25 05.2018

Jak ominąć GDPR (RODO)

Zmorą polskich, drobnych przedsiębiorców są ciągłe zmiany prawa. Niektóre z tych zmian są radosną twórczością obecnego rządu, zmierzającego do likwidacji drobnej przedsiębiorczości, inne zaś oderwanymi od polskiej rzeczywistości pomysłami Parlamentu Europejskiego. Taką właśnie zmianą jest obowiązujące od dzisiaj Rozporządzenie Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, w skrócie zwane GDPR lub RODO.


Intencją autora ani wydawcy artykułu nie jest namawianie bądź zachęcanie do łamania prawa. Prezentowany w artykule schemat podstępowania jest schematem uproszczonym, który w przyszłości może stać się niezgodny z bieżącymi przepisami. W takim przypadku poszczególne elementy opisywanych struktur powinny zostać przeniesione poza granice polskiej i/lub unijnej jurysdykcji, tak aby całościowe działanie przedsiębiorcy było zgodne z prawem.



Dla kogo jest ten artykuł?

Prezentowana w tym artykule struktura nie jest uniwersalna i dotyczy tylko/aż wszelkiego rodzaju agencji marketingowych. Głównie tych "z niższej półki", działających i przetwarzających różnego typu dane w modelu biznesowym, którego z natury rzeczy nie da się pogodzić z wymaganiami Rozporządzenia.

Na początek przepisy. Legalność przede wszystkim.

Zanim trafiłeś na ten artykuł, prawdopodobnie wielokrotnie czytałeś o horrendalnych wysokościach kar za poszczególne naruszenia przepisów. Aby jednak w ogóle można było mówić o karach, przeanalizujmy najpierw, jaki jest zakres stosowania Rozporządzenia, oraz nowej Ustawy z 10 maja 2018 o ochronie danych osobowych (zastępującej starą ustawę z 1997):

Art 3.1 Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii.

Mówiąc prościej, nie wystarczy, że kupisz sobie serwer dedykowany poza terenem Unii Europejskiej i przeniesiesz tam wszystkie działania na danych osobowych. Konieczne będzie założenie osobnego, niezależnego podmiotu gospodarczego poza UE. Ale do tego jeszcze wrócimy.

Ustawa z 10 maja 2018 o ochronie danych osobowych:

Art. 84. 1. Kontrolujący ma prawo:
1) wstępu w godzinach od 6 do 22 na grunt oraz do budynków, lokali lub innych pomieszczeń;
2) wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli;
3) przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych

Art. 85. 1. Prezes Urzędu lub kontrolujący może zwrócić się do właściwego miejscowo komendanta Policji o pomoc, jeżeli jest to niezbędne do wykonywania czynności kontrolnych.

Art. 107. 1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności (...)

Art. 108. Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności (...)

Jak widzisz, Urząd Ochrony Danych Osobowych ma bardzo szerokie możliwości kontroli, a utrudnianie lub udaremnianie tej kontroli (np. poprzez niszczenie nośników) również może skończyć się dla Ciebie zarzutami karnymi. Co za tym idzie, bardzo ważne jest, aby wszelkie zmiany organizacyjne, jakie wprowadzisz w swoim biznesie, miały charakter realny, a nie pozorowany (tj. aby stan faktyczny pokrywał się z tym, co jest napisane w dokumentach lub innych materiałach).

Najważniejszym wnioskiem z lektury Rozporządzenia oraz Ustawy jest jednak fakt, potencjalne kary z tytułu naruszeń przepisów Rozporządzenia mają charakter wyłącznie administracyjnej kary pieniężnej, a dopiero polska Ustawa implementująca Rozporządzenie na gruncie prawa polskiego przewiduje przepisy karne.

W praktyce oznacza to, że aby uniknąć ryzyka opisanych zarzutów, nie zawsze musisz przenosić spółkę poza granice Unii Europejskiej. W wielu przypadkach wystarczy przeniesienie jej poza granice Polski (co najczęściej będzie o wiele tańsze, prostsze i szybsze).

A więc co robić, jak żyć?

Zakładam tutaj, że w tej chwili prowadzisz swój biznes w postaci jednoosobowej Działalności Gospodarczej, bądź radziej Spółki z ograniczoną odpowiedzialnością. Może to być również kilka niezależnych firm - nie ma znaczenia, dalej będziemy je wszystkie zbiorczo określali jako firmę 1, czyli tą część Twojego biznesu, która sprzedaje usługi Twoim klientom, wystawia im faktury, a Tobie przynosi zysk. Ta część będzie działała na terenie Unii Europejskiej i kupowała konkretne usługi od kolejnych podmiotów. A co najważniejsze, docelowo firma 1 w ogóle nie powinna posiadać jakichkolwiek zbiorów danych osobowych.

