, wydawców książek czy producentów filmowych dotyczące możliwości komercyjnego wykorzystania zdjęć lub ujęć filmowych budynków – zarówno ich elewacji, jak i wnętrz. Poniżej postaram się w jasny sposób opisać istotne aspekty tego tematu.

Zacznijmy od tego, że większość budynków to utwory w rozumieniu ustawy o prawie autorskim i prawach pokrewnych. Rozpowszechnianie utworów (a więc odtwarzanie dowolną techniką i publiczne udostępnianie) bez zgody autora, co do zasady, stanowi naruszenie praw autorskich. Oznaczałoby to, że wykonanie fotografii budynku i wykorzystanie jej zarówno w celach zarobkowych (np. sporządzenie kartek pocztowych, umieszczenie fotografii w przewodniku czy albumie), jak i udostępnienie na portalu społecznościowym przez osobę prywatną, wymagałoby dotarcia do informacji, kto jest podmiotem autorskich praw majątkowych sfotografowanego obiektu oraz uzyskania jego zgody na rozpowszechnienie zdjęcia.

WOLNOŚĆ PANORAMY – USTAWOWY WYJĄTEK W PRAWIE AUTORSKIM

Ustawodawca (zdając sobie sprawę z utrudnień, do jakich prowadziłoby konsekwentne stosowanie powyższej reguły) przewidział w ramach tzw. dozwolonego użytku publicznego ustawowy wyjątek, powszechnie określany „wolnością panoramy”. Zgodnie z art. 33 pkt 1 ustawy o prawie autorskim i prawach pokrewnych wolno rozpowszechniać utwory wystawione na stałe na ogólnie dostępnych drogach, ulicach, placach lub w ogrodach, jednakże nie do tego samego użytku. Przepis ten, mając na celu umożliwienie swobodnego korzystania z krajobrazu, zezwala na rozpowszechnianie wszystkich utworów, które są wystawione na stałe we wskazanych miejscach publicznych, dostępnych dla każdego. W praktyce dotyczy to głównie utworów architektonicznych (budynki, budowle), plastycznych (rzeźby, grafiki, murale, witraże) i fotografii, a także niekiedy stałych kompozycji oświetleniowych.

W odniesieniu do obiektów budowlanych omawiane uregulowanie wprowadza możliwość wykonywania oraz publicznego udostępniania zdjęć elewacji budynków bez konieczności uzyskania zgody osoby uprawnionej z tytułu autorskich praw majątkowych.
Wskazany przepis nie wprowadza ograniczeń dotyczących rodzajów fotografowanych budowli, a więc mogą to być zarówno obiekty zabytkowe czy sakralne, jak i ogrodzone domy jednorodzinne, jeśli tylko znajdują się w miejscu ogólnie dostępnym. Co ważne, zgodnie z art. 33 pkt 1 ustawy o prawie autorskim i prawach pokrewnych rozpowszechnianie może służyć wszelkim celom, w tym także zarobkowym.

Omawiany przepis, choć ma bardzo szerokie zastosowanie, zawiera jedno istotne zastrzeżenie, o którym nie można zapominać – wolno rozpowszechniać utwory (…), jednakże nie do tego samego użytku. Najprościej rzecz ujmując, sformułowanie to oznacza, że nie jest dozwolone wykorzystanie zdjęcia konkretnego utworu – obiektu budowlanego – jako wzoru służącego do odtworzenia tego obiektu w innym miejscu (wówczas mamy do czynienia z takim samym użytkiem). W praktyce oznacza to, że nie można na podstawie istniejącego budynku zrobić odwzorowującego go projektu architektonicznego i wybudować na jego podstawie nowego obiektu.
Należy pamiętać, że w ustawodawstwie poszczególnych państw (także tych należących do Unii Europejskiej) nie tylko istnieją znaczne różnice w uregulowaniu zakresu wolności panoramy, ale także są państwa, w których prawo autorskie takiego wyjątku nie przewiduje w ogóle. Jako przykład można wskazać Francję, Belgię, Włochy czy Grecję, w których nie jest dozwolone publikowanie zdjęć utworów wystawionych na widok publiczny bez uzyskania zgody osób uprawnionych z tytułu autorskich praw majątkowych.

