Comarch RODO: orzecznictwo i linia sądowa w praktyce prawnej

W dobie powszechnej cyfryzacji przedsiębiorstw, systemy informatyczne służące do zarządzania zasobami przedsiębiorstwa (ERP), takie jak te oferowane przez firmę Comarch, stanowią serce operacyjne wielu podmiotów gospodarczych. Przetwarzanie ogromnych ilości danych osobowych pracowników, klientów oraz kontrahentów w tych systemach nakłada na przedsiębiorców szczególne obowiązki wynikające z Ogólnego Rozporządzenia o Ochronie Danych (RODO). Analiza orzecznictwa sądów administracyjnych oraz decyzji Prezesa Urzędu Ochrony Danych Osobowych (PUODO) pozwala na sformułowanie jasnych wniosków dotyczących odpowiedzialności za zgodność z prawem procesów realizowanych przy użyciu oprogramowania Comarch RODO. W niniejszym artykule szczegółowo analizujemy linię orzeczniczą, podział ról między dostawcą oprogramowania a administratorem danych, a także kluczowe procedury i ryzyka prawne.

1. Teza publikacji: Odpowiedzialność za zgodność z RODO w systemach IT

Kluczową tezą, jaka wyłania się z analizy spraw przed organem nadzorczym oraz sądami, jest to, że dostawca oprogramowania (np. Comarch) dostarcza jedynie narzędzie, natomiast pełna odpowiedzialność za zgodność przetwarzania danych z przepisami RODO spoczywa na administratorze danych osobowych (ADO). Samo posiadanie certyfikowanego lub dostosowanego do wymogów RODO systemu ERP nie zwalnia przedsiębiorcy z obowiązku samodzielnego wdrożenia odpowiednich środków technicznych i organizacyjnych. Narzędzia oferowane w pakietach Comarch RODO mają ułatwiać realizację praw osób, których dane dotyczą, lecz to administrator decyduje o sposobie ich wykorzystania i ponosi ryzyko ewentualnych uchybień.

2. Na czym polega problem prawny? Relacja: Administrator – Procesor – Dostawca

W praktyce prawnej często dochodzi do nieporozumień na tle kwalifikacji prawnej podmiotów uczestniczących w procesie wdrażania i utrzymania systemów IT. Należy wyraźnie odróżnić trzy role: Administrator Danych Osobowych (ADO), czyli podmiot, który decyduje o celach i sposobach przetwarzania danych (np. firma korzystająca z systemu Comarch ERP); Podmiot przetwarzający (Procesor), czyli podmiot, który przetwarza dane w imieniu administratora (np. firma zewnętrzna świadcząca usługi hostingu lub wsparcia technicznego dla systemu Comarch); oraz Dostawca oprogramowania / Twórca systemu, czyli podmiot, który projektuje i sprzedaje licencje na oprogramowanie (Comarch), lecz nie ma bezpośredniego dostępu do danych osobowych klienta, chyba że świadczy dedykowane usługi asysty technicznej na mocy odrębnej umowy powierzenia.

Problem prawny pojawia się w sytuacji, gdy w systemie dochodzi do wycieku danych lub gdy system nie pozwala na łatwe usunięcie danych (tzw. prawo do bycia zapomnianym). Sądy administracyjne konsekwentnie wskazują, że administrator nie może tłumaczyć się ograniczeniami technicznymi zakupionego oprogramowania. Jeśli system Comarch nie został odpowiednio skonfigurowany lub zaktualizowany, odpowiedzialność za naruszenie przepisów i tak spoczywa na administratorze.

3. Kogo dotyczy problematyka wdrożenia Comarch RODO?

Zagadnienie to dotyczy szerokiego spektrum podmiotów gospodarczych. W szczególności są to średnie i duże przedsiębiorstwa korzystające z systemów Comarch ERP Optima, Comarch ERP XL lub Comarch ERP Altum, działy kadr i płac (HR), które przetwarzają wrażliwe dane pracowników i kandydatów do pracy, działy IT odpowiedzialne za konfigurację uprawnień, tworzenie kopii zapasowych oraz zabezpieczenie baz danych przed nieuprawnionym dostępem, a także Inspektorzy Ochrony Danych (IOD), którzy muszą audytować systemy informatyczne pod kątem zgodności z zasadami "privacy by design" i "privacy by default".

