RODO

20.03.2018

2 miesiące do RODO – na co powinien zwrócić szczególną uwagę faktor wdrażając procedurę ochrony danych osobowych?

Dnia 25 maja 2018 roku zacznie obowiązywać w Polsce nowe Rozporządzenie unijne dotyczące ochrony danych osobowych (tzw. RODO). Zostało zatem niewiele czasu na przygotowanie firmy do zmian wynikających z RODO.

Branża faktoringowa jest branżą w pełni profesjonalną, porównywalną do bankowej. Nawet przed wejściem w życie RODO standardem było stosowanie polityk bezpieczeństwa danych osobowych. Należy zatem założyć, iż wszystkie firmy faktoringowe są na etapie końcowym dostosowywania się do nowych wymogów ochrony danych osobowych i przyjmowania oraz wdrażania stosownych procedur. Pewne aspekty RODO właściwe dla branży faktoringowej mogły jednak umknąć.  Spójrzmy na nowe regulacje od strony faktora. Na co powinien zwrócić szczególną uwagę?

  • Na pewno niezbędne będzie przygotowanie od podstaw zgody na przetwarzanie danych osobowych aby spełniała wymogi RODO (szczegółowe określenie płaszczyzn wykorzystania danych, przejrzystość i precyzyjność, zrozumiały język, pouczenie o prawie dobrowolnego wycofania zgody, niezaznaczone z góry pola akceptacji itp.);
  • Taką zgodę faktoranci będą musieli w większości przypadków udzielić ponownie, chyba że uprzednio stosowana zgoda wyczerpywała wymogi RODO;
  • Ci faktorzy, którzy operują na automatyzacji procesu decyzyjnego o finansowaniu faktur i stosują w tym zakresie algorytmy automatyczne muszą pamiętać iż mamy wówczas do czynienia z profilowaniem regulowanym szczegółowo przez RODO. RODO w pkt 71 Preambuły wprost podaje przykład profilowania jako np. „automatyczne odrzucenie elektronicznego wniosku kredytowego”. Oprócz pozyskania precyzyjnej zgody, zalecałbym wprowadzenie czynnika ludzkiego o charakterze decyzyjnym przed każdym finansowaniem faktury dla uniknięcia pełnego profilowania. W przypadku pełnego profilowania –  wymagana jest bardzo precyzyjna uprzednia zgoda stosownie do art. 22 ust. 2 pkt c) RODO;
  • Faktoranci będący spółkami (czyli teoretycznie nie podlegający przepisom RODO)  punktu widzenia faktora, w praktyce jednak zahaczają o regulację RODO z racji danych osób fizycznych występujących w strukturze spółki. W zaistniałej sytuacji zasadnym wydaje się być stworzenie jednej polityki bezpieczeństwa bez jej rozszczepiania na osoby fizyczne i spółki;
  • Każdy duży faktor powinien samodzielnie ocenić czy powołać Inspektora Ochrony Danych i Administratora Systemu Informatycznego w oparci o analizę ryzyka. Wydaje się że będzie to działanie zalecane, zwłaszcza, że dotychczas wielu faktorów posiadało w swojej strukturze ABI. Brak powołania IOD w miejsce ABI byłby wówczas trudny do obronienia;
  • Tam gdzie dotychczas to nie nastąpiło – wskazana jest również zmiana infrastruktury w biurach i wprowadzenie odpowiednich zabezpieczeń (szafki na akta i szuflady na klucz; dostęp biometryczny do wybranych pomieszczeń; sejf itp.);

Warto także zauważyć, iż RODO uznaje przetwarzanie danych osobowych dotyczących sytuacji ekonomicznej os. fizycznej (także przedsiębiorcy) za przetwarzanie danych osobowych mogące prowadzić do potencjalnego uszczerbku fizycznego, szkód majątkowych lub niemajątkowych mogących stanowić ryzyko naruszenia prawa lub wolności (vide: pkt 75 Preambuły RODO).

Z punktu widzenia pracowników, RODO będzie uciążliwe – kolejna polityka do przeczytania, podpisania, szkolenie i być może polityka czystego biurka i ekranu – o ile nie była jeszcze stosowana.

Praktyka pokaże jak uciążliwe staną się nowe przepisy, a jak dolegliwe kontrole. Niewątpliwym plusem regulacji jest jednolity charakter dla całej UE, co szczególnie ułatwia działanie korporacjom międzynarodowym.

To tylko wybrane aspekty omawianej regulacji, których jest w praktyce o wiele więcej.