Rozporządzenie RODO, to kolejna po rozporządzeniu MAR unijna regulacja, z którą muszą zmierzyć się spółki giełdowe. Jakie nowe wyzwania przed polskimi przedsiębiorcami stawia RODO? Czy unijna regulacja wpłynie negatywnie na prowadzenie relacji inwestorskich i komunikację spółek z inwestorami? Jak pogodzić stosowanie RODO i MAR? Zapytaliśmy o to prawnika praktyka, radcę prawnego Agatę Kowalską z Kancelarii Chabasiewicz Kowalska i Partnerzy.
Wdrożenie RODO przez spółki giełdowe było jednym z tematów 10. edycji Kongresu Relacji Inwestorskich Spółek Giełdowych SEG. Na pytania uczestników, w tym mediów i spółek, odpowiadała Agata Kowalska, radca prawny z Kancelarii Chabasiewicz Kowalska i Partnerzy. Postanowiliśmy więc spotkać się z ekspertem, aby to zagadnienie jeszcze bardziej przybliżyć inwestorom, a także mniejszym firmom działającym na naszym rynku, nie tylko giełdowym.
Zamieszczamy również infografikę z Kongresu „Czy jesteś gotowy do RODO?”, którą możesz wypełnić i sprawdzić na ile jesteś przygotowany do nowej unijnej regulacji. Link znajdziesz TUTAJ.
Anna Mazurek: Których sektorów gospodarki nowe przepisy wprowadzone przez RODO dotykają najbardziej?
R. pr. Agata Kowalska: RODO dotyczy wszystkich przedsiębiorców, którzy przetwarzają dane osobowe osób fizycznych, a w znacznej mierze tych, którzy robią to na dużą skalę. Przykładowo chodzi o takie branże, jak e-commerce i cała branża internetowa. Każde działanie na danych osobowych w cyfrowym świecie podlega regulacjom RODO. Im bardziej działamy w świecie Internetu, tym bardziej musimy mieć się na baczności. Jeśli dany sklep miał bardzo dużą bazę klientów, to wiadomo, że wdrożenie RODO w takiej firmie było trudniejsze.
Czy spółki z GPW w większości są dobrze przygotowane na RODO?
Tak, ale nie jestem w stanie określić dokładnie, na jakim poziomie. Jednak informacje zawarte na stronach internetowych spółek giełdowych pokazują, że na pewno w pewnym zakresie przygotowały się one na wdrożenie RODO. Chodzi o aktualizację polityk prywatności. poprawiono także szereg mailingów oraz zaczęto wykonywanie obowiązków informacyjnych. A sama ocena sposobu wdrożenia RODO będzie już należeć do nadzorcy, czyli Prezesa UODO (dawnego GIODO).
Czy inwestorzy powinni uwzględniać w swoich wycenach ryzyko związane z RODO i ewentualne kary finansowe?
Jak najbardziej. Szczególnie wszelkiego rodzaju sklepy internetowe, firmy big data czy marketing automation i firmy wykorzystujące profilowanie, na podstawie którego wywoływane są określone skutki prawne dla osoby fizycznej. Należy pamiętać, że profilowanie co do zasady jest dopuszczalne bez naszej zgody, jeśli nie wywołuje wobec nas określonych skutków prawnych (wtedy wystarczy wykonać tylko odpowiedni obowiązek informacyjny). Natomiast gdy maszyna decyduje o tym, np. w jakiej wysokości dostaniemy kredyt, albo jaka oferta zostanie nam złożona, to na takie działanie potrzebna jest nasza zgoda. Spółki działające w branżach, które wymieniłam, muszą dostosować cały swój model biznesowy do przepisów RODO. Nie wyobrażam sobie, żeby przy przetwarzaniu danych osobowych na dużą skalę czy szczególnych kategorii danych osobowych, spółki nie chroniły w należyty zgodny z RODO sposób przetwarzanych przez siebie danych osobowych. Wtedy nieprzestrzeganie RODO może firmę bardzo dużo kosztować.
Czy RODO może utrudnić prowadzenie biznesu takim sektorom, w których prowadzona jest aktywna sprzedaż, jak finanse czy bankowość?
