Compliance RODO w grupach kapitałowych z uwzględnieniem aspektów lokalnych

Artykuł współautorski: Agata Marcinkowska oraz Adrianna Żyrek

Artykuł stworzony w ramach projektu #ForumBK – RODO w grupach kapitałowych [English abstract at the bottom of the page]

Istota „compliance” sprowadza się do zarządzania zgodnością z określonymi normami, w tym przepisami prawa, w przedsiębiorstwach lub w grupach przedsiębiorstw. W wielu przypadkach wskazane jest, aby system taki obejmował obszar przetwarzania danych osobowych, jako że zasadniczo będzie to odpowiadało na wymagania stawiane przez RODO w zakresie obowiązku wdrożenia odpowiednich środków organizacyjnych, tj. „adekwatnych do oceny ryzyka” i projektowania samych procesów w organizacji z uwzględnieniem zasad ochrony prywatności. W grupach przedsiębiorstw wdrożenie systemu compliance stanowi jednak praktyczne wyzwanie choćby ze względu na liczbę podmiotów, które należy uwzględnić opracowując taki system i niekiedy międzynarodowy charakter ich działalności. Dlatego ważne jest, aby prawidłowo zaprojektować system compliance dla danej grupy kapitałowej, z uwzględnieniem jej specyfiki (w tym różnych lokalnych odrębności), a następnie skutecznie go wdrożyć oraz, co równie istotne, zapewnić jego stosowanie w praktyce.

Compliance RODO – czym jest i czemu służy?

W pierwszej kolejności warto sobie zadać pytanie czym właściwie jest compliance RODO w grupie kapitałowej, tj. jakie standardowo czynności, instrumenty lub narzędzia biznesowo-prawne wchodzą w zakres tego pojęcia  i jaki jest jego cel.

W ujęciu generalnym compliance RODO to system zarządzania zgodnością, a więc pewien zestaw mechanizmów i działań mających na celu zapobieganie powstawaniu w organizacji nieprawidłowości polegających na niezgodności z przepisami z zakresu ochrony danych osobowych, a w konsekwencji zapobieganie powstaniu odpowiedzialności samej organizacji i jej kierownictwa (np. członków zarządu spółki) za niepożądane zachowania osób wchodzących w jej skład lub z nią współpracujących.

Czy RODO i compliance mają coś ze sobą wspólnego? W naszej ocenie jak najbardziej.

Taki wniosek wynika przede wszystkim z analizy treści art. 25 oraz 32 RODO. Pierwszy z tych przepisów wprowadza zasadę „uwzględniania prywatności w fazie projektowania” (privacy by design). Przepis ten, w naszej ocenie, może (i powinien) dotyczyć także projektowania procesów w organizacji. Przewiduje on, że: Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą. Drugi z wymienionych artykułów wprowadza podobny obowiązek – dotyczący zastosowania odpowiednich środków organizacyjnych celem zapewnienia adekwatnej ochrony danych osobowych, a więc uwzgledniających m.in. kontekst i cele przetwarzania danych oraz ryzyka naruszenia praw lub wolności osób fizycznych.

RODO, które opiera się na koncepcji risk-based approach (podejście oparte na ryzyku) w swoich przepisach przewiduje zatem „zachętę”, a w określonych przypadkach nawet obowiązek, w szczególności gdy jest to uzasadnione uprzednio przeprowadzoną oceną ryzyka w organizacji, do wdrożenia systemu zarządzania zgodnością z RODO w przedsiębiorstwie lub grupie przedsiębiorstw.

Biorąc pod uwagę powyższe, prawidłowo opracowany, a następnie stosowany w danej grupie kapitałowej system zarządzania zgodnością w obszarze RODO (compliance) może realizować ww. wymóg wdrożenia odpowiednich środków organizacyjnych wynikający z RODO, stąd jego wdrożenie – szczególnie w dużych, międzynarodowych grupach kapitałowych należy uznać za jeden z mechanizmów (środków, zwłaszcza organizacyjnych) służących zapewnieniu zgodności z RODO.

Jak wdrożyć system zarządzania zgodnością z RODO?

Wdrożenie systemu zarządzania zgodnością z RODO powinno przebiegać etapowo.

W pierwszej kolejności należy poznać podmioty, które mają być objęte systemem compliance, w tym ich strukturę, potrzeby i ryzyka, które wiążą się z prowadzoną przez nie działalnością. W obszarze RODO konieczne jest uwzględnienie m.in. takich aspektów jak struktura przepływu danych pomiędzy podmiotami z grupy oraz określenie roli (statusu) poszczególnych podmiotów z grupy, tj. określenie czy są one administratorem, współadministratorem albo podmiotem przetwarzającym. Innymi słowy, pierwszym krokiem powinien być więc audyt zmierzający do poznania organizacji i jej funkcjonowania.

W następnej kolejności, tj. po zebraniu ww. informacji, konieczne jest przeprowadzenie oceny ryzyka.

