Global menu

Our global pages

Close

Jak przygotować się do wdrożenia RODO - podsumowanie konferencji "Rok do RODO"

  • Poland
  • Privacy, data protection and cybersecurity - GDPR
  • Technology, Media and Telecoms

30-04-2017

W dniach 4-5 kwietnia w Warszawie odbyła się konferencja „Rok do RODO” poświęcona wszystkim aspektom ochrony danych osobowych po 25 maja 2018 roku. Wydarzenie współorganizowali: kancelaria prawna Wierzbowski Eversheds Sutherland oraz Polskie Stowarzyszenie Marketingu. Prelegentami podczas konferencji byli eksperci z naszego zespołu TMT & Compliance: Gerard Karp, dr Arwid Mednis, Karolina Gałęzowska, Magdalena Koniarska oraz zaproszeni goście.

Poniżej przedstawiamy krótkie podsumowanie kluczowych paneli.


Podsumowanie panelu „Dane osobowe  w świecie cyfrowym” – Gerard Karp, partner kierujący zespołem TMT & Compliance w kancelarii prawnej Wierzbowski Eversheds Sutherland  

Dyskusja w ramach panelu po prezentacjach „Dane w świecie cyfrowym” oraz „E-Privacy Regulation” koncentrowała się na najbardziej kluczowych z perspektywy biznesowej aspektach nowych regulacji RODO, w szczególności zaimplementowaniu nowych zasad przetwarzania danych osobowych. Uczestnicy zwrócili przede wszystkim uwagę, iż potencjalnie najbardziej problematycznym może okazać się wdrożenie zasad Privacy by design oraz Privacy by default. Wdrożenie powyższych zasad może być związane zarówno z trudnościami natury organizacyjnej, jak i finansowej po stronie administratorów. Dyskusja w dużej mierze dotyczyła też możliwości wypełnienia zasady przenoszalności danych. Jak zwrócili uwagę uczestnicy panelu, zasada ta, zgodnie z opinią Grupy Roboczej art. 29, jest interpretowana szeroko pod względem zakresu danych, ponadto nie jest ograniczona sektorowo. Realizacja zasady przenoszalności może więc powodować wątpliwości pod kątem zakresu danych podlegających przeniesieniu, możliwości przeniesienia danych pomiędzy różnymi sektorami oraz w kwestii tego, czy takie żądanie przeniesienia danych nie będzie naruszało np. praw własności intelektualnej. 
    
Innym zagadnieniem poruszonym podczas dyskusji panelowej była kwestia dużo bardziej rozbudowanych wymogów w zakresie informacji przekazywanych podmiotowi danych przez administratora – zarówno w przypadku, gdy dane osobowe zbierane są bezpośrednio od osoby, której dotyczą, jak i w sytuacji, gdy pozyskiwane są z innego źródła (w ramach tzw. klauzuli informacyjnej). Dodatkowo, na gruncie RODO administrator danych będzie zobowiązany odpowiadać na zapytania podmiotu danych o jego dane osobowe. Jak podkreślili paneliści, powyższe może rodzić ryzyko permanentnej komunikacji z podmiotem danych, co wiąże się z koniecznością przeznaczenia przez administratora dużych nakładów finansowych i organizacyjnych. Być może realizacja tych wymogów będzie wymuszała nawet zatrudnienie specjalnie powołanych do tego osób.  

Ostatnim z szerzej dyskutowanych tematów podczas panelu było potencjalne ryzyko możliwości odpowiedzialności administratorów na gruncie pozwów zbiorowych np. w sytuacji, gdy dojdzie do zbiorowego ujawnienia danych osobowych. Takie ryzyko w zasadniczej części może wynikać z obowiązku notyfikowania podmiotów danych o takich naruszeniach. 

„Dane osobowe  w świecie cyfrowym” – Gerard Karp, Karolina Gałęzowska   

Dyskusja w ramach panelu po prezentacjach „Dane w świecie cyfrowym” oraz „E-Privacy Regulation” koncentrowała się na najbardziej kluczowych z perspektywy biznesowej aspektach nowych regulacji RODO, w szczególności zaimplementowaniu nowych zasad przetwarzania danych osobowych. Uczestnicy zwrócili przede wszystkim uwagę, iż potencjalnie najbardziej problematycznym może okazać się wdrożenie zasad Privacy by design oraz Privacy by default. Wdrożenie powyższych zasad może być związane zarówno z trudnościami natury organizacyjnej, jak i finansowej po stronie administratorów. Dyskusja w dużej mierze dotyczyła też możliwości wypełnienia zasady przenoszalności danych. Jak zwrócili uwagę uczestnicy panelu, zasada ta, zgodnie z opinią Grupy Roboczej art. 29, jest interpretowana szeroko pod względem zakresu danych, ponadto nie jest ograniczona sektorowo. Realizacja zasady przenoszalności może więc powodować wątpliwości pod kątem zakresu danych podlegających przeniesieniu, możliwości przeniesienia danych pomiędzy różnymi sektorami oraz w kwestii tego, czy takie żądanie przeniesienia danych nie będzie naruszało np. praw własności intelektualnej. 

Innym zagadnieniem poruszonym podczas dyskusji panelowej była kwestia dużo bardziej rozbudowanych wymogów w zakresie informacji przekazywanych podmiotowi danych przez administratora – zarówno w przypadku, gdy dane osobowe zbierane są bezpośrednio od osoby, której dotyczą, jak i w sytuacji, gdy pozyskiwane są z innego źródła (w ramach tzw. klauzuli informacyjnej). Dodatkowo, na gruncie RODO administrator danych będzie zobowiązany odpowiadać na zapytania podmiotu danych o jego dane osobowe. Jak podkreślili paneliści, powyższe może rodzić ryzyko permanentnej komunikacji z podmiotem danych, co wiąże się z koniecznością przeznaczenia przez administratora dużych nakładów finansowych i organizacyjnych. Być może realizacja tych wymogów będzie wymuszała nawet zatrudnienie specjalnie powołanych do tego osób.  