ZDJĘCIA WNĘTRZ BUDYNKÓW

Zagadnienie dotyczące fotografowania wnętrz budynków musi zostać omówione osobno, gdyż w tym zakresie przepisy o wolności panoramy nie mają zastosowania. W literaturze podkreśla się, że art. 33 pkt 1 ustawy o prawie autorskim i prawach pokrewnych stosuje się wyłącznie do utworów wystawionych na wolnej przestrzeni, a więc nie są objęte tym przepisem przypadki udostępniania utworów w halach dworcowych, na poczcie, w banku, instytucji ubezpieczeniowej czy w sali restauracyjnej. Rozpowszechnianie zdjęć utworów wystawionych w (podanych tytułem przykładu) ogólnie dostępnych miejscach może wymagać, niezależnie od zezwolenia podmiotu praw autorskich, zezwolenia właściciela. Zgodnie bowiem z przepisami kodeksu cywilnego, właściciel może korzystać z rzeczy z wyłączeniem innych osób, co daje podstawę do wymagania uprzedniej zgody na fotografowanie i rozpowszechnianie reprodukcji.

PODSUMOWANIE

Wprowadzając ustawowy wyjątek w zakresie wolności panoramy, ustawodawca wyszedł z założenia, iż fakt, że w przestrzeni publicznej mogą znajdować się obiekty podlegające ochronie prawnoautorskiej, nie może prowadzić do braku możliwości jej fotografowania. Tak więc, rozpowszechnianie zdjęć elewacji budynków wystawionych na widok publiczny jest dozwolone – zarówno w celach zarobkowych, jak i prywatnych – bez konieczności uzyskania zgody podmiotu praw autorskich. Natomiast w przypadku wnętrz budynków, wyjątek ten nie obowiązuje. Co więcej, uprawnienia wynikające z prawa własności umożliwiają właścicielowi takiego budynku żądanie zapłaty odpowiedniego wynagrodzenia bądź wprowadzenie całkowitego zakazu wykonywania i rozpowszechniania zdjęć jego wnętrza.

Ewidencja czasu pracy i minimalna stawka godzinowa w umowach zlecenia

Poprzez nowelizację ustawy o minimalnym wynagrodzeniu za pracę z dnia 10 października 2002 r. (Dz. U. Nr 200, poz. 1679 ze zm.) wprowadzone zostały zmiany w zakresie ewidencji czasu pracy. Zmiany obowiązują od 1 stycznia 2017 r. i dotyczą wykonywania pracy na podstawie umów zlecenia oraz umów o świadczenie usług (w praktyce umów zawieranych z osobami prowadzącymi jednoosobową działalność gospodarczą, czyli tzw. samozatrudnionymi), jak również wysokości minimalnej stawki godzinowej za pracę.

Znowelizowana ustawa wprowadza:
• minimalną stawkę godzinową za każdą godzinę wykonywania pracy na podstawie umowy zlecenia oraz umowy o świadczenie usług;
• obowiązek dokumentowania czasu pracy osób wykonujących pracę na podstawie umowy zlecenia oraz umowy o świadczenie usług;
• kary za nieprzestrzeganie tych wymogów.

1) Minimalna stawka godzinowa dla umów zlecenia i umów o świadczenie usług

Zgodnie z nowym art. 8a ust. 1 ustawy o minimalnym wynagrodzeniu za pracę, w przypadku umów, o których mowa w art. 734 (umowy zlecenia) i art. 750 (umowy o świadczenie usług) Kodeksu cywilnego, wykonywanych przez przyjmującego zlecenie lub świadczącego usługi, wysokość wynagrodzenia powinna być ustalona w umowie w taki sposób, aby za każdą godzinę wykonania zlecenia lub świadczenia usług jej wysokość nie była niższa niż wysokość minimalnej stawki godzinowej, ustalonej zgodnie z art. 2 ust. 3a, 3b i 5 – czyli stawki obowiązującej w przypadku umów o pracę.

Zgodnie zaś z art. 8a ust. 1 ustawy, w przypadku gdy wysokość wynagrodzenia ustalonego w umowie, nie zapewnia przyjmującemu zlecenie lub świadczącemu usługi otrzymania za każdą godzinę pracy wynagrodzenia w wysokości co najmniej minimalnej stawki godzinowej, wówczas przysługuje mu wynagrodzenie w wysokości obliczonej z uwzględnieniem takiej stawki.

Obecnie stawka minimalna wynosi 13 zł za godzinę i jest to minimalna stawka zarówno dla pracowników zatrudnionych na podstawie umowy o pracę, jak i dla osób wykonujących pracę na podstawie umowy zlecenia czy umowy o świadczenie usług. W przypadku gdy przedsiębiorca zatrudnia pracowników na podstawie umów zlecenia i umów o świadczenie usług, ich minimalne godzinowe wynagrodzenie nie może być niższe niż 13 zł . Ponadto pracownik nie może zrzec się prawa do minimalnej stawki, ani przenieść go na inną osobę.