Warto przy tym wskazać, że przy wdrożeniu systemu zgodności z RODO podmiot wdrażający nie powinien skupiać się wyłącznie na aspekcie zgodności z przepisami ochrony danych osobowych (chociaż jest to oczywiście jeden z kluczowych obszarów audytu), ale także na znalezieniu w samej organizacji newralgicznych obszarów, które uniemożliwią lub utrudnią wdrożenie lub utrzymanie zgodności z przepisami RODO, jak również takich, które mogą generować naruszenia. Takie newralgiczne obszary wpływają na zwiększenie ryzyka naruszenia przepisów RODO, a ich istnienie (i ocena praktycznej możliwość ich eliminacji – nie zawsze może to być możliwe) powinno być brane pod uwag przy projektowaniu dla danej organizacji rozwiązań oraz mechanizmów zgodności. Bardzo często na poziomie formalnym wdrożenie rozwiązań zapewniających zgodność z RODO jest dużo łatwiejsze niż utrzymywanie takiej zgodności w praktyce. Przyczynami naruszeń przepisów o ochronie danych osobowych mogą być bowiem takie okoliczności jak błąd ludzki, sposób ukształtowania lub ulokowania relacji lub kompetencji w spółce (np. nieprecyzyjny podział kompetencji na linii Inspektor Ochrony Danych – dział prawny – compliance officer), brak przepływu informacji między zespołami.

Po przeprowadzeniu oceny ryzyka możliwe jest opracowanie zestawu rekomendacji co do zmian w samej organizacji, a także wewnętrznych mechanizmów zgodności (procedur), w tym dokumentacji które je opisują oraz opracowanie mechanizmów zapewnienia takiej zgodności w praktyce. Należy pamiętać, że w tym kontekście niezbędne jest formalne, „oficjalne” przyjęcie tak opracowanych mechanizmów w spółce lub w grupie przedsiębiorstw (np. odpowiednią uchwałą lub zarządzeniem), tak aby miały one charakter wiążący oraz zapoznanie pracowników, do których mechanizmy te są adresowane, z nowymi regulacjami.

Wybrane wewnętrzne „mechanizmy” compliance

Do wewnętrznych „mechanizmów” (elementów) compliance RODO w grupach kapitałowych można w szczególności zaliczyć dokumenty korporacyjne, w tym standardy, procedury, polityki, wymagania, normy etyczne adresowane zasadniczo do pracowników podmiotów należących do danej grupy.

 

Co istotne, takie dokumenty powinny być każdorazowo opracowywane oraz wdrażane przy zachowaniu zasad transparentności oraz rozliczalności, tj. treść w nich zawarta powinna być sformułowana w sposób jasny i czytelny dla odbiorców, a forma ich przekazu powinna odbywać się „oficjalnymi” kanałami komunikacyjnymi, tak aby odbiorca miał pewność, że są to dokumenty aktualne i wiążące oraz aby miał możliwość zapoznania się z nimi.

Ponadto, z takich dokumentów powinno jednoznacznie wynikać co najmniej:

  • jakich podmiotów dotyczą – np. całej grupy kapitałowej, jej określonej części lub konkretnych podmiotów
  • jaki jest ich prawnie wiążący charakter oraz jakie są konsekwencje naruszenia zawartych w nich reguł
  • jaka jest ścieżka eskalacji w przypadku ewentualnych problemów powstałych na tle ich stosowania
  • do kogo należy się zwrócić w przypadku wątpliwości co do ich treści i sposobu zastosowania

W celu skutecznego wdrożenia wewnętrznych „mechanizmów” compliance RODO w grupach kapitałowych rekomendowane są również działania szkoleniowe z zakresu ww. dokumentacji oraz generalnie ochrony danych osobowych dla osób, których obowiązki służbowe zakładają dostęp do danych osobowych lub których obowiązki służbowe mogą wpływać na procesy przetwarzania danych osobowych w organizacji.

Na tym etapie konieczne jest również wdrożenie i stosowanie narzędzi zapewnienia zgodności z RODO, m.in. poprzez:

  • określenie struktury podmiotów odpowiedzialnych za zapewnienia zgodności w obszarze RODO (w tym np. wyznaczenie lokalnych specjalistów ds. zgodności, utworzenie funkcji compliance oficer) – istotne jest przy tym jednoznaczne określenie struktury zarządzania zapewnienieniem zgodności, w tym precyzyjne rozdzielenie kompetencji podmiotów odpowiadających za zapewnienie zgodności zarówno na poziomie grupy kapitałowej, jak i na poziomie lokalnym, w tym precyzyjne określenie relacji między obowiązkami osób pełniących poszczególne funkcje (np. IOD/compliance officer/dział prawny/działy biznesowe)
  • zapewnienie odpowiedniej koordynacji i weryfikacji działań podmiotów z grupy, np. poprzez wyznaczenie wspólnego Inspektora Ochrony Danych (IOD) lub poszczególnych IOD-ów dla danych podmiotów
  • wprowadzenie systemu notyfikacji oraz zatwierdzeń (approvals) określonych działań na poziomie grupy i na poziomach lokalnych
  • prowadzenie cyklicznych szkoleń z zakresu ochrony danych osobowych oraz z zakresu wewnętrznego systemu compliance, w tym stosowanej dokumentacji i procedur
  • organizowanie cyklicznych kontroli lub audytów w wybranych obszarach objętych systemem zgodności
  • wprowadzenie systemu informowania o zidentyfikowanych nieprawidłowościach, umożliwiającego niezwłoczne podjęcie wymaganej interwencji.

Należy jednocześnie pamiętać, że w zależności od rodzaju oraz charakteru danej grupy kapitałowej oraz podmiotów wchodzących w jej skład, zakres działań w ramach compliance może się różnić, stąd wybór odpowiednich rozwiązań wymaga wcześniejszej analizy prawnej oraz biznesowej.

Lokalne aspekty przetwarzania danych osobowych

W kontekście działalności międzynarodowych grup kapitałowych konieczne jest respektowanie odrębności wynikających z lokalnych przepisów prawa.

Ten aspekt w praktyce często jest pomijany lub bagatelizowany.

Może się bowiem wydawać, że RODO w sposób wyczerpujący i jednolity ustanawia zasady przetwarzania danych osobowych. W rzeczywistości jednak tak nie jest. Poszczególne kraje objęte zastosowaniem RODO niekiedy w sposób odmienny na poziomie krajowym regulują lub doprecyzowują niektóre przepisy. Jako przykład można tu wskazać lokalne przepisy wdrażające RODO, a także przepisy pracownicze, w tym np. dotyczące dokumentacji pracowniczej lub rekrutacji kandydatów do pracy (zakres wymaganych danych lub czas archiwizacji danych pracowniczych może się różnić w różnych krajach), jak również przepisy administracyjno-prawne, które mogą nakładać odmienne obowiązki publiczno-prawne.

Co więcej, niekiedy mimo istnienia zbieżnych obowiązków lub uprawnień wynikających z przepisów prawa, ich interpretacja przez poszczególne, krajowe organy może być odmienna (np. mniej lub bardziej rygorystyczna).

Chcąc w pełni zrealizować cele compliance RODO w grupach kapitałowych, czyli zapewnienie zgodności z przepisami RODO i zapobieganie naruszeniom, nie można więc dążyć do całkowitej tożsamości („jednakowości”) regulacji wewnętrznych, ponieważ może to doprowadzić do naruszenia lokalnych przepisów prawa. Jest to zatem niepożądana droga na skróty.

Podsumowanie

Jak wynika z dotychczasowych artykułów z serii #ForumBK – prawidłowe oraz skuteczne wdrożenie RODO w grupach kapitałowych stanowi swego rodzaju wyzwanie. Proces ten wymaga bowiem nie tylko systematyczności oraz skrupulatności, lecz również pewnej organizacji działań, z uwagi na wielość podmiotów będących członkami grup, w tym zastosowania wskazanych powyżej mechanizmów compliance. Jednocześnie compliance to przede wszystkim przejrzysty proces oraz schemat działania, dzięki któremu w sposób zorganizowany można wprowadzić, a następnie egzekwować zasady oraz procedury ochrony danych osobowych w całej grupie kapitałowej. Aby proces ten był jednak w pełni adekwatny do działalności danej grupy, należy go uprzednio zaprojektować na podstawie odpowiedniej analizy prawno-biznesowej.

***

Abstract:

The essence of „compliance” consists in managing compliance with specific standards, including legal regulations, in undertakings or groups of undertakings. In many cases, it is advisable to cover by such a system the area of ​​personal data processing, as it will usually meet the requirements resulting from the GDPR in terms of the obligations to implement appropriate organizational measures and the privacy by design principle, as well as the very philosophy of the GDPR grounded on the risk-based approach. In groups of undertakings, however, the implementation of the compliance system is a practical challenge, due to, inter alia, the number of entities that should be taken into account when developing such a system and sometimes the international nature of their activities. Therefore, it is important to properly design the compliance system for a given capital group, taking into account its specificity, and then effectively implement it and ensure its application in practice.

Implementation of the GDPR compliance system should be phased. First of all, it is important to get to know the entities that are to be covered by the compliance system, including their structure, needs and risks related to their activities. Then a proper risk assessment is necessary. After the risk assessment has been performed, it is possible to develop a set of recommendations for changes in the organization itself, as well as internal compliance mechanisms (procedures), including documentation that describe them, and to develop mechanisms to ensure such compliance in practice. The internal „mechanisms” (elements) of GDPR compliance system in capital groups include, in particular, corporate documents – standards, procedures, policies, requirements, ethical norms. Such documents should be prepared and implemented each time while maintaining the principles of transparency and accountability. In the context of the activities of international capital groups, it is also necessary to respect the local law that may modify or detail provisions of the GDPR.



ZESPÓŁ

NASZE DANE