Ostatnim z szerzej dyskutowanych tematów podczas panelu było potencjalne ryzyko możliwości odpowiedzialności administratorów na gruncie pozwów zbiorowych np. w sytuacji, gdy dojdzie do zbiorowego ujawnienia danych osobowych. Takie ryzyko w zasadniczej części może wynikać z obowiązku notyfikowania podmiotów danych o takich naruszeniach. 

 „Dane pracowników i kandydatów do pracy w świetle RODO oraz planowanych przepisów ustawowych” - Magdalena Koniarska

Rozmowa w ramach panelu dyskusyjnego po mojej prelekcji poświęcona była przede wszystkim omówieniu bieżących problemów pracodawców w zakresie ochrony danych osobowych pracowników. Wymienialiśmy poglądy w kontekście uregulowań zawartych w RODO oraz oczekiwań odnośnie zmian legislacyjnych w krajowym porządku prawnym. Niestety, do dnia konferencji nie doczekaliśmy się przedstawienia przez Ministerstwo Rodziny, Pracy i Polityki Społecznej jakichkolwiek projektów przepisów nowelizujących, w związku z czym nie było możliwe, by w gronie zaproszonych panelistów skomentować propozycje ustawodawcy. 

Dyskusja potwierdziła, że największy problem dla przedsiębiorców stanowi kompletne nieprzystosowanie funkcjonujących obecnie regulacji Kodeksu pracy oraz innych ustaw – a także aktów wykonawczych – do potrzeb międzynarodowych korporacji, współczesnych procesów rekrutacyjnych czy nowoczesnych systemów świadczenia pracy. Przepis art. 221 kp pozwala pracodawcom na przetwarzanie danych osobowych kandydatów do pracy i pracowników w bardzo ograniczonym zakresie. Jednocześnie powszechne staje się stosowanie procedur, takich jak sprawdzanie wykształcenia i doświadczenia kandydatów do pracy (tzw. background screening), ich sytuacji finansowej (credit checks) czy przeszłości kryminalnej (criminal checks – szczególnie w przypadku stanowisk zakładających wysoką odpowiedzialność finansową). Przedsiębiorcy zmuszeni są wykorzystywać skomplikowane rozwiązania prawno-techniczne, by sprostać wymaganiom narzucanym np. przez grupę kapitałową, a jednocześnie nie naruszyć obowiązujących przepisów. W powyższym zakresie paneliści dzielili się swoimi doświadczeniami i pomysłami na usprawnienie funkcjonujących regulacji. Podniesiono także kwestię digitalizacji akt pracowniczych – prawdopodobnie projekt ustawy przygotowywany przez MRPiPS nie obejmie tej problematyki, podczas gdy obecny brak możliwości prowadzenia cyfrowych teczek osobowych powoduje utrudnienia i niepotrzebne koszty dla wielu podmiotów działających na rynku.

„Profilowanie konsumentów w świetle RODO” – dr Arwid Mednis  

Dyskusja w ramach panelu po prezentacji „Profilowanie konsumentów w świetle RODO” koncentrowała się na prawnych aspektach profilowania, w szczególności w świetle analityki Big data. 

Profilowanie z użyciem danych osobowych jest rodzajem (czynnością) przetwarzania danych. To jednak szczególna metoda przetwarzania danych osobowych, która w świetle RODO doczekała się osobnej definicji, i z którą związane są dodatkowe uprawnienia podmiotu danych. Profilowanie, zgodnie z przepisami RODO, oznacza taką formę przetwarzania danych osobowych, która jest jednocześnie zautomatyzowana i prowadzi do analizy lub prognozy zachowania, sytuacji ekonomicznej, zdrowia, osobistych preferencji konsumentów (osób fizycznych). Profilowaniem jest np. analizowanie historii zakupów w celu dobrania spersonalizowanej oferty. 

Profilowanie zostało potraktowane w RODO w sposób szczególny z uwagi na dużą ingerencję w prywatność konsumentów, jaką może ze sobą nieść. Przykładowo, profile często są tworzone w oparciu o historyczne dane sprzedażowe, a potem stosowane wobec nowych klientów. Dodatkowo, odrębną kwestią jest rozstrzygnięcie wobec osoby profilowanej, dokonywane na podstawie zastosowania profilu. Podejmowanie zautomatyzowanych decyzji, również uregulowanych w RODO, często opiera się właśnie na profilowaniu.

Podczas panelu poruszony został przede wszystkim problem połączenia stosowania zasady minimalizacji z profilowaniem, tj. konieczność wykorzystania jedynie danych niezbędnych dla danego celu. Profilowanie, szczególnie w ramach analityki Big data, zakłada konieczność wykorzystania jak największej ilości danych. Po stronie przedsiębiorców może zatem powstać obowiązek uzasadnienia wykorzystania dużego zakresu danych i konieczność ciągłego monitorowania procesów profilowania i wykorzystywanych do niego narzędzi informatycznych oraz algorytmów.

Większość panelistów była zgodna, że tak w interesie konsumentów, jak i przedsiębiorców nie leży przetwarzanie nadmiernej i niepotrzebnie dużej ilości danych, gdyż opóźnia to proces decyzyjny i zwiększa koszty operacyjne.


For more information contact

< Wstecz

Kontakt dla prasy

Renata Misiewicz
Zespół Public Relations 
+48 22 50 50 719
renata.misiewicz@eversheds-sutherland.pl