Inwestycje
Forum

Najczęstsze błędy przy wdrażaniu RODO w praktyce

- Powierzenie danych - Właściwa identyfikacja zagrożeń w przedsiębiorstwie - Kiedy zgoda, a kiedy inne podstawy przetwarzania

Publikacja: 01.11.2019 16:34

Mirosław Kachniewski ?prezes zarządu, ?Stowarzyszenie Emitentów Giełdowych

Mirosław Kachniewski ?prezes zarządu, ?Stowarzyszenie Emitentów Giełdowych

Foto: materiały prasowe

Mirosław Kachniewski

Pytania zadaje:

Mirosław Kachniewski  prezes zarządu,  Stowarzyszenie Emitentów Giełdowych

Odpowiadają:

Agata Kowalska

radca prawny, partner zarządzający, Chabasiewicz Kowalska i Partnerzy

Magdalena Golonka 

radca prawny,  Chabasiewicz Kowalska i Partnerzy

Jakie były najczęstsze błędy przy wdrażaniu RODO?

Agata Kowalska: Z naszej praktyki wynika, że największym problemem przy wdrożeniach RODO była niechęć spółek do zaakceptowania faktu, że w ogóle trzeba to zrobić. Przedsiębiorcy trochę pogubili się w tym, co należy zrobić i wykonali mnóstwo czynności, które w ogóle nie było potrzebne, nie rozumiejąc, o co tak naprawdę w nowym podejściu do ochrony danych osobowych chodzi. Wszystko niestety między innymi przez niesamowity szum informacyjny w mediach na ten temat. Jak pokazuje rzeczywistość, nadal około 90 procent stron internetowych spółek nie jest zgodnych z tym, co jest wymagane, a pojawiają się też takie treści, które nie są potrzebne. Najczęściej obserwowaliśmy zasypywanie klientów mailami z informacjami dotyczącymi przetwarzania danych, kilkakrotne odbieranie zgód na te same czynności przetwarzania czy niezrozumienie przy tworzeniu rejestrów przetwarzania danych osobowych. Natomiast niepokojące jest zdarzające się jeszcze cały czas podejście, że RODO można wdrożyć, „odhaczając" poszczególne punkty z listy zadań do wykonania, a następnie wydrukować całą dokumentację i zapomnieć o temacie ochrony danych osobowych w firmie. Tutaj należy podkreślić, że ochrona danych osobowych w firmie to proces, który należy na bieżąco monitorować i usprawniać, to świadome podejście wszystkich pracowników w firmie do tego tematu, a w końcu to możliwość dostrzeżenia słabych stron w kwestiach należytej ochrony danych i ich wyeliminowanie.

Na jakie błędy UODO zwraca uwagę w zakresie przestrzegania przepisów RODO?

A.K.: Urząd Ochrony Danych Osobowych jest teraz zasypywany skargami i wnioskami od osób, które twierdzą, że ich dane osobowe są przetwarzane w sposób niewłaściwy. O tym, na jakie błędy zwraca uwagę PUODO, dowiadujemy się, dopiero kiedy zainterweniuje. W tym momencie mamy trzy postępowania zakończone nałożonymi przez PUODO karami administracyjnymi. Te decyzje nie są jeszcze prawomocne, sprawy nie są zatem zakończone i zapewne zostaną od nich złożone odwołania. Pierwsza kara jednak niejako na nowo „przemówiła" do spółek, a jej wysokość – 1 mln złotych – spowodowała, że spółki znów poczuły, jak ważne okazuje się należyte wdrożenie RODO w organizacji. Z kolei trzecia kara, w wysokości 2,83 mln zł, jest o tyle istotna, że została nałożona na spółkę za wyciek danych jej klientów, będący wynikiem ataku hackerskiego. Kara ta zwraca uwagę, jak niezwykle ważny w ochronie danych osobowych jest poziom i sposób zabezpieczeń technicznych i informatycznych.