2) Obowiązek dokumentowania czasu pracy osób wykonujących pracę na podstawie umowy zlecenia oraz umowy o świadczenie usług

Zgodnie z art. 8b ust. ustawy, w przypadku umów zlecenia i umów o świadczenie usług, strony określają w umowie sposób potwierdzania liczby godzin wykonania zlecenia lub świadczenia usług. W przypadku gdy strony nie określą sposobu ich potwierdzania, przyjmujący zlecenie lub świadczący usługi przekazuje pracodawcy w formie pisemnej, elektronicznej lub dokumentowej informację o liczbie faktycznie przepracowanych godzin, w terminie poprzedzającym termin wypłaty wynagrodzenia. Jeżeli umowa nie została zawarta z zachowaniem formy pisemnej, elektronicznej lub dokumentowej, przedsiębiorca albo inna jednostka organizacyjna przed rozpoczęciem wykonania zlecenia lub świadczenia usług, potwierdza przyjmującemu zlecenie lub świadczącemu usługi w formie pisemnej, elektronicznej lub dokumentowej ustalenia, co do sposobu potwierdzania liczby godzin wykonania zlecenia lub świadczenia usług.

W praktyce oznacza to, że pracodawca będzie zobowiązany do ustalenia sposobu potwierdzania liczby przepracowanych godzin osób wykonujących pracę na podstawie umowy zlecenia i umowy o świadczenie usług, czyli ewidencji ich czasu pracy. Taki zapis może znaleźć się w umowie, a w przypadku jego braku, zleceniobiorca musi dostarczać zleceniodawcy udokumentowaną informację o swoim czasie pracy w formie pisemnej, elektronicznej lub dokumentowej. Pracodawca ma obowiązek przechowywania tej ewidencji przez okres 3 lat.

3) Kary

Zgodnie z art. 8e ustawy, przedsiębiorca (lub osoba działająca w jego imieniu albo w imieniu innej jednostki organizacyjnej), który wypłaca przyjmującemu zlecenie lub świadczącemu usługi wynagrodzenie za każdą godzinę pracy w wysokości niższej niż obowiązująca wysokość minimalnej stawki godzinowej, podlega karze grzywny od 1 000 zł do 30 000 zł.

Ustawodawca przewidział jednak pewne wyjątki. Nowe regulacje nie będą miały zastosowania do umów, w których ustalono wynagrodzenie wyłącznie prowizyjnie, a o miejscu i czasie ich wykonywania decyduje samodzielnie zleceniobiorca lub osoba świadczącą usługi (oba warunki muszą być spełnione łącznie). Zmiany nie obejmą również osób samozatrudnionych, jeżeli ich działalność została zarejestrowana w innym niż Polska kraju Unii Europejskiej.

Podsumowanie

Jeżeli w firmie znajdują się osoby wykonujące pracę na podstawie umów zlecenia i tzw. samozatrudnieni wykonujący pracę na podstawie umów o świadczenie usług, to wynagrodzenie tych osób nie może być niższe niż 13 zł za godzinę. Ponadto w umowach z tymi osobami powinny być zawarte ustalenia dotyczące sposobu ewidencjonowania liczby godzin ich pracy. Takie ewidencjonowanie może się obywać w taki sam sposób, w jaki prowadzona jest ewidencja czasu pracy pracowników zatrudnionych na umowę o pracę, może być m.in. prowadzona w sposób elektroniczny – np. w formie elektronicznej rejestracji wejść/wyjść.

Przekształcenie jednoosobowej działalności gospodarczej w spółkę komandytową

OPC_infografika 2_p2

Infografika obrazująca proces przekształcenia do pobrania -> pobierz»

Przekształcanie jednoosobowej działalności gospodarczej w spółkę komandytową, jak się nam wydaje, jest najczęściej przeprowadzanym rodzajem przekształcenia. Przy tym, bezpośrednia zmiana formy prowadzonej działalności z jednoosobowej działalności gospodarczej (rejestrowanej w CEIDG) w spółkę komandytową nie jest jeszcze możliwa („jeszcze” bo wiemy, że planowane są zmiany w tym zakresie). Procedura ta dokonywana jest zatem pośrednio, w dwóch etapach. W pierwszej kolejności dokonuje się przekształcenia jednoosobowej działalności gospodarczej w spółkę z ograniczoną odpowiedzialnością, a dopiero po zakończeniu tych czynności, powstały podmiot (spółkę z ograniczoną odpowiedzialnością) przekształca się w spółkę komandytową.

