RODO będzie miało zastosowanie przede wszystkim do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostki organizacyjne administratorów danych lub podmiotów przetwarzających w Unii Europejskiej. Krąg podmiotów, do których nowe przepisy znajdą zastosowanie będzie zatem również obejmował firmy doradcze, w tym w adwokatów, radców prawnych, rzeczników patentowych, doradców podatkowych czy też biegłych rewidentów. RODO nie przewiduje w tym zakresie specjalnych wyłączeń.

Ochrona danych osobowych nie jest niczym nowym
Podobnie zresztą było na gruncie obowiązujących przepisów  polskiej ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, które przewidywały tylko zwolnienie z obowiązku rejestracji zbioru danych dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta. Nie oznaczało to bynajmniej, że takich podmiotach nie ciążyły inne obowiązki nakładane przez przepisy ustawy, w szczególności związane z zapewnieniem legalności przetwarzanych danych, środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych oraz prowadzeniem wymaganej dokumentacji.

Takie podmioty w toku prowadzonej działalności gospodarczej przetwarzają różnego rodzaju kategorie danych osobowych.  W szczególności będą dane związane z zatrudnieniem, usługami świadczonymi na rzecz takich podmiotów oraz przez takie podmioty (np. dane klientów lub potencjalnych klientów). Do wszystkich tych kategorii danych osobowych znajdą zastosowanie przepisy RODO. Co istotne, RODO nie uchyla dalej idących obowiązków, które mogą nakładać na poszczególne kategorie podmiotów przez właściwe ustawy korporacyjne, w szczególności w odniesieniu do danych objętych tajemnicą zawodową.

Nowe regulacje to nowe obowiązki
W wielu istotnych aspektach RODO odchodzi od rozwiązań przyjmowanych na gruncie aktualnie obowiązujących przepisów Państw Członkowskich, a więc również polskiej ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych i wydanych na jej podstawie aktów wykonawczych. W szczególności RODO przyznaje szereg nowych uprawnień osobom, których dane dotyczą (np. prawo do przenoszenia danych, prawo do bycia zapomnianym), nakładając jednocześnie nowe wymogi i obowiązki związane z przetwarzaniem danych na administratorów danych i podmioty przetwarzające.

Każdy przypadek będzie indywidualny
Co istotne, nie istnieje jedna, uniwersalna metoda pozwalająca na dostosowanie się do wymagań wynikających z RODO w każdym przedsiębiorstwie. Założeniem RODO jest bowiem podejście oparte na ryzyku (risk-based approach), zgodnie z którym to rolą administratora danych będzie ocena pod względem ryzyka poszczególnych procesów przetwarzania danych, zdefiniowania i skwantyfikowania tego ryzyka na poszczególnych etapach przetwarzania danych oraz wdrożenia odpowiednich środków zabezpieczających – technicznych i organizacyjnych.

Opisane obowiązki pojawiają się już na etapie projektowania procesów przetwarzania danych (zasada privacy by design). Domyślnie z kolei powinny być przetwarzane wyłącznie te dane osobowe, które są niezbędne w stosunku do każdego konkretnego celu przetwarzania (zasada privacy by default).

W rezultacie RODO odchodzi dotychczasowego podejścia, zgodnie z którym ustawodawca w sposób dość szczegółowy określał środki zabezpieczające, jakie powinni wdrożyć administratorzy danych. Ustawodawca unijny wskazał jedynie na dużym poziomie ogólności wyłącznie przykładowe środki służące zapewnieniu bezpieczeństwa danych. Ich konkretyzacja pozostawiona jest w każdym przypadku administratorowi danych.

RODO będzie wyzwaniem
Z tej przyczyny zapewnienie zgodności z wymogami wynikającymi z RODO dla wielu podmiotów może okazać się wyzwaniem.

Wymagane będzie przeprowadzenie procesu wdrożenia RODO w sposób przemyślany, w oparciu o uprzednią analizę procesów przetwarzania danych w przedsiębiorstwie. Bez takiej analizy nie da się bowiem często określić z jakimi ryzykami związanymi z przetwarzaniem danych mamy do czynienia oraz czy poszczególne obowiązki wynikające z RODO znajdą swoje zastosowanie oraz w jakim zakresie niezbędne jest wprowadzenie zmian. Przykładem może być obowiązek prowadzenia rejestru czynności przetwarzania, który nie ma zastosowania do przedsiębiorcy zatrudniającego mniej niż 250 osób, chyba że przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje tzw. wrażliwe dane osobowe. Również od oceny administratora danych zależeć będzie czy w konkretnym przypadku powstanie obowiązek dokonania oceny skutków dla ochrony danych (privacy impact assessment), przeprowadzenia uprzednich konsultacji z organem nadzoru czy też wyznaczenia inspektora ochrony danych (dotychczasowy: administrator bezpieczeństwa informacji).

Co istotne, zgodnie z zasadą rozliczalności, to na administratorze danych ciążyć będzie obowiązek wykazania, że zastosowane przez niego środki są zgodne z przepisami RODO, adekwatne oraz skuteczne.

Konieczne procedury i regulacje wewnętrzne
W świetle tego konieczne staje się wdrożenie w przedsiębiorstwie odpowiednich procedur i regulacji wewnętrznych oraz prowadzenia kompleksowej, rzetelnej dokumentacji z tym związanej, również w sytuacji gdy samo RODO takiego obowiązku wprost na danego administratora danych. Dotyczy to w szczególności powołania inspektora ochrony danych (jako osoby prowadzącej kompleksowy nadzór nad przetwarzaniem danych), prowadzenia rejestru czynności przetwarzania (dającego ogólny ogląd procesów przetwarzania danych w przedsiębiorstwie, w tym stosowanych środków zabezpieczenia), wdrożenia efektywnej procedury notyfikowania potencjalnych naruszeń (w związku z obowiązkiem zgłaszania naruszeń danych osobowych organowi nadzorczemu), prowadzenia ewidencji osób upoważnionych do przetwarzania danych czy też wprowadzenia obowiązku stosowania standardowych klauzul w umowach, na mocy których dochodzi do powierzenia przetwarzania danych.
Wykazanie wywiązywania się z obowiązków wynikających z RODO będzie możliwe m.in. w ramach procesu certyfikacji lub poprzez stosowanie zatwierdzonych przez organ nadzoru kodeksów postępowania opracowanych przez zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów danych. Szczegółowe procedury z tym związane będą przedmiotem krajowej ustawy o ochronie danych osobowych, wdrażającą w ograniczonym zakresie RODO do polskiego porządku prawnego. Niestety na dzień dzisiejszy projekt ustawy wciąż nie trafił do Sejmu, a więc skorzystanie z opisanych rozwiązań przed 25 maja 2018 r. może okazać się w praktyce niemożliwe.

Natomiast skorzystanie z opisanych mechanizmów firmy doradcze powinny na pewno rozważyć w przyszłości. Zgodnie RODO, administrator danych powierzając przetwarzanie danych korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi wynikające z RODO i chroniło prawa osób, których dane dotyczą. Tym samym posiadanie certyfikatu lub stosowanie się do zatwierdzonego kodeksu postępowania może stanowić element przewagi konkurencyjnej.
Polski organ nadzoru pracuje również nad niewiążącym zestawem wytycznych dotyczących konkretnych rozwiązań i instrumentów ogólnego rozporządzenia, jednakże dokładna data ich publikacji nie jest znana.

Marcin Kroll, adwokat, rzecznik patentowy, wspólnik w kancelarii act BSWW

RODO. Ogólne rozporządzenie o ochronie danych. Komentarz >>