Przedsiębiorcy przetwarzający dane osób powinni już podjąć odpowiednie kroki organizacyjno-prawne, aby w połowie przyszłego roku móc stosować nowe regulacje o ochronie danych osobowych. Problem jednak w tym, że wielu przedstawicieli biznesu bagatelizuje temat, nie zdając sobie sprawy z powagi sytuacji i możliwych konsekwencji – również finansowych.

Pozostało mniej niż 12 miesięcy do rozpoczęcia stosowania ogólnego rozporządzenia o ochronie danych (RODO), zastępującego dotychczasową krajową ustawę o ochronie danych osobowych z 29 sierpnia 1997 r. Do 25 maja 2018 r. przedsiębiorcy przetwarzający dane osób przebywających na terenie Unii powinni podjąć odpowiednie kroki organizacyjno-prawne wymagane przez RODO. Dla wielu przedsiębiorców zadanie to może się jednak okazać poważnym wyzwaniem. RODO wprowadza bowiem wiele nowych rozwiązań, które z jednej strony mają zapewnić wysoki, spójny i uwzględniający postęp technologiczny stopień ochrony osób fizycznych w całej Unii, z drugiej ułatwić swobodny przepływ danych osobowych między państwami członkowskimi. Ponadto dotychczasowe podejście, często bagatelizujące ochronę danych, sprawia, że wielu przedsiębiorców w dalszym ciągu nie uświadamia sobie konsekwencji związanych z wejściem w życie RODO. Sam zaś hermetyczny język RODO powoduje, że w praktyce przedsiębiorcy stają przed wieloma dylematami interpretacyjnymi, z którymi muszą się zmierzyć, aby uniknąć milionowych kar administracyjnych. Dobrym tego przykładem jest art. 37 RODO, który ustanawia dwa przypadki obowiązkowego wyznaczenia inspektora ochrony danych (odpowiednik obecnego administratora bezpieczeństwa informacji) przez administratora danych lub podmiot przetwarzający w sektorze prywatnym.

Dla kogo obowiązkowo

Podmiot niepubliczny, który pełni rolę administratora danych osobowych lub podmiotu przetwarzającego ma obowiązek wyznaczenia inspektora ochrony danych w dwóch przypadkach.

Po pierwsze, gdy jego główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę (art. 37 ust. 1 lit. b).

Po drugie, gdy główna działalność polega na przetwarzaniu tzw. danych wrażliwych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa (art. 37 ust. 1 lit. c). Oba przypadki odwołują się do bliżej nieokreślonych pojęć „głównej działalności” oraz „dużej skali”, co w praktyce może być źródłem wielu trudności interpretacyjnych.

Główna działalność

RODO wyjaśnia jedynie, że przetwarzanie danych osobowych jest dla przedsiębiorcy główną działalnością, jeżeli stanowi to dla niego zasadniczą, a nie poboczną czynność (motyw 97 Preambuły). Bez wątpienia można zatem stwierdzić, że m.in. biura informacji gospodarczej oraz biura pośrednictwa pracy będą należeć do grupy podmiotów, dla których przetwarzanie danych jest czynnością zasadniczą w rozumieniu art. 37 ust. 1 lit. b. Z kolei obowiązek wyznaczenia inspektora ochrony danych na podstawie art. 37 ust. 1 lit. c będzie dotyczyć m.in. podmiotów wykonujących działalność leczniczą lub laboratoriów analitycznych.

W odniesieniu do przesłanki „głównej działalności” wydaje się, że poważne trudności interpretacyjne mogą mieć przedstawiciele branży e-commerce. Zasadniczą działalnością typowych sklepów internetowych jest bowiem sprzedaż towarów, a nie przetwarzanie danych osobowych klientów. Dane osobowe klientów stanowią niezbędny, aczkolwiek w dalszym ciągu poboczny element tego typu działalności. Czy ta niezbędność przetwarzania ma zatem wpływ na obowiązek powołania inspektora ochrony danych w firmie?

