28 stycznia przypada Europejski Dzień Ochrony Danych Osobowych. To dobry moment, by przyjrzeć się temu, jak niemal 7 lat temu wejście w życie przepisów RODO* wpłynęło na rzeczywistość związaną z przetwarzaniem danych osobowych w Polsce.

Data 24 maja 2018 roku – wcale nie tak wyczekiwana

Dzień rozpoczęcia obowiązywania RODO wielu przedsiębiorcom spędzał sen z powiek. Powodem był przede wszystkim ogrom gromadzonych dotychczas danych bez właściwej podstawy prawnej, brak procedur oraz brak wypracowanej praktyki, orzecznictwa i interpretacji nowych przepisów. Część firm podjęła działania związane z wdrożeniem RODO z kilkumiesięcznym wyprzedzeniem, podczas gdy inni w ostatniej chwili nabywali gotowe wzory dokumentów w nadziei, że zagwarantują one terminowe spełnienie nowych wymogów.

Praktyki wdrażania RODO

Firmy, które ograniczyły się jedynie do kupienia szablonów dokumentów, wciąż stoją w tym samym miejscu, w którym były przed rozpoczęciem obowiązywania RODO. Bez rzetelnego zmapowania procesów, przejrzenia baz danych czy analizy i oceny ryzyka przetwarzania, gotowe wzory nie przyniosą większej korzyści. W takich przypadkach wdrożenie zasad ochrony danych osobowych trzeba więc rozpoczynać niemal od zera. Problem ten dotyczy szczególnie dużych organizacji, które często nie mają świadomości zarówno skali przetwarzanych danych, jak i sposobu ich udostępniania innym podmiotom (np. spółkom w ramach grupy).

Współadministrowanie danymi

Jednym z istotnych zagadnień stał się rozwój instytucji współadministrowania danymi osobowymi. Początkowo zawierano masowo umowy powierzenia przetwarzania danych osobowych ze wszystkimi podmiotami – niekiedy nawet z firmami sprzątającymi, które teoretycznie mogły mieć wgląd w dokumenty podczas sprzątania. Tymczasem w takim przypadku skuteczniejszym rozwiązaniem byłoby przede wszystkim odpowiednie zabezpieczenie danych i zobowiązanie pracowników firmy sprzątającej do zachowania poufności.

Natomiast koncepcja współadministrowania (art. 26 RODO), choć początkowo budziła ostrożność, zyskała obecnie na popularności, zwłaszcza w grupach kapitałowych, w których dwa lub więcej podmiotów wspólnie ustalają cele i sposoby przetwarzania danych. Jednocześnie pojawiają się jednak sytuacje, gdy korzystanie ze wspólnej bazy danych nie oznacza wcale współadministrowania, lecz występowanie odrębnych administratorów. Każdy przypadek wymaga zatem indywidualnej i pogłębionej analizy, bez automatycznego stosowania jednolitych wzorców.

Podstawy prawne przetwarzania

RODO znacząco zmieniło także podejście do podstaw prawnych przetwarzania (art. 6 RODO). Przed jego wejściem w życie dane zbierano zwykle bez szczególnej refleksji, a zakup gotowych baz danych nie należał do rzadkości. Po 24 maja 2018 roku okazało się jednak, że wiele z tych baz jest praktycznie bezużytecznych z uwagi na brak informacji o podstawach ich zebrania. Dotknęło to szczególnie branżę marketingową, która stanęła przed pytaniem, czy dane da się dalej wykorzystywać. Dyskusja, czy w przypadku marketingu bezpośredniego wystarczającą podstawą może być uzasadniony interes administratora, czy też konieczna jest zgoda, wciąż trwa.

Częstym zjawiskiem stało się także pozyskiwanie od klientów i kontrahentów zgód na przetwarzanie. W wielu przypadkach okazują się one jednak niepotrzebne – przykładowo przy zawieraniu umowy na usługi prawne wystarczającą podstawą przetwarzania jest realizacja umowy, której stroną jest osoba, której dane dotyczą. Gromadzenie zgód może być przy tym bardziej kłopotliwe, ponieważ wymaga ich ewidencjonowania, a także rejestrowania każdego wycofania zgody.

Doradztwo prawne Accace Legal

W kancelarii prawnej Accace Legal pomagamy przedsiębiorcom w przeprowadzaniu audytów dotyczących ochrony danych osobowych, opracowywaniu procedur oraz dokumentacji zgodnej z RODO. Prowadzimy także szkolenia dla firm i pracowników. W przypadku zainteresowania naszymi usługami zapraszamy do kontaktu.

r. pr. Agnieszka Samborska

Partner

Skontaktuj się z nami