Spółki ASI i ZASI a dodatkowe obowiązki w świetle przepisów RODO

Na etapie procedury rozpoczęcia działalności Alternatywnej Spółki Inwestycyjnej (dalej: „ASI”) oraz jej zarządzającego (dalej: „ZASI”) warto wziąć pod uwagę konieczność opracowania i wdrożenia odpowiednich uregulowań w zakresie ochrony danych osobowych, celem zapewnienia zgodności przetwarzania danych z RODO.

Z uwagi na wzajemne zależności pomiędzy ASI i ZASI, procedury i dokumentacja ochrony danych osobowych dla obu tych podmiotów powinna być spójna i jednorodna. Należy jednak podkreślić, że nawet w takim przypadku mamy do czynienia z dwoma indywidualnymi administratorami danych osobowych.

Właśnie dla takich sytuacji, w których w przetwarzanie danych zaangażowanych jest wiele podmiotów, wchodzących wzajemnie w pewne interakcje, ustawodawca przewidział instytucję współadministrowania danymi osobowymi. Zgodnie z art. 26 ust. 1 RODO Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami.

Jednakże wspólne ustalanie celów przez poszczególnych administratorów nie może odbywać się w sposób dowolny. W tym zakresie RODO nakłada na współadmintratorów dodatkowe obowiązki, stawiając wobec nich wymóg określenia w drodze wspólnych uzgodnień i w przejrzysty sposób odpowiednich zakresów swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO, w szczególności w odniesieniu do wykonywania praw przysługujących osobie, której dane dotyczą, jak również realizacji ciążących na administratorach wobec niej obowiązków.

Jeżeli zatem osoba, której dane dotyczą, zażąda wobec admi-nistratora danych, jakim jest ASI, realizacji jednego z przysługujących jej praw: prawa dostępu do danych (art. 15 RODO), prawa do sprostowania danych (art. 16 RODO), prawa do bycia zapomnianym, tj. do usunięcia danych (art. 17 RODO), prawa do ograniczenia przetwarzania (art. 18 RODO), prawa do przenoszenia danych (art. 20 RODO), prawa do sprzeciwu (art. 21 RODO), czy chociażby prawa do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa (art. 22 RODO) – nic nie stoi na przeszkodzie (a w analizowanym przypadku wzajemnych relacji tych podmiotów, jest to nawet wskazane) aby to ZASI przyjęła na siebie odpowiedzialność za ich wykonanie.

Zdecydowanie warto jednak zadbać o to, aby reguły postępowania oraz wzajemne kompetencje poszczególnych współadministratorów zostały opisane w sposób właściwy – taki jasny podział ma bowiem znaczenie w odniesieniu do wykonywania zadań przez organ nadzorczy (tj. Prezesa Urzędu Ochrony Danych Osobowych). Jest to podyktowane przede wszystkim względami zadośćuczynienia elementarnej zasadzie przetwarzania danych – ciążącej na każdym administratorze – tj. uregulowanej w art. 5 ust. 2 RODO zasadzie rozliczalności w zakresie przestrzegania podstawowych norm, a przede wszystkim obowiązków, stawianych wobec administratora danych osobowych w świetle obowiązującego prawa.

Należy zwrócić uwagę, że za naruszenie przepisów o ochronie danych osobowych, ustawodawca przewidział bardzo dotkliwe sankcje – kary wymierzane przez organ nadzoru w tym zakresie mogą opiewać nawet na 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa. Jednocześnie trzeba mieć świadomość, że lista takich kar – nawet wielomilionowych – w ostatnim czasie wzrasta. Warto zatem zadbać, aby wdrożone przez administratora danych procedury były adekwatne i zgodne ze stawianymi, w szczególności w świetle RODO, wymogami.

Adwokat Mariusz Maksis