UODO nie pozostawia nas jednak samych z problemami wdrożenia RODO. Częsta obecność w mediach, a także liczne publikacje pozwalają zaobserwować obszary, które zdaniem UODO wymagają jeszcze wytężonej pracy. Przede wszystkim są to: nieprawidłowe realizowanie obowiązku informacyjnego – niezrozumiały język, zbyt obszerne klauzule, brak przejrzystości procesu przetwarzania danych, brak odpowiednich zabezpieczeń technicznych. Kolejne elementy to nadmiarowość przetwarzania danych i powracająca po raz kolejny obligatoryjność przy zgodzie marketingowej. Warto też zwrócić uwagę, że UODO rekomenduje zwrócenie większej uwagi na prawidłowe zidentyfikowanie zagrożeń związanych z przetwarzaniem danych oraz techniczne zabezpieczenie posiadanych danych.

Jaka jest specyfika ochrony danych osobowych w spółce giełdowej?

Magdalena Golonka: Głównymi grupami danych osobowych w spółce giełdowej są dane pracowników spółki, akcjonariuszy, klientów, a także dane związane z wykonywaniem obowiązków giełdowych przez spółkę. Każda z tych grup danych osobowych jest inna, a poza RODO także odrębne przepisy nakładają na spółkę specyficzne, dodatkowe obowiązki związane z tymi danymi. Przykładowo w zakresie danych związanych z wykonywaniem obowiązków giełdowych spółka zobowiązana jest prowadzić listę osób uprawnionych do udziału w walnym zgromadzeniu akcjonariuszy, listę osób mających znaczny pakiet akcji, listę insiderów, listę osób blisko związanych etc. Tych kategorii danych osobowych jest dużo, a spółki nie do końca wiedzą, jak radzić sobie z tymi danymi np. w zakresie listy insiderów czy też listy obecności na walnym zgromadzeniu. Zacznijmy od tego, że z RODO wynika, że nigdy nie powinniśmy zbierać danych na zapas. Zbieramy tyle, ile rzeczywiście musimy w świetle realizowanego celu. Jest to tzw. zasada minimalizacji (adekwatności). Rozporządzenie MAR nie wskazuje, jakie konkretnie dane osobowe powinny zostać zamieszczone na liście, posługując się w art. 18 ust. 3 lit. a ogólnym sformułowaniem „dane osobowe". Wątpliwości w tym zakresie usuwa przyjęte przez Komisję Europejską rozporządzenie wykonawcze 2016/347 z 10 marca 2016 r. ustanawiające wykonawcze standardy techniczne w odniesieniu do określonego formatu osób mających dostęp do informacji poufnych i ich aktualizacji. Wskazane w rozporządzeniu wykonawczym dane osobowe możemy przetwarzać bez uzyskania zgody podmiotów danych.

W przypadku listy obecności na walnym dobrze te dane anonimizować i jest to bezpieczne dla spółki. W naszej ocenie listy obecności lepiej w ogóle nie załączać do publikacji raportu bieżącego, np. na stronie internetowej spółki. Należałoby także zwrócić uwagę na to, żeby osoby trzecie nie uzyskały z niej danych osobowych innych uczestników walnego zgromadzenia akcjonariuszy. Po zakończeniu walnego zgromadzenia akcjonariuszy spółka musi z kolei przekazać listę osób, które wzięły w nim udział, robi to jednak na podstawie przepisów prawa, więc nie potrzebuje do tego osobnej zgody od akcjonariuszy. Kolejne pytania pojawiają się w przypadku wyznaczania pełnomocników do udziału w walnym zgromadzeniu – spółka bowiem musi sprawdzić, czy dana osoba jest tą, która jest umocowana do działania na podstawie pełnomocnictwa. Spółki mogą pytać o imię i nazwisko oraz numer PESEL, tak aby mieć pewność, że działający w imieniu akcjonariusza pełnomocnik jest rzeczywiście prawidłowo umocowany.