Poniżej opiszemy przebieg tych dwóch przekształceń.

I. Przekształcenie jednoosobowej działalności w spółkę z ograniczoną odpowiedzialnością

1. Rozpoczęcie przekształcenia – wybór i wyznaczenie biegłego rewidenta
W obu przekształceniach konieczne jest skorzystanie z usług biegłego rewidenta. Najlepiej jest więc zacząć cały proces od wyboru biegłego i ustalenia z nim warunków finansowych. Następnie, po wyborze biegłego rewidenta, należy złożyć wniosek do Krajowego Rejestru Sądowego z prośbą o wyznaczenie wskazanego przez nas biegłego do zbadania planu przekształcenia jednoosobowej działalności w spółkę z ograniczoną odpowiedzialnością.

2. Sprawozdania finansowe na potrzeby przekształcenia
Do przekształcenia niezbędne jest przygotowanie dokumentów finansowych, tj. sprawozdania finansowego na potrzeby przekształcenia. Najwygodniej, aby takie sprawozdanie zostało przygotowane przez księgowość w porozumieniu z biegłym rewidentem. Wówczas będziemy mieć pewność, że biegły nie będzie na dalszym etapie (badania planu przekształcenia) miał uwag, co do założeń finansowych przeprowadzanego przekształcenia.

3 i 4. Plan przekształcenia i jego badanie przez biegłego rewidenta
Kluczowym dokumentem w przekształceniu jednoosobowej działalności w spółkę z ograniczoną odpowiedzialnością jest plan przekształcenia. Plan przekształcenia musi mieć formę aktu notarialnego, a także musi zawierać informację w jaką spółkę przekształca się przedsiębiorca i jak będzie brzmiała nazwa tej spółki. Ponadto, w planie należy wskazać wartość bilansową majątku jednoosobowej działalności (do tego właśnie służy sprawozdanie finansowe opisane w punkcie 2).

Załącznikami do planu przekształcenia są:
– projekt oświadczenia o przekształceniu przedsiębiorcy (oświadczenie, o który mowa w punkcie 5);
– projekt aktu założycielskiego spółki z ograniczoną odpowiedzialnością, która powstanie w wyniku przekształcenia;
– wycenę składników majątku przedsiębiorcy przekształcanego;
– sprawozdanie finansowe sporządzone dla celów przekształcenia.

Po podpisaniu przez przedsiębiorcę planu przekształcenia u notariusza, plan podlega badaniu przez biegłego rewidenta. To biegły rewident składa plan przekształcenia wraz ze swoją opinią do Krajowego Rejestru Sądowego.

5 i 6. Oświadczenie o przekształceniu, akt założycielski spółki z ograniczoną odpowiedzialnością i wniosek do Krajowego Rejestru Sądowego
Jeżeli biegły rewident przygotuje pozytywną opinię z badanego planu przekształcenia, można przystępować do następnego kroku – złożenia oświadczenia o przekształceniu i zakładania spółki z ograniczoną odpowiedzialnością.

Oświadczenie o przekształceniu powinno być podjęte zgodnie z treścią, która stanowiła załącznik do planu przekształcenia. Oświadczenie wymaga formy aktu notarialnego. Następnie, po złożeniu takiego oświadczenia, przedsiębiorca podpisuje (również w formie aktu notarialnego) akt założycielski spółki z ograniczoną odpowiedzialnością.

Po podpisaniu tych dokumentów należy złożyć wniosek do Krajowego Rejestru Sądowego o rejestrację przekształcenia. Wyżej wymieniony wniosek jest w istocie wnioskiem o rejestrację spółki z ograniczoną odpowiedzialnością, która ma powstać w wyniku przekształcenia. Przekształcenie staje się skuteczne z chwilą zarejestrowania przez Krajowy Rejestr Sądowy spółki z ograniczoną odpowiedzialnością i z tą chwilą przestaje istnieć jednoosobowa działalność gospodarcza. Spółka otrzymuje nowy numer NIP i REGON (to znaczy, że nie otrzymuje tych samych numerów, które miała jednoosobowa działalność).

