Inspektor ochrony danych w firmie: unijne przepisy budzą wątpliwości

Przedsiębiorcy przetwarzający dane osób powinni już podjąć odpowiednie kroki organizacyjno-prawne, aby w połowie przyszłego roku móc stosować nowe regulacje o ochronie danych osobowych. Problem jednak w tym, że wielu przedstawicieli biznesu bagatelizuje temat, nie zdając sobie sprawy z powagi sytuacji i możliwych konsekwencji – również finansowych.

Pozostało mniej niż 12 miesięcy do rozpoczęcia stosowania ogólnego rozporządzenia o ochronie danych (RODO), zastępującego dotychczasową krajową ustawę o ochronie danych osobowych z 29 sierpnia 1997 r. Do 25 maja 2018 r. przedsiębiorcy przetwarzający dane osób przebywających na terenie Unii powinni podjąć odpowiednie kroki organizacyjno-prawne wymagane przez RODO. Dla wielu przedsiębiorców zadanie to może się jednak okazać poważnym wyzwaniem. RODO wprowadza bowiem wiele nowych rozwiązań, które z jednej strony mają zapewnić wysoki, spójny i uwzględniający postęp technologiczny stopień ochrony osób fizycznych w całej Unii, z drugiej ułatwić swobodny przepływ danych osobowych między państwami członkowskimi. Ponadto dotychczasowe podejście, często bagatelizujące ochronę danych, sprawia, że wielu przedsiębiorców w dalszym ciągu nie uświadamia sobie konsekwencji związanych z wejściem w życie RODO. Sam zaś hermetyczny język RODO powoduje, że w praktyce przedsiębiorcy stają przed wieloma dylematami interpretacyjnymi, z którymi muszą się zmierzyć, aby uniknąć milionowych kar administracyjnych. Dobrym tego przykładem jest art. 37 RODO, który ustanawia dwa przypadki obowiązkowego wyznaczenia inspektora ochrony danych (odpowiednik obecnego administratora bezpieczeństwa informacji) przez administratora danych lub podmiot przetwarzający w sektorze prywatnym.

Dla kogo obowiązkowo

Podmiot niepubliczny, który pełni rolę administratora danych osobowych lub podmiotu przetwarzającego ma obowiązek wyznaczenia inspektora ochrony danych w dwóch przypadkach.

Po pierwsze, gdy jego główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę (art. 37 ust. 1 lit. b).

Po drugie, gdy główna działalność polega na przetwarzaniu tzw. danych wrażliwych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa (art. 37 ust. 1 lit. c). Oba przypadki odwołują się do bliżej nieokreślonych pojęć „głównej działalności" oraz „dużej skali", co w praktyce może być źródłem wielu trudności interpretacyjnych.

Główna działalność

RODO wyjaśnia jedynie, że przetwarzanie danych osobowych jest dla przedsiębiorcy główną działalnością, jeżeli stanowi to dla niego zasadniczą, a nie poboczną czynność (motyw 97 Preambuły). Bez wątpienia można zatem stwierdzić, że m.in. biura informacji gospodarczej oraz biura pośrednictwa pracy będą należeć do grupy podmiotów, dla których przetwarzanie danych jest czynnością zasadniczą w rozumieniu art. 37 ust. 1 lit. b. Z kolei obowiązek wyznaczenia inspektora ochrony danych na podstawie art. 37 ust. 1 lit. c będzie dotyczyć m.in. podmiotów wykonujących działalność leczniczą lub laboratoriów analitycznych.

W odniesieniu do przesłanki „głównej działalności" wydaje się, że poważne trudności interpretacyjne mogą mieć przedstawiciele branży e-commerce. Zasadniczą działalnością typowych sklepów internetowych jest bowiem sprzedaż towarów, a nie przetwarzanie danych osobowych klientów. Dane osobowe klientów stanowią niezbędny, aczkolwiek w dalszym ciągu poboczny element tego typu działalności. Czy ta niezbędność przetwarzania ma zatem wpływ na obowiązek powołania inspektora ochrony danych w firmie?

Jako że RODO nie daje jednoznacznych odpowiedzi w kontekście pojęcia „podstawowej działalności," to Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych zwana Grupą Roboczą art. 29 przyjęła 13 grudnia 2016 r. wytyczne dotyczące inspektorów ochrony danych. Sugerują one, aby „głównej działalności" nie interpretować w sposób wyłączający działalności w zakresie przetwarzania danych, która jest nierozerwalnie związana z działalnością główną. W efekcie wydaje się, że przedsiębiorcy prowadzący sklep internetowy powinni wyznaczyć inspektora ochrony, skoro przetwarzanie danych klientów stanowi nierozerwalny element biznesu. Jednocześnie proponowane przez Grupę Roboczą art. 29 szerokie ujęcie „głównej działalności" sprawia, że obowiązkiem powołania inspektora ochrony danych może być objęta dość spora grupa przedsiębiorców, w tym małych i średnich.

Warto podkreślić, że o istnieniu „głównej działalności" nie rozstrzyga wyłącznie kod PKD przedsiębiorcy. W niektórych przypadkach może bowiem dojść do konieczności wyznaczenia inspektora ochrony danych na skutek faktycznych działań. Przykładowo w sytuacji spersonalizowanej kampanii marketingowej będziemy mieli do czynienia z regularnym oraz systematycznym monitorowaniem osób. Ponadto o konieczności wyznaczenia inspektora rozstrzygać będzie duża skala przetwarzania danych.

Duża skala przetwarzania

Zdając sobie sprawę z niejasnego charakteru pojęcia „dużej skali", projekt RODO sporządzony przez Parlament Europejski przewidywał kryterium kwantytatywne, tj. przetwarzanie danych osobowych powyżej 5000 osób w ciągu roku, jako odpowiednik dużej skali. Pomysł ten nie został jednak przyjęty w ostatecznej wersji RODO. Dodatkowo pojęcie „dużej skali" nie zostało zdefiniowane, aczkolwiek jego istotę pośrednio przybliżono w motywie 91 Preambuły. Z jednej strony o „dużej skali" wspomina się w kontekście przetwarzania znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym, co może wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko. Z drugiej strony, przetwarzanie danych nie powinno być uznawane za przetwarzanie na „dużą skalę", jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.

Wydaje się jednak, że wyjaśnienia zawarte w motywie 91 Preambuły w dalszym ciągu nie dają jasnych odpowiedzi na wiele praktycznych pytań. Stąd Grupa Robocza art. 29 sugeruje, aby w tym zakresie brać pod uwagę: liczbę osób, których dane dotyczą, zakres przetwarzanych danych, okres, przez jaki są przetwarzane, oraz zakres geograficzny.

Chociaż Grupa Robocza art. 29 przytacza wiele przykładów dużej skali, np.: przetwarzanie danych przez bank, zakład ubezpieczeniowy, dostawcę usług telefonicznych lub internetowych, danych pacjentów przez szpital, osób korzystających ze środków komunikacji miejskiej przy użyciu tzw. kart miejskich; danych geolokalizacyjnych w czasie rzeczywistym przed wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych, wciąż brak jasności, kiedy występuje „duża skala", np. w przypadku branży e-commerce.

Czy zatem przetwarzanie przez kilka lat danych osobowych poniżej 5000 klientów rocznie, będących rezydentami jednego lub dwóch państw członkowskich, które są niezbędne do wykonania umowy sprzedaży na odległość oraz usług marketingu bezpośredniego sprzedawcy internetowego zatrudniającego mniej niż 250 pracowników stanowi postać „dużej skali" przetwarzania?

Dylematy biznesu

Rozstrzygnięcie kwestii, czy dany przedsiębiorca ma obowiązek powołania w firmie inspektora ochrony danych, może się okazać szczególnie problematycznie dla przedsiębiorców średniej wielkości. Zlekceważenie zaś tego ustalenia może z kolei stanowić ryzyko nałożenia administracyjnej kary pieniężnej w wysokości do 10 000 000 euro lub w wysokości do 2 proc. całkowitego rocznego światowego obrotu z poprzedniego obrotu (zastosowanie ma kwota wyższa). Na etapie wdrażania nowych rozwiązań RODO warto zatem przyjrzeć się przesłankom obowiązkowego wyznaczenia inspektora ochrony danych. Przy ocenie zaś konieczności jego powołania, w pierwszej kolejności warto ustalić poziom ryzyka i zagrożenia dla naruszenia praw osób fizycznych, jakie niesie za sobą przetwarzanie danych u danego przedsiębiorcy. W końcu chodzi tutaj bowiem o ochronę danych osobowych osób fizycznych.

Autor jest menedżerem w dziale doradztwa podatkowego BDO, biuro w Poznaniu

Publicystyka Finanse w Firmie

Pozostało 80% artykułu

Opinie Prawne

Marek Isański: Można przyspieszyć orzekanie NSA w sprawach podatkowych zwykłych obywateli

Wszyscy już się przyzwyczailiśmy, że fatalnie długi jest czas oczekiwania na rozpatrzenie skargi kasacyjnej od wyroku WSA w sprawach podatkowych zwykłych obywateli, bo to prawie 3 lata(!). Taka sytuacja – gdy skarga podatnika finalnie okaże się zasadna, co nie jest zjawiskiem rzadkim - jest nie tylko krzywdząca dla obywateli ale również generująca zbędne koszty po stronie budżetu. Można odnieść wrażenie, że państwo z jakąś dziwną premedytacją nie pilnuje wpłacanych przez wszystkich obywateli podatków, bo przecież w budżecie innych pieniędzy nie ma.