Dla spółki istotne jest to, aby w sposób prawidłowy zrealizować obowiązek informacyjny wobec osób, których dane osobowe przetwarza. Takie klauzule informacyjne należy umieszczać każdorazowo w ogłoszeniu o walnym. Rekomendujemy umieścić taką klauzulę na stałe także na stronie internetowej spółki. RODO szczegółowo reguluje, jakie informacje powinny się znaleźć w tej klauzuli informacyjnej. W przypadku spółek giełdowych ważne jest, aby poinformować akcjonariuszy, pełnomocników czy też insiderów, jakie są podstawy prawne przetwarzania ich danych osobowych. Dla sporządzania i przechowywania list akcjonariuszy uprawnionych do udziału w walnym, list obecności na walnym, głosowania przez pełnomocnika oraz umożliwienia akcjonariuszom wykonywania ich praw w stosunku do spółki podstawę znajdziemy w kodeksie spółek handlowych. Kolejna podstawa to ustawa o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych dla przekazywania do KNF wykazu akcjonariuszy uprawnionych do udziału w walnym, wykazu akcjonariuszy posiadających co najmniej 5 proc. liczby głosów na walnym oraz w celu ich udostępnienia GPW oraz podania ich do publicznej wiadomości. Ponadto podstawą przetwarzania danych osobowych może być także uzasadniony interes spółki, głównie dla kontaktowania się z akcjonariuszem, dochodzenia roszczeń czy też obrony przed takimi roszczeniami.

Jak udostępnić listę akcjonariuszy, żeby nie naruszyć prawa?

M.G.: Dobrze jest wpisać w ogłoszeniu o walnym zgromadzeniu szczegółową informację o tym, w jaki sposób i w jakim zakresie będą przetwarzane dane osobowe osób, które wezmą udział w walnym zgromadzeniu akcjonariuszy. Najlepiej by było, gdyby lista była zabezpieczona u osoby, która organizuje walne zgromadzenie. Jeśli jakaś osoba będzie się chciała z listą zapoznać, to trzeba zweryfikować tożsamość takiej osoby. Listę można pokazywać osobom zainteresowanym, ale trzeba dochować należytej staranności przy dokonywaniu tej czynności. Jeśli wysyłamy tę listę mailem, to dobrze ją wysłać plikiem zabezpieczonym hasłem.

Co zrobić z listą po walnym zgromadzeniu?

M.G.: Trzymamy ją w spółce wraz z innymi dokumentami z walnego zgromadzenia akcjonariuszy.

A.K.: Taką listę i inne dokumenty z walnego zgromadzenia przetrzymujemy dopóki istnieje spółka, co wynika m.in. z przepisów dotyczących archiwizacji, przepisów podatkowych, rachunkowych czy też przepisów dot. emisji papierów wartościowych. Ponadto spółka może je przechowywać przez okres przedawnienia potencjalnych roszczeń określony przepisami prawa.

Na jakiej podstawie możemy powierzyć przetwarzanie danych osobowych?

M.G.: Artykuł 28 RODO wskazuje wprost, jakie mogą być dwie podstawy powierzenia przetwarzania danych. Są to umowa albo inny instrument prawny. Umowa jako podstawa powierzenia przetwarzania danych osobowych funkcjonowała już podczas obowiązywania poprzedniej ustawy o ochronie danych osobowych jako najbardziej podstawowy i najpopularniejszy sposób powierzenia przetwarzania. Z kolei „inny instrument prawny" to nowość.