Po wpisie spółki z ograniczoną odpowiedzialnością do Krajowego Rejestru Sądowego

Jeżeli w docelowej spółce komandytowej komplementariuszem (wspólnikiem reprezentującym spółkę i odpowiadającym całym swoim majątkiem za jej zobowiązania) ma być spółka z ograniczoną odpowiedzialnością, to jest to dobry moment na jej założenie. Taka spółka (przyszły komplementariusz) powinna, przed rozpoczęciem drugiego z przekształceń, nabyć udziały w spółce z ograniczoną odpowiedzialnością, która ma być przekształcana w spółkę komandytową. Dzięki temu wspólnicy spółki z ograniczoną odpowiedzialnością, która będzie przekształcana w spółkę komandytową, staną się w przyszłości automatycznie wspólnikami spółki komandytowej.

II. Przekształcenie spółki z ograniczoną odpowiedzialnością w spółkę komandytową

7 i 8. Wniosek o wyznaczenie biegłego rewidenta, sprawozdanie finansowe

    Początkowa faza przekształcenia spółki z ograniczoną odpowiedzialnością w spółkę komandytową przebiega podobnie, jak przy pierwszym przekształceniu. Należy złożyć do Krajowego Rejestru Sądowego wniosek o wyznaczenie biegłego rewidenta, z którym współpracujemy, a księgowość spółki powinna razem z biegłym przygotować sprawozdanie finansowe na potrzeby przekształcenia.

9 i 10. Plan przekształcenia spółki z ograniczoną odpowiedzialnością w spółkę komandytową i jego badanie przez biegłego rewidenta
Zarząd przekształcanej spółki z ograniczoną odpowiedzialnością powinien przyjąć (podpisać) plan przekształcenia tej spółki w spółkę komandytową. Plan przekształcenia zawierany jest w formie pisemnej (chyba że przekształcana spółka jest spółką jednoosobową, wówczas, plan musi mieć formę aktu notarialnego).

Koniecznymi elementami planu przekształcenia są:
– wskazanie wartości bilansowej majątku przekształcanej spółki (to wynika ze sprawozdania finansowego, o którym mowa powyżej);
– określenie wartości udziałów poszczególnych wspólników przekształcanej spółki z ograniczoną odpowiedzialnością.

Do planu należy dołączyć:
– projekt uchwały o przekształceniu;
– projekt umowy spółki komandytowej, która ma powstać w wyniku przekształcenia;
– wycenę składników majątku przekształcanej spółki z ograniczoną odpowiedzialnością;
– sprawozdanie finansowe sporządzone dla celów przekształcenia.

Po podpisaniu przez zarząd spółki z ograniczoną odpowiedzialnością planu przekształcenia, podlega on badaniu przez biegłego rewidenta. Biegły składa do Krajowego Rejestru Sądowego zbadany plan przekształcenia wraz ze swoją opinią.

11 i 12. Uchwała o przekształceniu, umowa spółki komandytowej i wniosek do Krajowego Rejestru Sądowego
Jeżeli opinia biegłego z badania planu przekształcenia jest pozytywna, można przejść do następnej fazy – podjęcia właściwej uchwały o przekształceniu. Przed podjęciem uchwały o przekształceniu zarząd spółki powinien dwukrotnie zawiadomić jej wspólników, informując ich o planowanej dacie podjęcia uchwały o przekształceniu oraz o istotnych elementach planu przekształcenia.

Uchwała o przekształceniu jest to uchwała podjęta przez wspólników przekształcanej spółki z ograniczoną odpowiedzialnością na nadzwyczajnym zgromadzeniu wspólników. Treść uchwały powinna być zgodna z projektem uchwały stanowiącej załącznik do planu przekształcenia. Protokół z takiego zgromadzania powinien być sporządzony w formie aktu notarialnego.

Po podjęciu uchwały przyszli wspólnicy spółki komandytowej powinni złożyć oświadczenia o uczestnictwie w spółce komandytowej i zawrzeć umowę spółki komandytowej (wymaga formy aktu notarialnego).

Po podpisaniu tych dokumentów należy złożyć wniosek do Krajowego Rejestru Sądowego o rejestrację przekształcenia, który jednocześnie jest wnioskiem o rejestrację spółki komandytowej, która ma powstać w wyniku przekształcenia. Przekształcenie staje się skuteczne z chwilą zarejestrowania przez Krajowy Rejestr Sądowy spółki komandytowej i z tą chwilą przestaje istnieć przekształcana spółka z ograniczoną odpowiedzialnością. Spółka komandytowa będzie miała ten sam numer NIP i REGON, co przekształcona spółka z ograniczoną odpowiedzialnością.