4. Podstawa prawna i standardy ochrony danych

Główną podstawą prawną regulującą te kwestie jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO), a w szczególności: Artykuł 24 RODO określający obowiązki administratora w zakresie wdrażania odpowiednich środków technicznych i organizacyjnych; Artykuł 25 RODO dotyczący uwzględniania ochrony danych w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default); Artykuł 28 RODO regulujący umowę powierzenia przetwarzania danych osobowych, która musi zostać zawarta, jeśli Comarch lub jego partner serwisowy uzyskuje dostęp do bazy danych klienta podczas prac serwisowych; oraz Artykuł 32 RODO nakładający obowiązek zapewnienia bezpieczeństwa przetwarzania, w tym szyfrowania, poufności, integralności i dostępności systemów.

5. Warunki i obowiązki administratora w praktyce orzeczniczej

Analiza decyzji PUODO oraz wyroków Wojewódzkich Sądów Administracyjnych pozwala na sformułowanie konkretnych wymagań, jakie organ stawia przed użytkownikami systemów Comarch. Po pierwsze, kluczowe jest zarządzanie uprawnieniami. Każdy użytkownik systemu (pracownik) musi posiadać unikalny identyfikator i uprawnienia ograniczone wyłącznie do danych niezbędnych do wykonywania jego obowiązków. Brak kontroli nad uprawnieniami w systemie ERP jest jedną z najczęstszych przyczyn nakładania kar przez organ nadzorczy. Po drugie, niezbędne jest rejestrowanie operacji (logi systemowe). Administrator ma obowiązek zapewnić, aby system rejestrował, kto, kiedy i jakie dane modyfikował lub przeglądał. Narzędzia Comarch RODO umożliwiają prowadzenie takich rejestrów, ale to administrator musi te funkcje aktywować i regularnie monitorować. Po trzecie, ważna jest obsługa żądań osób fizycznych. Każda osoba, której dane dotyczą, może złożyć wniosek o realizację swoich praw (np. wgląd w dane, sprostowanie, usunięcie). Administrator musi być w stanie zrealizować taki wniosek w systemie w ściśle określonym terminie.

6. Procedura postępowania krok po kroku przy wpłynięciu wniosku o realizację praw

W przypadku, gdy do administratora wpływa wniosek od klienta lub pracownika, należy postępować zgodnie z poniższą procedurą, wykorzystując narzędzia systemu Comarch:

  1. Krok 1: Identyfikacja i weryfikacja tożsamości wnioskodawcy. Przed podjęciem jakichkolwiek działań w systemie Comarch należy upewnić się, że osoba składająca wniosek jest tym, za kogo się podaje.
  2. Krok 2: Analiza zakresu wniosku. Należy ustalić, czy wniosek dotyczy usunięcia danych, ograniczenia przetwarzania, czy np. przeniesienia danych.
  3. Krok 3: Wykorzystanie dedykowanych narzędzi Comarch RODO. W zależności od wersji systemu (np. ERP Optima), należy uruchomić procedurę anonimizacji danych lub wyeksportować historię operacji powiązaną z danym podmiotem.
  4. Krok 4: Zachowanie terminów. Zgodnie z RODO, administrator ma termin jednego miesiąca na udzielenie odpowiedzi i realizację wniosku. W skomplikowanych przypadkach termin ten może zostać przedłużony o kolejne dwa miesiące, o czym należy poinformować wnioskodawcę przed upływem pierwszego miesiąca.
  5. Krok 5: Dokumentacja i raportowanie. Każdą operację wykonaną w systemie należy odnotować w wewnętrznym rejestrze żądań, co stanowi realizację zasady rozliczalności.

