W ostatnich miesiącach często stykamy się ze skrótem RODO. Media donoszą o planowanym wejściu w życie tego aktu prawnego. Firmy doradcze i szkoleniowe regularnie zapełniają nasze skrzynki e-mailowe ofertami audytów, szkoleń i wdrożeń.
Czym jest RODO i jaki będzie jego wpływ na funkcjonowanie zarządców obiektów sportowych?
Ogólne rozporządzenie o ochronie danych osobowych (RODO) to akt prawa UE obowiązujący w krajach Unii Europejskiej od 24 maja 2016 r. Tak – to nie pomyłka: od 2016 r. W związku jednak z zastosowaniem 2-letniego okresu vacatio legis wejdzie on w życie dopiero 25 maja 2018 r. Niektórzy uważają RODO za rewolucję w zakresie ochrony danych osobowych. Moim zdaniem dla osób i organizacji, które z ochroną danych osobowych miały już do czynienia do tej pory, RODO nie jest przewrotem, choć na pewno stanowi zdecydowanie większą zmianę legislacyjną niż taka, którą można by określić mianem kosmetycznej. Zapewne postrzeganie RODO jako rewolucji bierze się w dużej mierze z faktu, że problematyka ochrony danych osobowych (mimo że mająca w Polsce już ponad 20-letnią historię) była dotychczas przez wiele osób i organizacji traktowana po macoszemu.
traktowana po macoszemu. Przepisy RODO przewidują sporo nieznanych dotąd obowiązków, inaczej określają role różnych podmiotów w procesie przetwarzania danych, posługują się inną terminologią i wprowadzają nowe rozwiązania prawne. Aktualnie trwają prace legislacyjne nad nową polską ustawą o ochronie danych osobowych, która ma uszczegółowić przepisy RODO na gruncie prawa polskiego, a także nad rozporządzeniami wykonawczymi. Oczywiście tak późnego przełożenia legislacji unijnej na przepisy polskiego prawa wewnętrznego nie da się ocenić inaczej niż negatywnie.
Poniżej przedstawiono porównanie RODO z obowiązującymi do tej pory przepisami. Jakie zatem zmiany czekają nas w związku z wejściem w życie tego aktu?
Zmiany terminologii: administrator/ procesor/inspektor danych osobowych
Nadal kluczową rolę w procesie przetwarzania danych osobowych odgrywa administrator. Mianem tym określany jest podmiot decydujący o celach i sposobach przetwarzania danych osobowych. Nowo nazwaną rolą jest rola procesora danych osobowych, czyli podmiotu przetwarzającego dane osobowe, choć jedynie w granicach wyznaczonych przez administratora. Rzecz jasna w praktyce zdarza się, że precyzyjne określenie ról w odniesieniu do danego zbioru danych osobowych (tego, jaki podmiot jest administratorem, a jaki – procesorem) może nie być oczywiste. Występują przypadki, gdy organizacja otrzymuje dane od swojego kontrahenta w określonym celu (zostają one jemu powierzone – staje się ich procesorem), ale jednocześnie zaczyna ona czynić z nich inny użytek (choć – aby było to legalne – powinna otrzymać na to wyraźne zgody osób, o których dane chodzi, a w pewnych okolicznościach – również zgodę administratora pierwotnie istniejącej bazy). Wówczas taka organizacja przestaje być jedynie procesorem danych, a staje się ich administratorem. Rekomendowane jest oczywiście, aby w umowach między organizacjami wyraźnie zaznaczać role w odniesieniu do danych osobowych (która organizacja jest administratorem danego zbioru, a która procesorem i jakie obowiązki z tego dla nich wynikają). Zarazem jednak trzeba mieć świadomość, że same postanowienia umowne mogą okazać się niewiele warte, jeśli okaże się, że de facto role poszczególnych organizacji w odniesieniu do określonej kategorii danych osobowych będą odmienne, niż to zapisane zostanie w umowie. Innymi słowy – o zakwalifikowaniu danej organizacji jako administratora lub procesora (w odniesieniu do danego zbioru danych osobowych) decydują przede wszystkim faktyczne działania, a nie postanowienia łączącej strony umowy (choć one oczywiście nie są bez znaczenia i mogą stanowić linię obrony danego podmiotu w razie zarzucenia mu działań nielegalnych).
W przypadku obiektu sportowego typu pływalnia niewątpliwie zarządca obiektu jest w stanie zidentyfikować kilka baz (zbiorów) danych osobowych, w stosunku do których będzie administratorem. Będą to zapewne takie zbiory, jak: „pracownicy i zleceniobiorcy” czy zwłaszcza „klienci” (posiadacze kart wstępu, abonamentów). W stosunku zaś do niektórych baz danych można wstępnie przyjąć, że zarządca obiektu będzie jedynie procesorem, tzn. będzie przetwarzał dane powierzone mu przez inny podmiot (będący administratorem) – może to dotyczyć np. danych osób korzystających z kart umożliwiających korzystanie z wielu obiektów (administratorem będzie właściciel systemu kart) czy uczniów szkółek pływania (administratorem będzie klub sportowy). Tak jak wspomniano wyżej – gdyby zarządca obiektu otrzymał dane od innego podmiotu (np. owego klubu sportowego lub szkółki pływania) w konkretnym celu (np. identyfikacji, czy osoby korzystające z pływalni są faktycznie członkami tego klubu), a chciałby zacząć korzystać z tych danych również w innych celach (np. marketingu własnych usług), to powinien na to uzyskać zgodę zainteresowanych (a najlepiej również owego klubu) i w ten sposób zacząć kreować własny zbiór danych (niezależny od zbioru posiadanego przez klub), w stosunku do którego będzie już administratorem.
Warto zaznaczyć, że na gruncie RODO (podobnie jak to ma miejsce na gruncie obecnie obowiązującej ustawy o ochronie danych osobowych) dla zakwalifikowania danego podmiotu jako administratora nie jest konieczne, aby posiadał on osobowość prawną – administratorem mogą być bowiem nie tylko osoby fizyczne, osoby prawne, ale i inne jednostki organizacyjne (np. jednostki i zakłady budżetowe, stowarzyszenia zwykłe).
Znana na gruncie dotychczasowych przepisów funkcja administratora bezpieczeństwa informacji (ABI) zostaje w RODO zastąpiona przez inspektora ochrony danych (IOD). IOD będzie z jednej strony wspierał administratora i procesora, a z drugiej strony – na niego cedowane są określone kompetencje przysługujące zasadniczo organom publicznym (ma on być stosownym „przedłużeniem” funkcji państwowego organu ochrony danych na daną organizację). Jak do tej pory funkcję ABI mogła pełnić tylko osoba fizyczna powołana przez administratora danych. Rolę IOD będzie mogła pełnić także jednostka organizacyjna powołana przez administratora lub procesora. W praktyce należy spodziewać się wykształcenia 77 wyspecjalizowanych firm, z których usług w roli IOD inne podmioty będą korzystać na zasadzie outsourcingu. Niewątpliwie może to przekładać się na zwiększenie kosztów ochrony danych osobowych w organizacjach. Rynek zweryfikuje, czy koszty takiego outsourcingu będą na tyle konkurencyjne, aby ewentualnie zrezygnować z posiadania własnego (wewnętrznego) IOD.
WIĘCEJ W MAGAZYNIE „PŁYWALNIE I BASENY” NR 29
TEKST | Michał Gniatkowski