RODO: trzeba trzymać rękę na pulsie

Uchwalona 10 maja br. ustawa o ochronie danych osobowych zapewnia warunki do stosowania przepisów RODO w Polsce. Jednym z efektów jej obowiązywania jest powołanie nowego organu nadzorczego w postaci Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Ustawa określa jego kompetencje, uprawnienia i obowiązki. Reguluje również zasady prowadzenia przez niego postępowania w sprawach naruszenia przepisów o ochronie danych osobowych. Z punktu widzenia przedsiębiorców istotne są także pozostałe zapisy ustawy.

– Można wskazać kilka najważniejszych grup takich regulacji, które znajdą zastosowanie w zależności od konkretnej sytuacji związanej z wypełnianiem obowiązków dotyczących ochrony danych osobowych. Trzeba przy tym pamiętać, że wszystkie te przepisy obowiązują nie tylko administratorów, lecz także podmioty przetwarzające dane, a więc tzw. procesorów – mówi dr Joanna Łuczak-Tarka, prawnik w Kancelarii Radców Prawnych Lubasz i Wspólnicy, adiunkt na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego.

Podmioty prowadzące działalność gospodarczą, które muszą lub chcą powołać inspektora ochrony danych osobowych (IODO), powinny zwrócić uwagę na przepisy rozdziału drugiego ustawy o ochronie danych osobowych. Dotyczą one właśnie sposobu wyznaczania inspektora oraz powiadamiania Prezesa Urzędu Ochrony Danych Osobowych o jego powołaniu. Przypadki, w których administrator i podmiot przetwarzający dane mają obowiązek powołania inspektora, są określone w art. 37 RODO.

Z kolei dla firm, wobec których zostaną podjęte działania kontrolne, szczególne znaczenie będą miały przepisy rozdziału dziewiątego. Określają one m.in., kto może taką kontrolę prowadzić, w jaki sposób ma się ona odbywać, co powinien zawierać protokół pokontrolny.

Przedsiębiorcy, którzy myślą o uzyskaniu potwierdzenia zgodności swoich działań z RODO, będą zainteresowani przepisami dotyczącymi warunków i trybu udzielania certyfikatów (rozdział czwarty). Akredytacji podmiotom ubiegającym się o uprawnienia do prowadzenia certyfikacji będzie udzielać Polskie Centrum Akredytacji.

Ustawa zawiera również przepisy określające zasady opracowywania i zatwierdzania kodeksów postępowań zgodnych z RODO. Wskazuje przy tym warunki oraz tryb akredytacji podmiotów monitorujących przestrzeganie zatwierdzonych przez PUODO kodeksów.

Nie tylko ustawa

Ustawa o ochronie danych osobowych, chociaż wprowadza RODO do polskiego systemu prawnego, nie jest jedynym rodzimym aktem prawnym, który określa zasady postępowania w zakresie ochrony danych osobowych.

– Regulacje krajowe inne niż ustawa o ochronie danych osobowych tworzą przede wszystkim szczegółowy katalog przypadków, w jakich przetwarzanie danych jest dopuszczalne – mówi Joanna Łuczak-Tarka.

Chodzi o wskazanie danych, których przetwarzanie jest niezbędne do wypełnienia obowiązków wynikających z przepisów prawa lub, jak w przypadku danych wrażliwych, do wypełnienia obowiązków i respektowania szczególnych praw w określonych dziedzinach życia (na przykład prawo pracy czy zabezpieczenie społeczne). RODO traktuje je jako dane szczególnej kategorii (art. 9) i zasady ich przetwarzania opiera na innych przesłankach legislacyjnych niż przetwarzanie danych zwykłych (art. 6). W konsekwencji obowiązki czy uprawnienia, w przypadku których niezbędne jest przetwarzanie danych, są określone w innych przepisach niż ustawa o ochronie danych osobowych.

Przykładem może być Kodeks pracy wprowadzony ustawą z dnia 26 czerwca 1974 r. Zawiera on katalog danych, jakie pracodawca może pozyskać od kandydata do pracy lub pracownika. Ich gromadzenie nie wymaga zgody osoby, której dotyczą. Chyba że firma zatrudniająca, będąca administratorem danych, chciałaby wykorzystać zebrane CV także na potrzeby kolejnych rekrutacji.

Zmiany, zmiany, zmiany…

Z wprowadzeniem w życie nowego prawa wiąże się zazwyczaj nowelizacja mniejszej lub większej ilości obowiązujących już regulacji. Ustawa o ochronie danych osobowych zmienia przepisy ponad 40 innych ustaw. W sporej części są to zmiany o charakterze proceduralnym, wynikające z zastąpienia Generalnego Inspektora Ochrony Danych Osobowych (GIODO) Prezesem Urzędu Ochrony Danych Osobowych (PUODO). Pozostałe mogą mieć jednak kluczowe znaczenie dla sposobu przetwarzania danych osobowych i administratorzy powinni zwrócić na nie szczególną uwagę.

– Ze względu na skalę zastosowania firmy powinny w pierwszej kolejności zapoznać się z nowelizacją Kodeksu pracy. Dotyczy ona możliwości stosowania przez pracodawcę monitoringu wizyjnego, monitoringu poczty elektronicznej oraz innych form monitoringu – podkreśla Joanna Łuczak-Tarka.