7. Najczęstsze błędy i ryzyka prawne

Praktyka prawna pokazuje, że przedsiębiorcy popełniają szereg powtarzających się błędów, które podczas kontroli organu nadzorczego skutkują karami finansowymi. Do najpoważniejszych należy brak aktualizacji oprogramowania. Starsze wersje systemów Comarch mogą nie wspierać nowoczesnych standardów bezpieczeństwa lub nie posiadać wbudowanych narzędzi ułatwiających realizację RODO. Zaniedbanie aktualizacji jest traktowane przez organ jako rażące naruszenie art. 32 RODO. Kolejnym błędem są niewłaściwe umowy serwisowe, czyli dopuszczenie zewnętrznych serwisantów (partnerów Comarch) do bazy danych bez podpisanej umowy powierzenia przetwarzania danych (DPA). Często ignorowana jest także zasada minimalizacji, co przejawia się w przechowywaniu w bazie danych systemu ERP danych archiwalnych, które nie są już potrzebne do celów podatkowych czy reklamacyjnych, przez co zwiększa się ryzyko w przypadku ewentualnego cyberataku.

8. Przykład praktyczny: Realizacja prawa do bycia zapomnianym

Wyobraźmy sobie sytuację, w której były klient firmy składa wniosek o usunięcie jego danych osobowych z bazy marketingowej oraz systemu ERP. Administrator staje przed dylematem, ponieważ przepisy prawa podatkowego nakazują przechowywanie faktur przez okres 5 lat od końca roku kalendarzowego, w którym upłynął termin płatności podatku. Jak rozwiązać ten konflikt w systemie Comarch RODO?

Właściwym rozwiązaniem, zgodnym z linią orzeczniczą sądów, jest tzw. częściowa anonimizacja lub ograniczenie przetwarzania. Dane klienta na fakturach sprzedażowych muszą pozostać nienaruszone ze względu na nadrzędny obowiązek prawny (art. 6 ust. 1 lit. c RODO). Jednak dane te powinny zostać usunięte z kartoteki kontrahentów w module marketingowym oraz CRM. Narzędzia Comarch pozwalają na zablokowanie karty kontrahenta do celów operacyjnych, przy jednoczesnym zachowaniu spójności bazy danych na potrzeby księgowe. Taki podział działań w pełni realizuje wymogi prawa i chroni administratora przed zarzutem bezprawnego przetwarzania danych.

9. Skutek prawny i rola organu nadzorczego (PUODO)

Prezes Urzędu Ochrony Danych Osobowych stoi na straży przestrzegania przepisów i dysponuje szerokim wachlarzem uprawnień kontrolnych oraz sankcyjnych. W przypadku stwierdzenia uchybień w konfiguracji systemów IT lub w procedurach obsługi wniosków, organ może nałożyć administracyjną karę pieniężną, nakazać dostosowanie operacji przetwarzania do przepisów prawa w określonym terminie, a nawet tymczasowo zawiesić przepływ danych. Orzecznictwo Naczelnego Sądu Administracyjnego (NSA) potwierdza, że kary nakładane przez PUODO muszą być skuteczne, proporcjonalne i odstraszające, co oznacza, że zaniedbania w obszarze systemów ERP mogą nieść za sobą bardzo poważne konsekwencje finansowe dla przedsiębiorstwa.

10. Podsumowanie i rekomendacje dla biznesu

Zgodność z RODO w systemach Comarch to proces ciągły, wymagający ścisłej współpracy działu prawnego, zarządu oraz specjalistów IT. Zakup nowoczesnego oprogramowania to dopiero pierwszy krok. Kluczem do pełnego bezpieczeństwa prawnego jest wdrożenie odpowiednich procedur wewnętrznych, regularne szkolenie personelu, terminowe reagowanie na wnioski oraz stałe monitorowanie zmian w orzecznictwie. Tylko takie podejście pozwala zminimalizować ryzyko kontroli i ewentualnych sankcji ze strony organu nadzorczego.