Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Opinie

Inspektor ochrony danych w firmie: unijne przepisy budzš wštpliwości

123RF
Unijne przepisy budzš wiele pytań. Nie ma pewnoœci np., czy firma z branży e-commerce ma obowišzek powołania inspektora – pisze ekspert Marek Sporny.

Przedsiębiorcy przetwarzajšcy dane osób powinni już podjšć odpowiednie kroki organizacyjno-prawne, aby w połowie przyszłego roku móc stosować nowe regulacje o ochronie danych osobowych. Problem jednak w tym, że wielu przedstawicieli biznesu bagatelizuje temat, nie zdajšc sobie sprawy z powagi sytuacji i możliwych konsekwencji – również finansowych.

Pozostało mniej niż 12 miesięcy do rozpoczęcia stosowania ogólnego rozporzšdzenia o ochronie danych (RODO), zastępujšcego dotychczasowš krajowš ustawę o ochronie danych osobowych z 29 sierpnia 1997 r. Do 25 maja 2018 r. przedsiębiorcy przetwarzajšcy dane osób przebywajšcych na terenie Unii powinni podjšć odpowiednie kroki organizacyjno-prawne wymagane przez RODO. Dla wielu przedsiębiorców zadanie to może się jednak okazać poważnym wyzwaniem. RODO wprowadza bowiem wiele nowych rozwišzań, które z jednej strony majš zapewnić wysoki, spójny i uwzględniajšcy postęp technologiczny stopień ochrony osób fizycznych w całej Unii, z drugiej ułatwić swobodny przepływ danych osobowych między państwami członkowskimi. Ponadto dotychczasowe podejœcie, często bagatelizujšce ochronę danych, sprawia, że wielu przedsiębiorców w dalszym cišgu nie uœwiadamia sobie konsekwencji zwišzanych z wejœciem w życie RODO. Sam zaœ hermetyczny język RODO powoduje, że w praktyce przedsiębiorcy stajš przed wieloma dylematami interpretacyjnymi, z którymi muszš się zmierzyć, aby uniknšć milionowych kar administracyjnych. Dobrym tego przykładem jest art. 37 RODO, który ustanawia dwa przypadki obowišzkowego wyznaczenia inspektora ochrony danych (odpowiednik obecnego administratora bezpieczeństwa informacji) przez administratora danych lub podmiot przetwarzajšcy w sektorze prywatnym.

Dla kogo obowišzkowo

Podmiot niepubliczny, który pełni rolę administratora danych osobowych lub podmiotu przetwarzajšcego ma obowišzek wyznaczenia inspektora ochrony danych w dwóch przypadkach.

Po pierwsze, gdy jego główna działalnoœć polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagajš regularnego i systematycznego monitorowania osób, których dane dotyczš na dużš skalę (art. 37 ust. 1 lit. b).

Po drugie, gdy główna działalnoœć polega na przetwarzaniu tzw. danych wrażliwych oraz danych osobowych dotyczšcych wyroków skazujšcych i naruszeń prawa (art. 37 ust. 1 lit. c). Oba przypadki odwołujš się do bliżej nieokreœlonych pojęć „głównej działalnoœci" oraz „dużej skali", co w praktyce może być Ÿródłem wielu trudnoœci interpretacyjnych.

Główna działalnoœć

RODO wyjaœnia jedynie, że przetwarzanie danych osobowych jest dla przedsiębiorcy głównš działalnoœciš, jeżeli stanowi to dla niego zasadniczš, a nie pobocznš czynnoœć (motyw 97 Preambuły). Bez wštpienia można zatem stwierdzić, że m.in. biura informacji gospodarczej oraz biura poœrednictwa pracy będš należeć do grupy podmiotów, dla których przetwarzanie danych jest czynnoœciš zasadniczš w rozumieniu art. 37 ust. 1 lit. b. Z kolei obowišzek wyznaczenia inspektora ochrony danych na podstawie art. 37 ust. 1 lit. c będzie dotyczyć m.in. podmiotów wykonujšcych działalnoœć leczniczš lub laboratoriów analitycznych.

W odniesieniu do przesłanki „głównej działalnoœci" wydaje się, że poważne trudnoœci interpretacyjne mogš mieć przedstawiciele branży e-commerce. Zasadniczš działalnoœciš typowych sklepów internetowych jest bowiem sprzedaż towarów, a nie przetwarzanie danych osobowych klientów. Dane osobowe klientów stanowiš niezbędny, aczkolwiek w dalszym cišgu poboczny element tego typu działalnoœci. Czy ta niezbędnoœć przetwarzania ma zatem wpływ na obowišzek powołania inspektora ochrony danych w firmie?

