Kiedy spółka zaczyna wdrażać ESG, dział prawny i compliance rzadko myśli o RODO jako o elemencie tego projektu. Pierwsza myśl jest zwykle taka: „RODO mamy z 2018 roku, polityki są, rejestr przetwarzania jest, to oddzielny temat”. I właśnie to założenie generuje lukę, która wychodzi przy pierwszym audycie ESG lub badaniu due diligence.
RODO i ESG to obszary, które w kontekście ładu korporacyjnego spółki są ze sobą ściśle powiązane. Standardy ESRS G1 dotyczące ładu korporacyjnego wymagają ujawnień w zakresie zarządzania ryzykiem i kontroli wewnętrznej — a ochrona danych osobowych jest jednym z kluczowych elementów tego systemu. Spółka, która ma sprawnie działający system RODO, ma jednocześnie fundament pod część ujawnień aspektu G. Jeżeli chcesz zrozumieć szerszy kontekst regulacyjny, zacznij od: ESG dla spółek w Polsce – przewodnik prawny.
Powiązane tematy w klastrze ESG
- Doradztwo ESG dla spółek – strona usługowa CGO Legal
- ESG dla spółek w Polsce – przewodnik prawny
- Ład korporacyjny i odpowiedzialność zarządu w ESG
- Prawo pracy a wymagania ESG
- CSRD – kogo dotyczy i od kiedy
Spis treści
Gdzie RODO spotyka się z ESG – punkt przecięcia
Powiązanie RODO z ESG nie jest oczywiste na poziomie przepisów — bo RODO i dyrektywa CSRD to odrębne akty prawne z odrębnymi reżimami odpowiedzialności. Punkt przecięcia leży w obszarze ładu korporacyjnego — czyli aspektu G w ESG.
Standard ESRS G1 wymaga ujawnień dotyczących m.in. zarządzania ryzykiem, kontroli wewnętrznej, praktyk antykorupcyjnych i przejrzystości wobec interesariuszy. Ochrona danych osobowych wpisuje się w ten obszar z kilku powodów jednocześnie: jest elementem systemu zarządzania ryzykiem operacyjnym spółki, podlega regularnemu audytowi i weryfikacji zewnętrznej, generuje obowiązki informacyjne wobec osób, których dane dotyczą, i — w razie naruszenia — może skutkować istotnymi karami finansowymi wpływającymi na wyniki spółki.
Dla spółek objętych CSRD oznacza to, że stan systemu ochrony danych powinien być uwzględniony w analizie podwójnej istotności i ocenie ryzyk ESG. Naruszenie RODO to ryzyko finansowe i reputacyjne — i powinno być traktowane jako jeden z materialnych ryzyk aspektu G.
Co ESRS G1 wymaga w zakresie zarządzania ryzykiem i kontroli wewnętrznej
Standard ESRS G1 obejmuje kilka obszarów ujawnień, które bezpośrednio lub pośrednio dotyczą systemu ochrony danych:
Zarządzanie ryzykiem i kontrola wewnętrzna
Spółka musi ujawnić, jak zarządza ryzykami istotnymi z perspektywy ESG — w tym ryzykami operacyjnymi takimi jak naruszenia danych osobowych, cyberataki i awarie systemów przetwarzania danych. Polityka ochrony danych i rejestr czynności przetwarzania są elementami systemu kontroli wewnętrznej, który powinien być opisany w sprawozdaniu ESG.
Przejrzystość i relacje z interesariuszami
ESRS G1 wymaga ujawnień dotyczących podejścia spółki do transparentności wobec interesariuszy. Obowiązki informacyjne wynikające z RODO — klauzule informacyjne, polityki prywatności, procedury realizacji praw osób — są elementem tej transparentności. Spójność między tym, co spółka deklaruje w polityce prywatności, a tym co robi w praktyce, jest jednym z obszarów weryfikowanych przy audycie ESG.
Praktyki antykorupcyjne i etyka biznesu
ESRS G1 wymaga ujawnień dotyczących praktyk antykorupcyjnych i etyki biznesu. Przetwarzanie danych osobowych pracowników, klientów i kontrahentów jest obszarem, w którym naruszenia etyczne — np. nieuprawniony dostęp do danych, ich wykorzystanie do celów niezgodnych z przeznaczeniem lub brak transparentności — mogą stanowić jednocześnie naruszenie RODO i naruszenie standardów etyki ujawnianych w raporcie ESG.
Ochrona danych w ankietach ESG kontrahentów
Ankiety ESG kierowane do dostawców przez duże grupy coraz częściej zawierają pytania dotyczące ochrony danych osobowych. Kontrahent może pytać o:
- czy spółka ma wdrożoną politykę ochrony danych i kiedy była ostatnio aktualizowana,
- czy spółka prowadzi rejestr czynności przetwarzania danych osobowych,
- czy wyznaczono Inspektora Ochrony Danych (IOD) — jeżeli jest to wymagane,
- czy spółka stosuje procedury reagowania na naruszenia ochrony danych i jak szybko zgłasza je do organu nadzorczego,
- czy spółka przeprowadza oceny skutków dla ochrony danych (DPIA) przy wdrażaniu nowych systemów,
- czy i w jaki sposób dane osobowe są przekazywane do krajów trzecich poza EOG.