W dalszym ciągu wykonywanie np. cold mailingu jest dopuszczalne. Cold e-mail to forma kontaktu z potencjalnym klientem, polegająca na skierowaniu wiadomości do konkretnego odbiorcy, z którym wcześniej nie miało się kontaktu mailowego. Jego celem jest np. sprzedaż, utrzymanie relacji biznesowych, otrzymanie odpowiedzi na jakiś konkretny temat, czy uzyskanie pomocy w jakiejś sprawie. Trzeba jednak mieć na uwadze, że pierwsza wiadomość nie może zawierać jawnej oferty sprzedażowej. Wysyłanie niezamówionej informacji handlowej (czyli spam) jest zabronione przez polskie prawo. Dlatego też tak istotna jest treść takiego e-maila oraz właściwe wykonanie obowiązków informacyjnych wobec jego adresata. Jeśli więc zbieramy e-maile ze stron internetowych firmy, z powszechnie dostępnych źródeł, nawet maile służbowe, to powinniśmy przy nawiązaniu pierwszego kontaktu wykonać szereg obowiązków informacyjnych nałożonych przez RODO, np. podać informację skąd mamy te dane, kto i w jakim celu będzie je przetwarzał itd.
Czy w przypadku RODO lepiej poczekać na jakąś praktykę postępowania, która się wytworzy w przyszłości?
Zauważyłam, że dużo firm ma takie podejście, czyli zrobić opcję minimum i poczekać, co będzie dalej. Jednak myślę, że nie jest to właściwe podejście. Od 25 maja wszyscy przedsiębiorcy mają być w pełni zgodni z przepisami RODO i muszą (a właściwie już musieli) dostosować działanie swojej firmy do RODO.
Po pierwsze, warto zapoznać się i wykonać wszystkie zalecane przez Prezesa UODO kroki. Podpowiedzi można znaleźć na stronie UODO – www.uodo.gov.pl. Ponadto, właściwe wdrożenie RODO w firmie oznacza, że przede wszystkim musi wzrosnąć poziom świadomości naszych pracowników w zakresie zasad ochrony danych osobowych. Dlatego ważne jest odpowiednie przeszkolenie personelu. Pracownicy muszą wiedzieć, czym są dane osobowe, kiedy mają z nimi styczność i jak należy się zachować w sytuacji, gdy klient zażąda od nas wykonania pewnych działań np. gdy zechce skorzystać z prawa do zapomnienia, prawa do przeniesienia danych, czy uzyskania pewnych informacji.
Zobacz także: Widzimy duży sens w łączeniu firm Skarbiec i Trigon - rozmowa z Ewą Radkowską-Świętoń, prezesem zarządu Skarbiec Holding
Jak regulacje RODO mogą wpłynąć na relacje inwestorskie? Czy spółki będą ograniczać ilość informacji osobowych, jakie pozyskują i przekazują inwestorom?
Jeśli obowiązek przetwarzania określonych danych osobowych wynika wprost z przepisów prawa, a w dużej części przypadków tak jest, to wtedy nie będzie żadnego problemu. Przykładowo, jeśli chodzi o ujawnianie danych zawartych na listach akcjonariuszy uprawnionych do udziału w zgromadzeniu, to obowiązek ich ujawnienia wynika wprost z przepisów prawa. Art. 407 KSH mówi, że zarząd udostępnia akcjonariuszom listę zawierającą imię, nazwisko, adres zamieszkania lub adres do doręczeń, a także rodzaj i numery akcji oraz liczbę przysługujących głosów. W tym zakresie jest jasne, że skoro udostępnienie listy jest obowiązkiem, to zarząd jest również uprawniony do przetwarzania danych zawartych na liście celem jego wykonania. Żadne zgody nie są więc potrzebne.
Odnosząc się do pełnomocnika – także w tym przypadku przepisy przewidują wprost, że formularze udostępnione przez spółkę powinny umożliwiać identyfikację pełnomocnika (art. 4033§3 KSH). Konsekwentnie, należy przyjąć, że przepisy również uprawniają spółkę do przetwarzania danych podanych w tych formularzach, a przetwarzanie to nie musi następować w oparciu o jakąkolwiek zgodę pełnomocnika. Takie dane spółka po prostu musi przetwarzać w związku z nałożonymi na nią wymogami prawnymi. Tylko tutaj dużo spółek prosiło także o skan dowodów osobistych i to akurat moim zdaniem jest zbyt daleko idący krok. Wystarczy okazanie uprawnionym do tego osobom dowodu osobistego przy wejściu na zgromadzenie akcjonariuszy.
