Autor: Wioletta Gwizdała

Prace nad stworzeniem wzoru umowy powierzenia przetwarzania danych osobowych zmierzają ku końcowi. Komisja Europejska przedstawiła dwa projekty umów, które pozwolą na ujednolicenie treści stosowanych umów w zakresie ochrony danych osobowych. Są to umowy, które często spotyka się w relacjach z kontrahentami - umowa pomiędzy administratorem i podmiotem przetwarzającym o powierzenie przetwarzania danych osobowych oraz umowa o przekazywaniu danych poza granice Unii Europejskiej. Drugi wzorzec ma zawierać rozwiązania umożliwiające transfer danych do Stanów Zjednoczonych po uchyleniu Tarczy Prywatności (https://sgp.pl/blog/uchylenie-tarczy-prywatnosci-transfer-danych-do-usa-na-nowych-zasadach).

Europejska Rada Ochrony Danych oraz Europejski Inspektor Danych Osobowych przygotowują obecnie wspólną opinię dotyczącą zaproponowanych projektów. Po ich uchwaleniu, zawieranie umów powinno przebiegać szybciej i sprawniej. Każdy administrator powinien także rozważyć zmianę stosowanego obecnie wzorca umowy powierzenia przetwarzania danych osobowych.

Wyrokiem Trybunału Sprawiedliwości Unii Europejskiej z dnia 16 lipca 2020 r. (sprawa C‑311/18, Schrems II), stwierdzono nieważność decyzji 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności w relacji UE – Stany Zjednoczone (Privacy Shield).  TSUE orzekł, że prawo USA nie zapewnia zasadniczo równoważnego stopnia ochrony jak w UE. W konsekwencji, powołanie się na wypełnienie obowiązków z Privacy Shield przy przekazywaniu danych do USA jest niewystarczające oraz zachodzi konieczność każdorazowej oceny czy przekazywanie danych do USA jest zgodne z RODO.

Wszelkie odwołania do Tarczy Prywatności jako podstawy zgodnego z prawem transferu danych do USA, powinny zostać zastąpione regulacjami zgodnymi z obowiązującym stanem prawnym. Zmianie powinna ulec procedura wyboru dostawcy usług (w szczególności dostawcy usługi chmury obliczeniowej), który będzie przetwarzał dane osobowe, a także każdy administrator powinien zweryfikować i zmodyfikować w razie potrzeby stosowane polityki prywatności i klauzule informacyjne. Należy także ze szczególną starannością przeanalizować dodatkowe zabezpieczenia dla ochrony danych osobowych.

Uwaga - podmioty zatrudniające między 50 a 249 osób oraz między 20 a 49 osób - termin na zawarcie umowy o zarządzanie PPK z wybraną instytucją finansową to 27 października 2020 r., a na zawarcie umowy o prowadzenie - 10 listopada 2020 r.

Pracodawca dokonuje wyboru instytucji finansowej, z którą zawrze umowę o zarządzanie PPK w porozumieniu z zakładową organizacją związkową, a jeśli takiej nie ma - w porozumieniu z reprezentacją pracowników wyłonioną w tym celu (należy stworzyć regulamin wyboru reprezentacji pracowników, jeśli dotychczas takiego regulaminu nie wprowadzono w organizacji). Jeśli porozumienie w sprawie wyboru instytucji nie będzie osiągnięte na miesiąc przed upływem terminu zawarcia umowy o zarządzanie PPK, pracodawca ma prawo podjąć decyzję samodzielnie.

Następnie obowiązkiem pracodawcy jest podpisanie umowy o prowadzenie PPK w imieniu i na rzecz pracowników. PPK obejmują pracowników, którzy w danej firmie posiadają staż pracy dłuższy niż 3 miesiące (na podstawie okresów zatrudnień z ostatnich 12 miesięcy). Pracodawca nie musi zawierać pojedynczych umów dla każdego z pracowników – wystarczające jest, że przekaże listę pracowników objętych PPK jako załącznik do umowy o prowadzenie PPK.

Należy także pamiętać, że umowy o PPK to nowy proces przetwarzania danych osobowych pracowników. Zweryfikuj, czy jako administrator danych swoich pracowników, wypełniasz wszystkie obowiązki z RODO.

Wprowadzenie beneficjenta rzeczywistego jest niewystarczające do wypełnienia obowiązków zgłoszenia spółki do CRBR.

Zgodnie z obowiązującymi od dnia 13 października 2019 r. przepisami rozdziału 6 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2019 r. poz. 1115, z późn. zm.), na podstawie art. 59 tej ustawy informacje podlegające zgłoszeniu do CRBR obejmują m.in. dane członka organu lub wspólnika uprawnionego do reprezentowania spółki, a w przypadku więcej niż jednego członka organu lub wspólnika uprawnionego do reprezentowania spółki – dane każdego z członków organu lub wspólników uprawnionych do reprezentowania spółki. Obowiązek wpisu danych reprezentantów dotyczy wszystkich zgłoszeń do CRBR, bez względu na to czy osoba będąca członkiem organu lub wspólnikiem uprawnionym do reprezentowania spółki jest jednocześnie zgłaszana jako beneficjent rzeczywisty spółki.

Od 1 stycznia 2020 r., zapłat kontrahentowi kwoty powyżej 15 tys. zł na inny rachunek, niż podany w wykazie, spowoduje, że nie będziesz mógł zaliczyć do kosztów uzyskania przychodu tej kwoty lub części tej kwoty, która została zapłacona na rachunek inny niż podany w wykazie oraz będziesz ponosił ryzyko odpowiedzialności solidarnej ze swoim kontrahentem za zaległości podatkowe, jeśli nie zapłaci on należnego podatku VAT od transakcji.

Zgodnie z wyjaśnieniami Ministerstwa Finansów – KAS: Weryfikując dane na podstawie Wykazu Podatników VAT udostępnionym przez stronę internetową lub API, po każdym poprawnym zapytaniu otrzymujemy identyfikator zapytania. Na stronie WWW jest on umieszczony na samym końcu strony wynikowej, zaś przez API zwracamy jest jako pole „requestId”. Po każdej weryfikacji powinniśmy zachować wartość tego pola. Na podstawie tej wartości będzie możliwość potwierdzenia przeprowadzenia weryfikacji kontrahenta. Warto pamiętać, że numer ten może być przechowywany w formie elektronicznej, bez drukowania wyniku wyszukania.