Jako że RODO nie daje jednoznacznych odpowiedzi w kontekście pojęcia „podstawowej działalności,” to Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych zwana Grupą Roboczą art. 29 przyjęła 13 grudnia 2016 r. wytyczne dotyczące inspektorów ochrony danych. Sugerują one, aby „głównej działalności” nie interpretować w sposób wyłączający działalności w zakresie przetwarzania danych, która jest nierozerwalnie związana z działalnością główną. W efekcie wydaje się, że przedsiębiorcy prowadzący sklep internetowy powinni wyznaczyć inspektora ochrony, skoro przetwarzanie danych klientów stanowi nierozerwalny element biznesu. Jednocześnie proponowane przez Grupę Roboczą art. 29 szerokie ujęcie „głównej działalności” sprawia, że obowiązkiem powołania inspektora ochrony danych może być objęta dość spora grupa przedsiębiorców, w tym małych i średnich.

Warto podkreślić, że o istnieniu „głównej działalności” nie rozstrzyga wyłącznie kod PKD przedsiębiorcy. W niektórych przypadkach może bowiem dojść do konieczności wyznaczenia inspektora ochrony danych na skutek faktycznych działań. Przykładowo w sytuacji spersonalizowanej kampanii marketingowej będziemy mieli do czynienia z regularnym oraz systematycznym monitorowaniem osób. Ponadto o konieczności wyznaczenia inspektora rozstrzygać będzie duża skala przetwarzania danych.

Duża skala przetwarzania

Zdając sobie sprawę z niejasnego charakteru pojęcia „dużej skali”, projekt RODO sporządzony przez Parlament Europejski przewidywał kryterium kwantytatywne, tj. przetwarzanie danych osobowych powyżej 5000 osób w ciągu roku, jako odpowiednik dużej skali. Pomysł ten nie został jednak przyjęty w ostatecznej wersji RODO. Dodatkowo pojęcie „dużej skali” nie zostało zdefiniowane, aczkolwiek jego istotę pośrednio przybliżono w motywie 91 Preambuły. Z jednej strony o „dużej skali” wspomina się w kontekście przetwarzania znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym, co może wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko. Z drugiej strony, przetwarzanie danych nie powinno być uznawane za przetwarzanie na „dużą skalę”, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.

Wydaje się jednak, że wyjaśnienia zawarte w motywie 91 Preambuły w dalszym ciągu nie dają jasnych odpowiedzi na wiele praktycznych pytań. Stąd Grupa Robocza art. 29 sugeruje, aby w tym zakresie brać pod uwagę: liczbę osób, których dane dotyczą, zakres przetwarzanych danych, okres, przez jaki są przetwarzane, oraz zakres geograficzny.

Chociaż Grupa Robocza art. 29 przytacza wiele przykładów dużej skali, np.: przetwarzanie danych przez bank, zakład ubezpieczeniowy, dostawcę usług telefonicznych lub internetowych, danych pacjentów przez szpital, osób korzystających ze środków komunikacji miejskiej przy użyciu tzw. kart miejskich; danych geolokalizacyjnych w czasie rzeczywistym przed wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych, wciąż brak jasności, kiedy występuje „duża skala”, np. w przypadku branży e-commerce.

Czy zatem przetwarzanie przez kilka lat danych osobowych poniżej 5000 klientów rocznie, będących rezydentami jednego lub dwóch państw członkowskich, które są niezbędne do wykonania umowy sprzedaży na odległość oraz usług marketingu bezpośredniego sprzedawcy internetowego zatrudniającego mniej niż 250 pracowników stanowi postać „dużej skali” przetwarzania?

Dylematy biznesu

Rozstrzygnięcie kwestii, czy dany przedsiębiorca ma obowiązek powołania w firmie inspektora ochrony danych, może się okazać szczególnie problematycznie dla przedsiębiorców średniej wielkości. Zlekceważenie zaś tego ustalenia może z kolei stanowić ryzyko nałożenia administracyjnej kary pieniężnej w wysokości do 10 000 000 euro lub w wysokości do 2 proc. całkowitego rocznego światowego obrotu z poprzedniego obrotu (zastosowanie ma kwota wyższa). Na etapie wdrażania nowych rozwiązań RODO warto zatem przyjrzeć się przesłankom obowiązkowego wyznaczenia inspektora ochrony danych. Przy ocenie zaś konieczności jego powołania, w pierwszej kolejności warto ustalić poziom ryzyka i zagrożenia dla naruszenia praw osób fizycznych, jakie niesie za sobą przetwarzanie danych u danego przedsiębiorcy. W końcu chodzi tutaj bowiem o ochronę danych osobowych osób fizycznych.

Autor jest menedżerem w dziale doradztwa podatkowego BDO, biuro w Poznaniu.