Nowo dodane artykuły 22² i 22³ określają dopuszczalny cel stosowania takich narzędzi, sposób ich wprowadzenia oraz okresy retencji danych. Doprecyzowują także obowiązki informacyjne związane z ich wykorzystaniem.

W planach są również kolejne zmiany w wielu innych przepisach sektorowych. Z powodu powszechnego już dzisiaj wykorzystywania narzędzi informatycznych do działań marketingowych warto przyjrzeć się regulacjom dotyczącym świadczenia usług drogą elektroniczną. Trzeba też zwrócić uwagę na wymogi wynikające z Prawa telekomunikacyjnego. Przygotowywane są propozycje nowelizacji w obu tych obszarach.

Administratorzy danych osobowych powinni z uwagą śledzić przebieg procesu legislacyjnego. Czekają nas bowiem kolejne ważne modyfikacje również innych przepisów sektorowych. Przewiduje się, że pakiet legislacyjny przygotowany w formie Projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 – powinien zostać uchwalony do końca trzeciego kwartału tego roku.

Potrzebne są wytyczne

Ważną rolę w praktyce stosowania RODO mają odgrywać rekomendacje, wytyczne, kodeksy dobrych praktyk. Na razie jednak trudno się do nich odwołać, gdyż dopiero zaczynają być tworzone. Czym w takiej sytuacji może się na razie posiłkować firma, która chce w swych działaniach dochować staranności w zapewnieniu zgodności z wymogami unijnego rozporządzenia?

– Z pewnością nadal warto sięgać po wytyczne Grupy Roboczej Art. 29 ds. ochrony danych. Część z nich dotyczy bardzo ważnych dla administratorów zagadnień, takich jak ocena skutków dla ochrony danych, posługiwanie się zgodą na przetwarzanie jako przesłanką legalizującą czy zgłaszanie naruszeń ochrony danych – radzi Joanna Łuczak-Tarka.

W codziennej pracy – zarówno dla administratorów, jak i procesorów – mogą być również przydatne wyniki pracy Grupy Roboczej ds. Ochrony Danych Osobowych powołanej przy Ministerstwie Cyfryzacji. Grupa ta, w ramach pięciu zespołów, przygotowuje przewodnik zawierający odpowiedzi na najczęściej pojawiające się pytania związane ze stosowaniem RODO w praktyce. Ministerstwo Cyfryzacji zapowiada, że będzie on miał przystępną formę i ukaże się lada chwila.

– Poza tym czekamy (zarówno administratorzy, podmioty danych, jak i eksperci) na bardziej zdecydowane i widoczne działania Prezesa UODO dotyczące sposobu interpretacji przepisów RODO, np. w postaci listy dobrych praktyk – mówi Joanna Łuczak-Tarka.

Potrzeby w tym zakresie, jak ocenia rozmówczyni CRN Polska, są ogromne.

Certyfikat ułatwi wybór

W przyszłości wybór rozwiązań zapewniających spełnienie wymogów RODO z pewnością ułatwią przewidziane w ustawie o ochronie danych osobowych certyfikaty. Ich posiadanie może też być argumentem w postępowaniu przed UODO. Poddanie się procesowi certyfikacji ma być działaniem dobrowolnym i z założenia przynieść podmiotom, które go przejdą, korzyści o charakterze biznesowym lub wizerunkowym. Ma być potwierdzeniem legalności i rzetelności działań dokonywanych na danych osobowych. Prawdopodobnie w przyszłości jednym z istotnych kryteriów przy poszukiwaniu do współpracy partnerów biznesowych będzie właśnie to, czy pomyślnie przeszli proces certyfikacji.

– Probiznesowy charakter tego instrumentu powoduje, że zgodnie z ustawą o ochronie danych osobowych o uzyskanie certyfikatu mogą wystąpić nie tylko administratorzy, podmioty przetwarzające, ale także producenci oraz podmioty wprowadzające na rynek nową usługę czy produkt. Co więcej, taki certyfikat może stać się także swoistym znakiem jakości dla konsumentów – ocenia Joanna Łuczak-Tarka.

Okazanie certyfikatu może mieć też kluczowe znaczenie w przypadku kontroli ze strony Urzędu Ochrony Danych Osobowych. Zgodnie bowiem z art. 83 RODO organ nadzorczy musi również uwzględnić fakt posiadania certyfikatu przy podejmowaniu decyzji, czy i w jakiej wysokości nałożyć na kontrolowany podmiot administracyjną karę pieniężną. W jakim stopniu okoliczność ta będzie ostatecznie wpływała na niestosowanie przez prezesa UODO tej kary czy znaczące obniżenie jej wysokości, okaże się w praktyce.

Z pewnością jednak w interesie firm dostarczających rozwiązania i usługi związane z przetwarzaniem danych osobowych będzie leżało staranie się o przewidziane w ustawie certyfikaty. Mogą one bowiem zwiększać przewagę konkurencyjną przedsiębiorstw. Ich posiadanie może być istotnym argumentem w negocjacjach z potencjalnym klientem.