Wszystkie teksty umieszczane na Linkedin lub naszych stronach internetowych są naszą opinią. Prosimy nie traktować ich jako porady prawnej w konkretnej sprawie, ponieważ konkretna sprawa zawsze wymaga indywidualnej analizy.
Największym wyzwaniem jest dziś odpowiedź na pytanie: jak w systemie compliance powinno się uwzględnić problematykę RODO?
Efekty szumu (burzy?) wokół RODO: wszelkie siły organizacji rzucone do opracowania i wdrożenia rozwiązań mających zapewnić zgodność z wymogami ochrony danych osobowych (wynikającymi wprost z przepisów, wytycznych lub dobrych praktyk).
Utrzymanie osiągniętej zgodności?
O tym na razie jeszcze niewielu myśli. Niewielu też ma pomysł, jak uwzględnić tę kwestię w szerszym systemie zgodności w przedsiębiorstwie. Wdrożenie i ciągłe stosowanie systemu zarządzania zgodnością (Compliance Management System – CMS) będzie jednym z kluczowych działań, które mogą uchronić przedsiębiorstwo przed odpowiedzialnością wynikającą nie tylko z RODO, ale także z projektowanych przepisów ustawy O odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary („Uozp”).
Wyzwaniem dla wewnętrznego zespołu compliance jest zatem odpowiedź na pytanie: jak w systemie compliance powinno się uwzględnić problematykę RODO?
Całościowy system zarządzania zgodnością to narzędzie służące przede wszystkim zminimalizowaniu zidentyfikowanego wcześniej ryzyka związanego z danym obszarem działalności przedsiębiorstwa.
Większość systemów compliance opracowanych przez największe przedsiębiorstwa w Polsce (w tym spółki z udziałem Skarbu Państwa) obejmuje m.in.:
Dotyczą one przeciwdziałania dyskryminacji, korupcji, konfliktom interesów, praniu pieniędzy oraz finansowaniu terroryzmu (AML/CFT), a także kwestii cyberbezpieczeństwa czy work-life balance. Jak się wydaje, Uozp ma nawet narzędzia, by wzmocnić te praktyki u przedsiębiorców. Może bowiem wymusić szeroko zakrojone działania z uwagi na dość ogólny charakter regulacji i otwarty katalog okoliczności, za które podmiot może ponosić odpowiedzialność.
RODO, po ponad pół roku od rozpoczęcia stosowania, wciąż pozostaje żywo dyskutowanym tematem w przestrzeni publicznej. Dotychczas nie dało się jednak zaobserwować tendencji włączania wdrożonych w organizacjach zasad ochrony danych osobowych do spójnego systemu zarządzania zgodnością. System taki miałby w sposób kompleksowy ograniczać ryzyka regulacyjne organizacji.
Moim zdaniem nowe wymogi Uopz zdecydowanie doprowadzą do weryfikacji takiej perspektywy. Popełnienie czynu zabronionego na gruncie przepisów o ochronie danych osobowych jest bowiem objęte zakresem Uopz. W skrajnych przypadkach może wiązać się to z nałożeniem kary finansowej w wysokości do 60 mln złotych lub nawet rozwiązaniem podmiotu.
Tendencją legislacji na poziomie unijnym oraz krajowym jest coraz częstsze odwoływanie się do podejścia opartego na ryzyku. Istotna jest kompleksowa analiza ryzyka oraz możliwość wykazania przeprowadzenia odpowiedniej do rodzaju działalności oceny ryzyka.
Dotyczy to wymogów m.in.:
Takie podejście zdaje się wynikać także z projektowanych przepisów Uopz.
Podmioty, które przygotowały swoją organizację na RODO, miały już szansę zmierzyć się z podejściem opartym na ryzyku. Wiedzą, że to po ich stronie leży obowiązek aktywnego podejścia do zagadnień oceny ryzyka związanego z ich działalnością.
Do nich należy też wdrożenie adekwatnych środków bezpieczeństwa, w tym odpowiednich zasad i procedur (np. procedury wyboru szeroko rozumianego „dostawcy”). Chodzi o to, by działać transparentnie i w myśl zasady rozliczalności. Ta wspólna płaszczyzna dla obu aktów normatywnych pozwala na sprawniejsze wdrożenie rozwiązań zapewniających zgodność z Uopz.
Innym zauważalnym podobieństwem jest kluczowa rola osoby lub komórki organizacyjnej nadzorującej przestrzeganie przepisów oraz zasad regulujących działalność podmiotu zbiorowego. Taki compliance officer, analogicznie do inspektora ochrony danych osobowych w reżimie RODO, powinien być istotnym elementem systemu zgodności. Powinien też przyczyniać się do kształtowaniu kultury compliance w organizacji.
Wreszcie – metodologia opracowania i wdrożenia rozwiązań zapewniających zgodność z RODO wydaje się nadawać do wykorzystania w rozsądny sposób przez dedykowany zespół compliance. Dotyczy to procesu budowania spójnego i skutecznego systemu zgodności.
Podsumowując, wdrożenie i stosowanie „filozofii” RODO jest optymalne dla przedsiębiorców nie tylko ze względu na odpowiedzialność na gruncie samego rozporządzenia. Wynika to również z szerokiej odpowiedzialności wynikającej z projektowanych przepisów Uopz. Kompleksowy i spójny system zarządzania zgodnością może okazać się zatem cennym narzędziem zmniejszającym ryzyko regulacyjne przedsiębiorcy. Obejmuje to również odpowiednie procedury związane ze zgodnym z prawem przetwarzaniem danych osobowych.