Jako że RODO nie daje jednoznacznych odpowiedzi w kontekœcie pojęcia „podstawowej działalnoœci," to Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych zwana Grupš Roboczš art. 29 przyjęła 13 grudnia 2016 r. wytyczne dotyczšce inspektorów ochrony danych. Sugerujš one, aby „głównej działalnoœci" nie interpretować w sposób wyłšczajšcy działalnoœci w zakresie przetwarzania danych, która jest nierozerwalnie zwišzana z działalnoœciš głównš. W efekcie wydaje się, że przedsiębiorcy prowadzšcy sklep internetowy powinni wyznaczyć inspektora ochrony, skoro przetwarzanie danych klientów stanowi nierozerwalny element biznesu. Jednoczeœnie proponowane przez Grupę Roboczš art. 29 szerokie ujęcie „głównej działalnoœci" sprawia, że obowišzkiem powołania inspektora ochrony danych może być objęta doœć spora grupa przedsiębiorców, w tym małych i œrednich.

Warto podkreœlić, że o istnieniu „głównej działalnoœci" nie rozstrzyga wyłšcznie kod PKD przedsiębiorcy. W niektórych przypadkach może bowiem dojœć do koniecznoœci wyznaczenia inspektora ochrony danych na skutek faktycznych działań. Przykładowo w sytuacji spersonalizowanej kampanii marketingowej będziemy mieli do czynienia z regularnym oraz systematycznym monitorowaniem osób. Ponadto o koniecznoœci wyznaczenia inspektora rozstrzygać będzie duża skala przetwarzania danych.

Duża skala przetwarzania

Zdajšc sobie sprawę z niejasnego charakteru pojęcia „dużej skali", projekt RODO sporzšdzony przez Parlament Europejski przewidywał kryterium kwantytatywne, tj. przetwarzanie danych osobowych powyżej 5000 osób w cišgu roku, jako odpowiednik dużej skali. Pomysł ten nie został jednak przyjęty w ostatecznej wersji RODO. Dodatkowo pojęcie „dużej skali" nie zostało zdefiniowane, aczkolwiek jego istotę poœrednio przybliżono w motywie 91 Preambuły. Z jednej strony o „dużej skali" wspomina się w kontekœcie przetwarzania znacznej iloœci danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym, co może wpłynšć na dużš liczbę osób, których dane dotyczš, oraz które mogš powodować wysokie ryzyko. Z drugiej strony, przetwarzanie danych nie powinno być uznawane za przetwarzanie na „dużš skalę", jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.

Wydaje się jednak, że wyjaœnienia zawarte w motywie 91 Preambuły w dalszym cišgu nie dajš jasnych odpowiedzi na wiele praktycznych pytań. Stšd Grupa Robocza art. 29 sugeruje, aby w tym zakresie brać pod uwagę: liczbę osób, których dane dotyczš, zakres przetwarzanych danych, okres, przez jaki sš przetwarzane, oraz zakres geograficzny.

Chociaż Grupa Robocza art. 29 przytacza wiele przykładów dużej skali, np.: przetwarzanie danych przez bank, zakład ubezpieczeniowy, dostawcę usług telefonicznych lub internetowych, danych pacjentów przez szpital, osób korzystajšcych ze œrodków komunikacji miejskiej przy użyciu tzw. kart miejskich; danych geolokalizacyjnych w czasie rzeczywistym przed wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych, wcišż brak jasnoœci, kiedy występuje „duża skala", np. w przypadku branży e-commerce.

Czy zatem przetwarzanie przez kilka lat danych osobowych poniżej 5000 klientów rocznie, będšcych rezydentami jednego lub dwóch państw członkowskich, które sš niezbędne do wykonania umowy sprzedaży na odległoœć oraz usług marketingu bezpoœredniego sprzedawcy internetowego zatrudniajšcego mniej niż 250 pracowników stanowi postać „dużej skali" przetwarzania?

Dylematy biznesu

Rozstrzygnięcie kwestii, czy dany przedsiębiorca ma obowišzek powołania w firmie inspektora ochrony danych, może się okazać szczególnie problematycznie dla przedsiębiorców œredniej wielkoœci. Zlekceważenie zaœ tego ustalenia może z kolei stanowić ryzyko nałożenia administracyjnej kary pieniężnej w wysokoœci do 10 000 000 euro lub w wysokoœci do 2 proc. całkowitego rocznego œwiatowego obrotu z poprzedniego obrotu (zastosowanie ma kwota wyższa). Na etapie wdrażania nowych rozwišzań RODO warto zatem przyjrzeć się przesłankom obowišzkowego wyznaczenia inspektora ochrony danych. Przy ocenie zaœ koniecznoœci jego powołania, w pierwszej kolejnoœci warto ustalić poziom ryzyka i zagrożenia dla naruszenia praw osób fizycznych, jakie niesie za sobš przetwarzanie danych u danego przedsiębiorcy. W końcu chodzi tutaj bowiem o ochronę danych osobowych osób fizycznych.

Autor jest menedżerem w dziale doradztwa podatkowego BDO, biuro w Poznaniu

ródło: Rzeczpospolita

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL