BLOG

11 maj 2018

Audyt z zakresu ochrony danych osobowych w Polsce może nie wystarczyć

  • E-Commerce
  • Niemieckie prawo konkurencji
  • Ochrona danych osobowych

(Fot.: Ralf Kalytta – stock.adobe.com)

Na temat RODO wchodzącego w życie w dniu 25 maja 2018 istnieje już wiele publikacji we wszelkich możliwych mediach. Siłą napędową rozgłosu są między innymi wysokie kary za naruszenia ochrony danych mogące sięgać 20 mln euro lub 4% całkowitego rocznego światowego obrotu z porzedniego roku obrotowego. Nasila się również korespondencja ze strony operatorów aplikacji informatycznych i usługodawców z prośbą o akceptację warunków polityki prywatności lub udzielenie zgody na przetwarzanie danych.

Powszechna stała się zatem świadomość tego, że tematem ochrony danych osobowych należy się zająć na poważnie. Tematyka RODO jest jednak dla przedsiębiorcy zajętego organizacją firmy, utrzymywaniem stosunków biznesowych, kontrolowaniem budżetu etc. mało przystępna. Stopień komplikacji wzrasta w odniesieniu do firm działających w więcej niż jednym kraju UE. RODO w wielu obszarach prowadzi wprawdzie do ujednolicenia prawa ochrony danych osobowych na obszarze UE. Rozporządzenie przewiduje jednak równocześnie możliwość odmiennych regulacji krajowych oraz uregulowania właściwości urzędów nadzoru na zasadzie reguły i wyjątku. Wobec tego może okazać się, że polscy przedsiębiorcy prowadzący działalność gospodarczą w Niemczech muszą przestrzegać nie tylko RODO ale również przepisów niemieckich ustaw.

  1. Możliwość odmiennych regulacji krajowych

Z punktu widzenia przedsiębiorców działających zarówno w Polsce jak i w Niemczech należałoby odpowiedzieć najpierw na pytanie, przepisy którego kraju znajdują zastosowanie w odniesieniu do ich działalności.

RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, jest tzw. rozporządzeniem ogólnym. Oznacza to, że przepisy RODO z reguły nakładają równe obowiązki na podmioty przetwarzające dane osobowe na terenie UE. W poszczególnych przypadkach przewidzianych w RODO, państwa członkowskie mogą jednak wprowadzić odmienne regulacje prawne. Zarówno w Niemczech jak i w Polsce zostały bądź zostaną uchwalone ustawy „wdrażające” RODO. Niemiecka ustawa nazywana w skrócie BDSG-neu wejdzie w życie w dniu 25 maja 2018. Aby było ciekawiej zapowiadane są już zmiany tejże ustawy.

Dla lepszego zobrazowania możliwych rozbieżności niech posłuży przykład obowiązku wyznaczenia inspektora ochrony danych. W Niemczech taki obowiązek istnieje dodatkowo (t.j. oprócz sytuacji przewidzianych w RODO) wówczas, gdy administrator lub podmiot przetwarzający dane na zlecenie zatrudniają regularnie nie mniej niż 10 osób zajmujących się zautomatyzowanym przetwarzaniem danych. W Polsce natomiast nie ma odpowiednika tego przepisu.

Kogo obowiązują przepisy niemieckie? Według BDSG-neu krajowe (t.j. niemieckie) przepisy obowiązują administratorów przetwarzających dane osobowe w Niemczech (wystarczające jest położenie serwera na terenie Niemiec) lub jeśli przetwarzanie danych odbywa się w ramach działalności oddziału administratora zlokalizowanego w Niemczech (bez względu na położenie serwerów).

  1. Właściwość wiodącego urzędu nadzorczego

Oprócz ustalenia właściwego prawa, jest istotne, który kraj może za pomocą swoich urzędów rozliczać przedsiębiorcę z zachowania przepisów o ochronie danych. RODO przewiduje co do zasady tzw. „wiodący urząd nadzorczy“.

W celu ustalenia właściwości wiodącego urzędu nadzorcznego konieczne jest przeanalizowanie struktury przedsiębiorstwa, t.j. czy działa ono za granicą w formie spółki córki będącej odrębnym administratorem danych osobowych, oddziału czy też posiada jedynie przedstawiciela handlowego wyposażonego w komputer. RODO posługuje się pojęciem „głównej jednostki organizacyjnej” w kontekście ustalania właściwości urzędów. W uproszczeniu jest to miejsce, w którym znajduje się centralna administracja administratora danych w UE bądź to miejsce, w którym zapadają decyzje co do celów i sposobów przetwarzania danych osobowych. Ustalony w ten sposób wiodący urząd nadzorczy jest z reguły jedynym urzędem i osobą do kontaktu dla przedsiębiorcy również w zakresie przetwarzania danych poza granicami kraju. Może się jednak zdarzyć, że w przypadku złożenia skargi w innym urzędzie niż urząd wiodący (czyli w innym państwie niż miejsce centrali przedsiębiorstwa), urząd ten będzie prowadził postępowanie administracyjne i wyda decyzję, jeśli sprawa ma znaczenie „lokalne” (np. ochrona danych pracownika zatrudnionego za granicą). Nie można zatem wykluczyć sytuacji, w której przedsiębiorca mający siedzibę w Polsce a działający również za granicą zostanie pociągnięty do odpowiedzialności przez zagraniczny urząd nadzorczy. W Niemczech istnieje 16 takich urzędów dla poszczególnych krajów związkowych oraz jeden urząd federalny.

  1. Podejście niemieckich urzędów nadzorczych

Niemiecki urząd nadzorczy, o ile nie działa w reakcji na konkretne zażalenie lecz w ramach kontroli ogólnej, może przesłać do administratora danych kwestionariusz zawierający przykładowo następujące pytania:

 – czy w przedsiębiorstwie istnieje świadomość, że ochrona danych jest sprawą szefa, znajdująca swoje odbicie w regulacji systemu uprawnień?

– czy istnieje rejestr procesów przetwarzania?

– czy w przypadku przetwarzania danych osobowych w imieniu administratora zostały zawarte porozumienia spełniające wymogi art. 28 ust. 3 RODO?

– czy są przewidziane procedury w celu zabezpieczenia praw osób, których dane dotyczą (np. udzielenie informacji w przypadku pozyskiwania danych, prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych)?

– czy legalność przetwarzania danych jest udokumentowana?

– czy są Państwo przygotowani do ewentualnie koniecznej oceny skutków dla ochrony danych?

  1. Podsumowanie

Jak widać ochrona danych osobowych jest sprawą szefa i chcąc nie chcąc prezesi firm muszą się zmierzyć z tym dość szerokim i skomplikowanym tematem. Wiele firm doradczych oferuje usługi z zakresu audytu i wdrożenia RODO w przedsiębiorstwie. Należy mieć jednak na uwadze, że przedsiębiorców prowadzących działalność w Niemczech często będą dotyczyły tutejsze przepisy krajowe. Dlatego audyt z zakresu ochrony danych osobowych w Polsce może nie wystarczyć, aby legalnie funkcjonować na terenie Niemiec. Jeśli mają Państwo wątpliwości lub pytania, nasza kancelaria chętnie udzieli kompleksowej porady prawnej.

Autor

Jolanta Krzemińska

adwokat niemiecki - Rechtsanwalt - Vokietijos advokatas

linkedinLogo