Materiał Promocyjny

Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę

Opinie Prawne

Maciej Gawroński: Za 30 mln zł rocznie Komisja będzie nakładać makijaż sztucznej inteligencji

Na łamach Rzeczpospolitej 6 listopada nawoływałem, aby kompetencje nadzoru sztucznej inteligencji (SI) oddać Prezesowi Urzędu Ochrony Danych Osobowych (PUODO). 20 listopada ukazał się tekst polemiczny, autorstwa mecenasa Przemysława Sotowskiego, w którym Pan Mecenas powołuje kilkanaście tez na granicy dezinformacji, bez uzasadnienia, oprócz „oczywistej oczywistości”. Tak jakby autor był bardziej politykiem niż prawnikiem. Niech mottem mojej repliki będzie to, co 12 sierpnia 1986 roku powiedział Ronald Reagan “Dziewięć najbardziej przerażających słów w języku angielskim to „Jestem z rządu i jestem tu, aby pomóc”

Opinie Prawne

Wojciech Bochenek: Sankcja kredytu darmowego to kolejny koszmar sektora bankowego?

W dniu 4 grudnia 2024 r. na łamach dziennika "Rzeczpospolita" ukazała się publikacja „Sankcja kredytu darmowego – czy narracja parakancelarii jest zasadna?” autorstwa mecenasa Wojciecha Wandzela, przedstawiająca tezy i argumenty mające przemawiać za możliwością skredytowania kosztów kredytu i pobierania od tego odsetek, które w ocenie autora publikacji są pewnym wyjściem naprzeciw konsumentom, którzy chcą pozyskać kredyt.

Warszawa 1982. Stan wojenny. Rozprawa przed sądem wojskowym przeciwko podziemnym wydawcom.

Opinie Prawne

Tomasz Pietryga: Sędziowie 13 grudnia, krótka refleksja

Dla wielu obywateli skrzywdzonych w czasach PRL, wejście sędziów stanu wojennego do sądów w III RP było nieakceptowalne. Niemoc ludzi Solidarności, aby to wejście zablokować, odebrała szacunek Temidzie na dekady.

Materiał Promocyjny

Bank Pekao wchodzi w świat gamingu ze swoją planszą w Fortnite

Bank wspiera rozwój pasji, dlatego miał już w swojej ofercie konto gamingowe, atrakcyjne wizerunki kart płatniczych oraz skórek w aplikacji nawiązujących do gier. Teraz, chcąc dotrzeć do młodych, stworzył w ramach trybu kreatywnego swoją mapę symulacyjną w Fortnite, łącząc innowacyjną rozgrywkę z edukacją finansową i udostępniając graczom możliwość stworzenia w wirtualnym świecie własnego banku.

Opinie Prawne

Rok rządu Donalda Tuska. "Zero sukcesów Adama Bodnara"

Przez ostatni rok główny ciężar działań i uwagi skupiony był na przywracaniu praworządności, choć z góry było wiadomo, że przy tym prezydencie para pójdzie w gwizdek. Jednocześnie w tym czasie nie zrobiono niczego, co by wydatnie poprawiło efektywność wymiaru sprawiedliwości.

Materiał Promocyjny

Jaecoo J7 w leasingu od 1670 zł/mies.

Opinie Prawne

Marek Isański: Można przyspieszyć orzekanie NSA w sprawach podatkowych zwykłych obywateli

Opinie Prawne

Maciej Gawroński: Za 30 mln zł rocznie Komisja będzie nakładać makijaż sztucznej inteligencji

Opinie Prawne

Wojciech Bochenek: Sankcja kredytu darmowego to kolejny koszmar sektora bankowego?

Czy rzeczywiście ktoś wierzy, że Rafał Trzaskowski będzie dobrym prezydentem akurat dlatego, że zna

Komentarze

Michał Szułdrzyński: Rafał, pardon maj frencz!

Rafał Trzaskowski zachwycił swoich sympatyków rozmową po francusku z Emmanuelem Macronem. Jednak w kontekście kampanii, która miała odczarować jego elitarny wizerunek, pojawia się pytanie, czy to nie oddala go od przeciętnego wyborcy.

Biznes

Teresa Siudem: Członek zarządu odpowie za brak przezorności

Z funkcją członka zarządu wiążą się nie tylko przywileje, ale przede wszystkim obowiązki i ... odpowiedzialność, o czym często się zapomina.

Biznes

Ulgi podatkowe – źródła finansowania innowacji i nowych inwestycji

Ulgi podatkowe na wsparcie innowacji oraz nowych inwestycji mogą zwiększyć konkurencyjność przedsiębiorców, stanowiąc alternatywę dla finansowania z grantów UE. Jak wdrażane zasady dotyczące globalnego podatku minimalnego wpłyną na atrakcyjność krajowych instrumentów wsparcia?

Biznes

Czy nadal warto założyć fundację rodzinną?

Fundacje rodzinne w Polsce stają się coraz popularniejszym narzędziem do planowania sukcesji w rodzinach o znacznych zasobach finansowych. To dobre rozwiązanie prawne dla tych przedsiębiorców, którzy przez lata rozwijali swoje firmy i chcieliby zadbać o biznesowe dziedzictwo.

Biznes

Kawa w kosztach, kosmetyki nie

Firma może rozliczyć wydatki na wyżywienie zapewniane współpracującym z nią przedstawicielom kontrahentów. Z kosztów trzeba natomiast wyrzucić prezenty.