Natomiast spółka musi wykonać obowiązki informacyjne względem akcjonariuszy czy pełnomocników. W związku z tym, że w praktyce moment pozyskania danych osobowych związanych z organizacją walnego może być różny, mogą też one wpłynąć różnymi kanałami (np. oświadczenie z formularzem może wpłynąć na e-mail, drogą pocztową, lub dopiero podczas zgromadzenia), to rozsądne wydaje się dołączenie klauzuli informacyjnej do raportu bieżącego zwołującego walne.
Czy obowiązek sporządzania określonych list, ustanowiony w rozporządzeniu MAR, jest wystarczającą przesłanką, by móc te dane przetwarzać?
Tak. Jedną z przesłanek legalizujących przetwarzanie danych jest to, że administrator musi je przetwarzać by wykonać ciążące na nim obowiązki. W tym przypadku obowiązki te wynikają dla administratora wprost z rozporządzenia MAR. Nie ma więc konieczności – ani też racji – dla pozyskiwania jakichkolwiek zgód na przetwarzanie danych w zakresie realizacji celów wynikających dla administratora, będącego spółką publiczną, z rozporządzenia MAR.
Jakie dane osobowe przetwarzamy prowadząc listę insiderów i czy możemy (a jeśli tak, to na jakiej podstawie) zbierać więcej danych o insiderach?
Z RODO wynika, że nigdy nie powinniśmy zbierać danych na zapas. Zbieramy tyle, ile rzeczywiście musimy w świetle realizowanego celu. Jest to tzw. zasada minimalizacji (adekwatności). Rozporządzenie MAR nie wskazuje, jakie konkretnie dane osobowe powinny zostać zamieszczone na liście, posługując się w art. 18 ust. 3 lit. a ogólnym sformułowaniem „dane osobowe”. Wątpliwości w tym zakresie usuwa przyjęte przez Komisję Europejską rozporządzenie wykonawcze 2016/347 z dnia 10 marca 2016 r. ustanawiające wykonawcze standardy techniczne w odniesieniu do określonego formatu osób mających dostęp do informacji poufnych i ich aktualizacji, które wyraźnie wyszczególnia zakres danych, które mamy obowiązek przetwarzać.
A czy mogę prowadzić listę potencjalnych insiderów, czyli osób, które mogą mieć dostęp do ważnych informacji w spółce?
Prowadzenie takiej listy nie jest wymogiem prawnym. Może być ewentualnie podyktowane względami praktycznymi. Pozwala to poszukiwać podstawy takiego przetwarzania danych w przesłance, jaką jest prawnie uzasadniony interes administratora. Aby tak było, względy praktyczne uzasadniające tego rodzaju przetwarzanie muszą być naprawdę silne, a administrator powinien jednocześnie zapewnić takie zabezpieczenie danych, które pozwoli zminimalizować związane z tym zagrożenia dla praw osób, których dane dotyczą. Ponieważ jednak z taką interpretacją wiąże się niemożliwa obecnie do eliminacji sfera niepewności prawnej, rekomendować należy, by tego rodzaju „listy na przyszłość” prowadzić w oparciu o zgodę podmiotów danych.
Jak długo mogę przetwarzać dane osobowe znajdujące się na listach insiderów?
RODO wymaga, by zawsze, gdy przetwarzamy dane, określić czas przez który będziemy te dane przechowywać. Czas ten nie może być ustalony dowolnie – RODO wprowadza zasadę tzw. ograniczenia czasu przetwarzania. Oznacza ona tyle, że dane możemy przechowywać tak długo, jak długo uzasadnia to cel, dla którego dane zostały zebrane. Także tutaj należy odwołać się do wymogów wynikających z rozporządzenia MAR – zgodnie z nim, dane należy przechowywać przez okres co najmniej 5 lat od dnia sporządzenia lub aktualizacji. Wyznaczony przez MAR termin przechowywania listy insiderów wyznacza jednocześnie czas przechowywania tych danych na gruncie RODO. Nie można powiedzieć, że okres ten w żadnym wypadku nie powinien przekraczać 5 lat – to jednak nie matematyka – jednak nie powinien być od niego istotnie dłuższy.
Czy przepisy RODO mogą ograniczyć ilość informacji z raportach rocznych czy prospektach emisyjnych spółek?
Jeżeli chodzi o prospekty emisyjne, to część informacji, które mają tam być zawarte wynika wprost z przepisów prawa. Wtedy nie ma wątpliwości, że spółka ma prawo do przetwarzania tych danych osobowych.
