Regulacje RODO a komunikacja z inwestorami
- Jakie zdarzenia należy publikować w raportach?
- Zgłoszenie incydentu – droga od IOD do przedstawiciela RI.
- Podstawowe kroki do utrzymania zgodności z RODO.
Te tematy zostały poruszone w trakcie wywiadu przeprowadzonego przez Magdalenę Raczek-Kołodyńską z Darią Worgut-Jagnieżą podczas XI Kongresu Relacji Inwestorskich Spółek Giełdowych SEG.
MRK: Jaka jest specyfika danych osobowych w spółce giełdowej?
DWJ: Spółki giełdowe przetwarzają przede wszystkim dane akcjonariuszy. Są to dane, z którymi działy Relacji Inwestorskich spotykają się najczęściej w ramach organizacji walnego zgromadzenia akcjonariuszy, a także w codziennej komunikacji z inwestorami w zakresie działalności spółki. Bardzo dużą grupą danych są również dane pracowników. W zależności od charakteru spółki, mogą to być także dane konsumentów, dane kontrahentów, czy dane odbiorców aplikacji mobilnych.
MRK: Jakie najczęstsze błędy związane z RODO zdarzały się w spółkach przez ostatni rok?
DWJ: W spółkach nie były dotychczas podejmowane działania polegające na zaangażowaniu pracowników w szerzenie wiedzy o RODO, a także na reagowaniu na incydenty. Bardzo niewiele firm ma wpisane incydenty do rejestru incydentów, co nie oznacza, że one się nie zdarzają. Po prostu nie są zgłaszane, gdyż pracownicy nie wiedzą co to jest incydent, nie potrafią zidentyfikować takich sytuacji.
MRK: Czym jest incydent?
DWJ: Zgodnie z definicją RODO incydent jest to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Przykładami incydentów są: zgubienie czy kradzież służbowego laptopa lub telefonu komórkowego pracownika, omyłkowe wysłanie e-maila do niewłaściwej osoby, który zawiera dane osobowe innej osoby. Incydentami są też przypadki awarii systemu informatycznego.
MRK: Jakie problemy występują z listami akcjonariuszy?
DWJ: Z mojej perspektywy najważniejszą kwestią jest konieczność spełnienia obowiązku informacyjnego wobec uczestników walnego zgromadzenia akcjonariuszy. Zwykle jest on realizowany podczas podpisywania listy obecności, natomiast część spółek obowiązek informacyjny przekazuje już podczas zawiadamiania o terminie zwołania walnego zgromadzenia. Jednak dobrze jest obowiązek ten powtórzyć na walnym zgromadzeniu, gdyż często uczestniczą w nim pełnomocnicy akcjonariusza, a nie sam akcjonariusz. Jeśli osoby te nie zostały poinformowane podczas walnego zgromadzenia, należy to uczynić w czasie jednego miesiąca od dnia zwołania walnego zgromadzenia. Choć sposób ten będzie zapewne bardziej kosztowny, warto to zrobić – PUODO może karać za niedopełnienie tego obowiązku.
MRK: Czy nagrywanie i transmitowanie walnego zgromadzenia rodzi dodatkowe obowiązki w związku z RODO?
DWJ: Kwestie przetwarzania danych w postaci wizerunku regulują przepisy prawa autorskiego i problematyczne jest pozyskanie właściwej podstawy prawnej do rozpowszechnienia wizerunku uczestników walnego zgromadzenia. Podstawą mogłaby być zgoda takich osób, ale należy mieć na uwadze, że część z uczestników jej nie wyrazi. Wówczas konieczne byłoby ukrycie na nagraniu wizerunku osób, które zgody nie wyraziły. Dlatego też najbezpieczniejszym rozwiązaniem jest pokazywanie tylko wizerunku osób prowadzących zgromadzenie.
MRK: Co jest najważniejsze w kontekście ochrony danych osobowych przez pracowników?
DWJ: Najważniejszą kwestią jest rozwijanie świadomości pracowników w zakresie ochrony danych osobowych tak, aby umieli oni identyfikować incydenty oraz aby robili to w odpowiednim czasie. Zgodnie z przepisami RODO naruszenia bezpieczeństwa danych należy zgłaszać do Prezesa Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od stwierdzenia, a właściwie potwierdzenia incydentu. Z moich doświadczeń wynika, że nie stanowi problemu potwierdzenie incydentu, ale zgłoszenie go do PUODO. Spółki nie wiedzą jak i kiedy należy zgłosić naruszenie, i że może tego dokonać wybrana osoba, która posiada podpis elektroniczny i pełnomocnictwo do zgłaszania takich incydentów. Bardzo istotne jest ustalenie, kto fizycznie dokonuje zgłoszenia. Może to być IOD, ale także zarząd w mniejszych firmach, czy dział prawny, jeśli posiada podpisy elektroniczne.
MRK: Czy incydent wymaga raportu bieżącego informującego rynek o takim zdarzeniu?
DWJ: Trudno ocenić kiedy informować o takim zdarzeniu inwestorów, a kiedy nie. Pomocna w tej kwestii jest metodyka ENISA tj. Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji, która pomaga oszacować jak bardzo krytyczny był incydent, ile danych wyciekło, jak szczegółowe były to dane. Po ustaleniu informacji z wykorzystaniem tej metody IOD powinien określić czy dany incydent wymaga poinformowania rynku czy nie.
MRK: Czy nazwisko akcjonariusza, który wypowiada się na WZA można upublicznić?
DWJ: Bezpieczniej jest tego nie robić i nie ujawniać takich informacji.
MRK: Co firma powinna robić cyklicznie, żeby mieć pewność, że jest zgodna z RODO?
DWJ: Aby mieć pewność, że firma przestrzega przepisów RODO, powinna podejmować działania polegające na systematycznym monitorowaniu procesów przetwarzania danych i stosowanych zabezpieczeń. W tym celu należy wykonywać roczne lub najlepiej kwartalne audyty, które potwierdzają zgodność z RODO. Jest to bardzo skuteczne narzędzie, gdyż pokazuje niezgodności, które należy usunąć. Proaktywna metoda to prowadzanie cyklicznej analizy ryzyka, która pozwoli na identyfikację istniejących w spółce ryzyk oraz zaplanowanie dla nich określonego postępowania, dzięki czemu można zapobiec występowaniu incydentów. Kluczowe jest także zaangażowanie pracowników, ciągła praca nad rozwijaniem ich świadomości w zakresie ochrony danych oraz prowadzenie szkoleń w taki sposób, aby pracownik rozumiał, jakie są wobec niego oczekiwania, i obowiązujące w firmie procedury bezpieczeństwa związane z RODO.