Praktycznie każda spółka powierza dane osobowe, bo ciężko inaczej prowadzić duża firmę. RODO jedynie doprecyzowało, jak taka umowa powierzenia powinna wyglądać – ma ona m.in. wskazywać zakres przetwarzania, cel przetwarzania, przedmiot przetwarzania, kategorie danych, okres zawarcia umowy, obowiązki procesora, a także uprawnienia administratora. Procesor (przetwarzający) przetwarza dane osobowe w imieniu administratora, świadczy na rzecz administratora jakąś usługę i w związku z tym posiada dostęp do danych administratora. Działa tutaj na podstawie decyzji administratora, który określa, jakie dane są przetwarzane, w jaki sposób i w jakim celu. Podmiot przetwarzający realizuje przy tym interesy administratora – niejednokrotnie po prostu w ramach świadczenia przez siebie różnych usług. Administrator jest zobowiązany sprawdzać, czy powierzone dane są we właściwy sposób przetwarzane. Nie może też być tak, że procesor zostanie całkowicie zwolniony z odpowiedzialności za bezpieczeństwo danych osobowych.

Czy firma, która powierza przetwarzanie danych osobowych osobie, która prowadzi jednoosobową działalność gospodarczą, może dokonać tego poprzez upoważnienie?

M.G.: Sytuacja komplikuje się w przypadku osób samozatrudnionych (na podstawie działalności gospodarczej). Poglądy w tej materii są różne, pojawiają się stanowiska, że w przypadku, kiedy faktycznie mamy do czynienia z formą stałej współpracy, to możliwe będzie nadanie upoważnienia. W naszej ocenie bezpieczniej jest jednak zawrzeć umowę powierzenia przetwarzania danych. Oprócz bowiem umocowania kontraktora do przetwarzania danych w imieniu firmy, taka umowa stwarza możliwość przeniesienia na niego odpowiedzialności cywilnoprawnej, a tym samym powoduje skuteczne nałożenie obowiązku zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem czy też zniszczeniem. W naszej ocenie prosta forma upoważnienia do przetwarzania danych jest niewystarczająca do osiągnięcia tego celu. Aby upoważnienie realizowało ten cel, musiałoby szczegółowo określać te elementy, które i tak muszą się znaleźć w umowie powierzenia przetwarzania. Ponadto przyjęcie przez kontraktora odpowiedzialności nie może być jednostronną decyzją administratora. Konieczna jest zatem akceptacja tych zasad przez kontraktora. Zatem wracamy do konstrukcji umowy.

A.K.: Ponadto, jeśli zaczniemy zawierać upoważnienia z osobami, z którymi współpracujemy w formie B2B, to dostarczamy kolejny argument, że jest to pseudoetat. Usuwamy w tym przypadku jedną z przesłanek, które wymienia ustawa o podatku dochodowym od osób fizycznych i która decyduje o tym, że osoba jest samozatrudniona. Upoważnienia stosujemy bowiem dla osób, które funkcjonują w wewnętrznej strukturze spółki (czyli jej pracowników). Osoba samozatrudniona wykonuje usługi w ramach prowadzonej działalności gospodarczej, zatem pozostaje poza strukturą administratora danych osobowych, jest samodzielna i ponosi odpowiedzialność za swoje działania. Dlatego w naszej ocenie należy zawrzeć z nią umowę powierzenia przetwarzania danych osobowych.

Jak zidentyfikować największe zagrożenia dotyczące administrowania danymi osobowymi w spółce?