Kolejne elementy struktury to firma 2 i firma 3 (całość przedstawiliśmy na obrazku obok), ale zanim omówimy ich role, skupmy się przez chwilę na relacjach pomiędzy nimi a firmą 1. Otóż nie są dopuszczalne żadne relacje formalne, tj. nie mogą to być spółki-córki, ani przedsiębiorstwa powiązane kapitałowo, mające wspólnych współwłaścicieli, ani zarządu. Innymi słowy, z punktu widzenia prawa powinny to być całkowicie niezależne podmioty, których nie da się powiązać formalnie w żaden inny sposób, niż faktem, że zlecają sobie wzajemnie pewne usługi.

Ważne przy tym, aby tak dobrać osoby mające być współwłaścicielami i prezesami zarządu nowych podmiotów, aby nie narazić się na potencjalny zarzut działania w zorganizowanej grupie przestępczej i próby uszczuplenia dochodów państwa z tytułu różnego rodzaju podatków i innych opłat. Powinieneś również spisać z takimi osobami umowy cywilno-prawne i całkiem oficjalnie płacić im za świadczenie usług. Oczywiście wiąże się z tym kilka innych tematów, jak skuteczna kontrola ich działań, możliwość pozbycia się niewygodnej osoby ze struktury, czy wreszcie podatki i ZUS, ale to tematy wykraczające poza tematykę tego artykułu i powinieneś takie szczegóły we własnym zakresie dogadać z prawnikiem.

Firma 2

Celem istnienia tej firmy ma być wyłącznie zbieranie i przetwarzanie danych osobowych. Jej źródła przychodu to z jednej strony sprzedaż gotowych, możliwie zminimalizowanych baz mailingowych firmie 3 (pozwalających na realizację mailingów), z drugiej zaś sprzedaż firmie 1 różnego rodzaju analiz dotyczących kondycji posiadanych zbiorów danych - analiz pozwalających Tobie na podejmowanie decyzji biznesowych na poziomie całej struktury, ale jednocześnie nie zawierających w wynikach żadnych danych osobowych.

Dzięki takiemu podziałowi jesteś w stanie kontrolować całą strukturę, a jednocześnie całe ryzyko kar administracyjnych za naruszenie przepisów Rozporządzenia bierze na siebie firma 2, której przychody są jak najniższe (aczkolwiek odpowiadające stawkom rynkowym za danego typu usługi, aby nie narazić się na zarzuty karno-skarbowe) - tak aby w przypadku, gdy faktycznie dojdzie do nałożenia kary, koszt zamknięcia tej firmy i otwarcia w jej miejsce nowego podmiotu był jak najniższy.

Koniecznie pamiętaj jednak o Art. 107. 1. polskiej Ustawy o ochronie danych osobowych: Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony (...). Z uwagi na ten przepis, firma 2 musi działać poza granicami polskiej jurysdykcji, jak również jurysdykcji tych państw UE, które w swoich implementacjach Rozporządzenia również przewidziały przepisy karne, a nie tylko kary administracyjne (ważne również, aby osoby będące jej współwłaścicielami, oraz pełniące funkcje zarządcze miały swoje "centra interesów życiowych" również poza wspomnianymi granicami).

Firma 3

Ta firma zajmuje się realizacją właściwych mailingów. Dostaje ona zlecenia (wraz z gotową kreacją oraz precyzyjnymi wytycznymi odnośnie grupy docelowej) od firmy 1, po czym kupuje od firmy 2 odpowiednie bazy, już okrojone do niezbędnego minimum na podstawie tych wytycznych.

Oczywiście specyfika działalności tej firmy może być potencjalnie niezgodna z przepisami innymi niż Rozporządzenie lub Ustawa o ochronie danych osobowych (to temat na osobny artykuł, zakładamy jednak, że doskonale zdajesz sobie sprawę z tego faktu). Dlatego rekomendowane jest założenie tej firmy w granicach takiego państwa, w którym działalność ta będzie albo całkowicie legalna, albo przynajmniej władze będą na nią patrzeć z przymrużeniem oka do momentu, gdy efekty tej działalności nie będą dotykać ich własnych obywateli (np. kraje azjatyckie).