W przypadku raportów bieżących sprawa jest bardziej skomplikowana. Moim zdaniem, po wejściu w życie Rozporządzenia MAR przy każdej publikacji raportu bieżącego spółka musi się zastanowić, czy ujawnienie tam pewnych informacji jest wymagane przez przepisy prawa czy może jednak firma robi to jedynie w celach reklamowych. Przykładowo, gdy przedsiębiorca zawiera umowę inwestycyjną, wtedy powinien zadać sobie pytanie, czy ujawnienie stron tej umowy jest cenotwórcze i konieczne m.in. ze względu na rozporządzenie MAR. Jeśli nie ma takiego uzasadnienia, to osoba, która znajdzie się w takim raporcie może uznać, że jej prawa zostały naruszone.
Kiedyś KDPW miała pomysł aby udostępniać spółkom szczegółową bazę danych akcjonariuszy spółek. Czy w świetle przepisów RODO ten pomysł jest jeszcze realny?
To musiałoby wynikać wprost z przepisów prawa. Obecnie nie ma żadnych uregulowań co do tej kwestii.
Czy listy analityków pokrywających daną spółkę powinny zniknąć ze stron spółki?
Nie, jeśli analitycy chcą być na takich listach. To jest dla nich pewien rodzaj reklamy. Jeżeli te dane zostały pozyskane poprzez współpracę z taką osobą, która wyraźnie nam potwierdziła, że zgadza się, aby umieścić jej dane na stronie internetowej, to wtedy mamy podstawę do przetwarzania jej danych osobowych. Oczywiście lepiej mieć potwierdzenie tej zgody np. w postaci stosownej wiadomości e-mail. Musimy jednak te dane usunąć na wyraźne żądanie tej osoby. Odpowiadamy także technicznie za to, żeby te dane odpowiednio zabezpieczyć oraz naprawdę je usunąć z naszych wszystkich rejestrów.
Czy RODO może stanowić przykrywkę w kontaktach z mediami? Przecież to świetna okazja dla firm, aby zasłaniać się nowymi regulacjami i ograniczyć przepływ informacji...
Znowelizowana ustawa o ochronie danych osobowych wprost wyłączyła stosowanie części przepisów RODO do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych w rozumieniu ustawy Prawo prasowe, a także do wypowiedzi w ramach działalności literackiej lub artystycznej.
Zresztą udział mediów w walnym zgromadzeniu wypływa wprost z dobrych praktyk, do których przestrzegania zobowiązały się spółki giełdowe. Większość z nich przyjęła te praktyki i one są źródłem tzw. miękkiego prawa. Mamy więc uzasadnienie w przepisach, żeby media brały udział w walnym zgromadzeniu spółek giełdowych.
Większym problemem dla dziennikarza będzie to, czy może on rejestrować przebieg walnego, bo na to wprost przepisu prawa nie znajdziemy. Pojawia się pytanie, czy dziennikarz może wykorzystać wizerunek poszczególnych akcjonariuszy w ramach swoich uprawnień i będzie mógł go użyć, i w jakim zakresie, w materiale prasowym. Ale za to odpowiada już dziennikarz, a nie spółka.
Jakie kary grożą za naruszenie RODO? Czy inwestorzy giełdowi powinni w najbliższej przyszłości spodziewać się komunikatów o naruszeniach RODO i karach nałożonych na spółki?
Po pierwsze, przepisy RODO przewidują możliwość miarkowania kary. Mamy tylko określoną jej górną granicę. Polski ustawodawca przyjął do polskiego porządku prawnego kary, w tej samej maksymalnej wysokości, która została przewidziana przez RODO. Są to więc kary pieniężne sięgające 20 milionów euro lub stanowiące określony procent (do max. 4%) wartości rocznego światowego obrotu przedsiębiorstwa. Mam nadzieję, że nasz nadzorca w pierwszych miesiącach obowiązywania RODO będzie zachowywał się racjonalnie, ostrzegając, pouczając i edukując, a ewentualne kary pieniężne będą stosowane jako ostateczność.
Dziękuję za rozmowę.
Agata Kowalska – radca prawny i partner w Kancelarii Chabasiewicz Kowalska i Partnerzy. Specjalizuje się w transakcjach fuzji i przejęć, obsłudze prawnej inwestycji VC/PE oraz w prawie spółek. Posiada także kilkunastoletnie doświadczenie w doradztwie związanym z ochroną praw własności intelektualnej. Ponadto prowadzi liczne szkolenia i warsztaty dla przedsiębiorców, w szczególności z zakresu ochrony własności intelektualnej, prawa autorskiego oraz umów inwestycyjnych.