A.K.: To jest praca wielu osób w danej organizacji. Nie da się zrzucić tego na jedną osobę, np. na prawnika. Wdrażanie RODO to tygodnie, a nawet miesiące pracy. Przede wszystkim należy wyodrębnić procesy, zasoby oraz rodzaj przetwarzanych danych osobowych w przedsiębiorstwie. Ustalenie, jakie dane są przetwarzane, celu tego przetwarzania i jego zakresu, a także jakie procesy są w to przetwarzanie zaangażowane, to pierwszy krok. Trzeba odpowiedzieć sobie, czy nie przetwarzamy za dużo danych. Kolejny krok to zidentyfikowanie zagrożeń i podatności na te zagrożenia. Tu konieczna jest współpraca kilku działów w firmie. Następny etap to próba oszacowania skutków zagrożeń i prawdopodobieństwa ich wystąpienia. Kolejno, we współpracy z IT i działem prawnym należy stworzyć mapę ryzyka i opracować plan postępowania z ryzykiem. Efektem tej wieloetapowej pracy powinno być stworzenie kompleksowej dokumentacji ochrony danych. Nie można przy tym zapomnieć, że te działania będą miały sens tylko wtedy, jeśli równocześnie firmy będą szkolić pracowników w tym zakresie oraz wprowadzać odpowiednie zabezpieczenia techniczne. Ochrona danych osobowych to nie może być wiedza tajemna, dostępna tylko dla nielicznych pracowników firmy. To często skomplikowane procedury, które muszą być doskonale przyswojone i rozumiane przez pracowników. Tylko w ten sposób jesteśmy w stanie zapewnić prawdziwą ochronę danych w naszej firmie. Po raz kolejny należy podkreślić, że wdrażanie RODO to proces ciągły, a jednym z największych ryzyk naruszenia RODO jest złe przeszkolenie pracowników lub ich nieprzeszkolenie w ogóle. To jest także proces okresowego testowania, aktualizacji i ulepszania stosowanych zabezpieczeń technicznych i informatycznych.

UODO nie pozostawia nas samych z problemami wdrożenia RODO. Obszary, które wymagają jeszcze wytężonej pracy to m.in: nieodpowiedni poziom zabezpieczeń technicznych i informatycznych, nieprawidłowe realizowanie obowiązku informacyjnego – niezrozumiały język, zbyt obszerne klauzule, brak przejrzystości procesu przetwarzania danych osobowych. Kolejne elementy to nadmiarowość przetwarzania danych i powracająca po raz kolejny obligatoryjność przy zgodzie marketingowej. Warto też zauważyć, że UODO rekomenduje zwrócenie większej uwagi na prawidłowe zidentyfikowanie zagrożeń związanych z przetwarzaniem danych.

Agata Kowalska

Dla spółki istotne jest to, aby w sposób prawidłowy zrealizować obowiązek informacyjny wobec osób, których dane osobowe przetwarza. Takie klauzule informacyjne należy umieszczać każdorazowo w ogłoszeniu o walnym. Rekomendujemy umieścić taką klauzulę na stałe także na stronie internetowej spółki. RODO szczegółowo reguluje, jakie informacje powinny się znaleźć w tej klauzuli informacyjnej. W przypadku spółek giełdowych ważne jest, aby poinformować akcjonariuszy, pełnomocników czy też insiderów, jakie są podstawy prawne przetwarzania ich danych osobowych.

Magdalena Golonka

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: PARKIET

Akademia inwestycyjna
Beata Stelmach, przewodnicząca rady nadzorczej, Stowarzyszenie Emitentów Giełdowych
Inwestycje
Trzy warstwy regulacji
Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę
Materiał Promocyjny
Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę
https://track.adform.net/adfserve/?bn=77855207;1x1inv=1;srctype=3;gdpr=${gdpr};gdpr_consent=${gdpr_consent_50};ord=[timestamp]
prof. UW dr hab. Michał Królikowski adwokat, partner zarządzający, KMD.Legal
Inwestycje
Business Judgement Rule
Karol Maciej Szymański, partner zarządzający w Kancelarii RKKW
Inwestycje
Jak przeprowadzić spółkę przez spór korporacyjny?
adw. Karolina Chrószcz Sołtysiński Kawecki & Szlęzak
Inwestycje
Porozumienia akcjonariuszy w spółkach publicznych
Cyfrowe narzędzia to podstawa działań przedsiębiorstwa, które chce być konkurencyjne
Materiał Promocyjny
Cyfrowe narzędzia to podstawa działań przedsiębiorstwa, które chce być konkurencyjne
Kamil Sarnecki adwokat, counsel, Wardyński i Wspólnicy
Inwestycje
Transakcje M&A z udziałem spółki publicznej
Adrian Andrychowski adwokat, Counsel w Zespole Sporów Korporacyjnych i Komercyjnych w kancelarii JDP
Inwestycje
Unikanie sporów potransakcyjnych
e-Wydanie
Forum