Nie łącz firm 2 i 3

Jednym z pierwszych pytań nasuwających się po przeczytaniu powyższego tekstu jest: dlaczego nie połączyć firm 2 i 3 w jeden podmiot? Powodów jest kilka. Po pierwsze, firmy te łączy tylko fakt prowadzenia działalności niezgodnej z prawem niektórych państw, nadal jednak jest to całkiem różna działalność, obciążona całkiem różnymi ryzykami. Stąd obie firmy powinny być "wymienne" niezależnie od siebie.

Dochodzi do tego aspekt kompetencji i kosztów tych kompetencji. Działalność firmy 3 relatywnie łatwo zlecisz np. w Chinach lub Rosji. Nie wymaga ona żadnych szczególnych kompetencji, ponieważ cała część analityczna związana z jakością dostarczania mailingów, rozpracowywaniem działania filtrów antyspamowych itp. i tak musi pozostać w firmie 2 (o ile oczywiście zależy Ci na rozwoju możliwości targetowania mailingów, a nie tylko wysyłaniu wszystkiego do wszystkich). Tak więc właśnie w firmie 2 powinieneś zatrudnić (lub przenieść) osoby odpowiedzialne za jakość.

W praktyce wskazane jest więc założenie firmy 2 możliwie blisko Polski, w kontekście kulturowym (łatwość dogadania się i przede wszystkim łatwość zdalnego zatrudnienia odpowiednich osób), ale też czasowym (więcej niż 1 godzina różnicy między strefami czasowymi wpływa z reguły degradująco na wydajność pracy).

Firma 4 (opcja)

Kolejnym, pierwszym z opcjonalnych elementów struktury, jest osobna spółka kapitałowa, najlepiej (o ile uzasadniają to kwoty, jakimi obracasz) założona w granicach państwa innego niż wszystkie pozostałe podmioty. Celem tej spółki jest kontrola praw do własności intelektualnej, takiej jak brandy, logotypy, prawa autorskie itp. Prawdopodobnie słyszałeś już o tego typu rozwiązaniach w kontekście optymalizacji podatkowej stosowanej przez wielkie korporacje.

W Twoim przypadku chodzi jednak przede wszystkim o minimalizację szkód na wypadek, gdyby w przyszłości ktoś zdołał powiązać firmę 1 z działalnością nie do końca zgodną z obowiązującym prawem i próbował nałożyć na nią jakieś kary. W takim wypadku wszystko, co jest związane z rozpoznawalnością Twojego biznesu przez klientów, będzie jedynie "wypożyczane" od osobnego podmiotu (firmy 4) - natomiast firma 1 jako podmiot, będzie formalnie związana tylko z bieżącą działalnością operacyjną, którą w razie czego będzie można stosunkowo łatwo "zostawić za sobą", przenosząc brand na kolejną spółkę.

Podmioty dodatkowe (opcja)

Z uwagi na specyfikę Twojej działalności, wiele osób może na nią nie tylko patrzeć z niechęcią, ale też próbować ją zakończyć lub utrudnić, choćby naciągając przepisy i/lub przekraczając swój zakres obowiązków. Dlatego uzasadnione wydaje się rozbudowanie powyższego schematu o dodatkowe podmioty, pośredniczące w zlecaniu usług pomiędzy firmami 1, 2 i 3 tak, aby jeszcze bardziej zaciemnić powiązania pomiędzy podmiotami. Taką sieć podmiotów powinieneś jednak budować na miarę realnie posiadanych możliwości i rozbudowywać lub chociaż modyfikować w miarę upływu czasu. Przede wszystkim jednak powinna to być sieć budowana według indywidualnego pomysłu. Dlatego pozostawiamy ten temat Twojej inwencji.



Przedstawiony wyżej schemat z pewnością nie wyczerpuje tematu, zwłaszcza że polskie prawo cały czas się zmienia. Aby mieć pewność że Twoje działania są zgodne z prawem, dokładnie skonsultuj wszystkie szczegóły z prawnikiem.




Tomasz Klim
Administrator serwerów i baz danych, specjalista w zakresie bezpieczeństwa, architekt IT, przedsiębiorca. Ponad 20 lat w branży IT. Pracował dla największych i najbardziej wymagających firm, jak Grupa Allegro czy Wikia. Obecnie zajmuje się bezpieczeństwem projektów blockchainowych w Espeo Software. Chętnie podejmuje się ciekawych zleceń.


Wzbudziliśmy Twoje zainteresowanie?

Szukasz pomocy? formularz kontaktowy