Dla spółki, która ma aktualną dokumentację RODO, odpowiedź na te pytania jest rutynowa. Dla spółki, która dokumentację RODO ma z 2018 roku i nigdy jej nie aktualizowała, wypełnienie ankiety ujawni luki — i może stworzyć problem przy utrzymaniu kontraktu lub przyszłym przetargu.
Jak ujednolicić system RODO z wymaganiami ESG
Ujednolicenie systemu ochrony danych z wymaganiami ESG nie oznacza budowania nowego systemu od zera. Oznacza przegląd istniejącej dokumentacji RODO pod kątem wymagań ESRS G1 i ankiet ESG, uzupełnienie luk i zapewnienie spójności między tym, co spółka deklaruje w politykach ESG, a tym co faktycznie robi w obszarze ochrony danych.
Krok 1 – aktualizacja dokumentacji RODO
Polityka ochrony danych, rejestr czynności przetwarzania i klauzule informacyjne powinny odzwierciedlać aktualny stan przetwarzania danych w spółce. Dokumentacja sprzed kilku lat, która nie była aktualizowana po zmianach organizacyjnych, wdrożeniu nowych systemów lub zmianie dostawców usług IT, jest ryzykiem zarówno z perspektywy RODO, jak i ESG.
Krok 2 – integracja zarządzania ryzykiem RODO z systemem ESG
Ryzyka związane z ochroną danych — naruszenia, cyberataki, nieuprawniony dostęp — powinny być uwzględnione w analizie podwójnej istotności i mapowaniu ryzyk ESG. Procedura reagowania na naruszenia ochrony danych (breach response procedure) powinna być elementem szerszego systemu zarządzania ryzykiem operacyjnym opisywanego w sprawozdaniu ESG.
Krok 3 – spójność deklaracji ESG i praktyki RODO
Jeżeli spółka deklaruje w raporcie ESG wysokie standardy przejrzystości i ochrony danych interesariuszy, a jednocześnie polityka prywatności na stronie internetowej jest nieaktualna lub klauzule informacyjne w umowach z pracownikami nie spełniają wymagań RODO — audytor weryfikujący sprawozdanie ESG lub kupujący prowadzący due diligence może to zidentyfikować jako niespójność. To jest przykład greenwashingu, który nie dotyczy środowiska, lecz ładu korporacyjnego.
FAQ – RODO i ESG
Czy RODO jest częścią ESG?
Nie bezpośrednio – RODO i CSRD to odrębne reżimy prawne. Ochrona danych osobowych jest jednak elementem ładu korporacyjnego (aspekt G w ESG) i zarządzania ryzykiem operacyjnym. Standard ESRS G1 wymaga ujawnień dotyczących kontroli wewnętrznej i zarządzania ryzykiem, w które wpisuje się system ochrony danych.
Czy stan systemu RODO wpływa na ocenę ESG spółki?
Tak – w dwóch kontekstach. Po pierwsze, przy ESG due diligence w transakcjach kupujący lub inwestor może oceniać stan dokumentacji RODO jako element aspektu G. Po drugie, ankiety ESG od kontrahentów coraz częściej zawierają pytania dotyczące ochrony danych. Nieaktualna dokumentacja RODO może zostać zidentyfikowana jako luka ESG.
Co powinno być ujawnione w raporcie ESG w zakresie ochrony danych?
W kontekście ESRS G1 spółka powinna ujawnić podejście do zarządzania ryzykiem operacyjnym – w tym ryzykami związanymi z ochroną danych. Może to obejmować opis systemu zarządzania ochroną danych, procedury reagowania na naruszenia, zakres szkoleń pracowniczych i wyniki audytów RODO. Zakres ujawnień zależy od wyników analizy podwójnej istotności.
Czy naruszenie RODO wpływa na ocenę ESG spółki?
Tak. Naruszenie RODO, szczególnie takie które skutkuje karą od UODO lub ujawnieniem danych osobowych, jest jednocześnie ryzykiem finansowym i reputacyjnym – i powinno być traktowane jako materialny czynnik ryzyka ESG. Spółki objęte CSRD powinny uwzględniać takie ryzyko w analizie podwójnej istotności i systemie zarządzania ryzykiem.
Czy wystarczy, że spółka ma politykę prywatności na stronie internetowej?
Nie. Polityka prywatności na stronie to tylko jeden z elementów systemu ochrony danych. Z perspektywy ESG i ESRS G1 istotny jest cały system: polityka ochrony danych, rejestr czynności przetwarzania, umowy z procesorami, procedura reagowania na naruszenia, oceny skutków dla ochrony danych i regularne szkolenia pracowników.
Jak szybko można ujednolicić dokumentację RODO z wymaganiami ESG?
Jeżeli spółka ma istniejącą dokumentację RODO – nawet nieaktualną – punkt wyjścia jest dobry. Aktualizacja i ujednolicenie z wymaganiami ESRS G1 to zazwyczaj projekt kilkutygodniowy do kilkumiesięcznego, zależnie od skali działalności i liczby obszarów wymagających uzupełnienia. Kluczowe jest zaczęcie od przeglądu tego, co jest, zanim zdecyduje się na budowę od zera.
Jeżeli Twoja spółka podlega CSRD lub przygotowuje się do ESG due diligence i chcesz ocenić, czy system ochrony danych jest spójny z wymaganiami aspektu G – warto to sprawdzić zanim rozbieżności zostaną zidentyfikowane przez audytora lub kupującego. CGO Legal pomaga spółkom ujednolicić dokumentację RODO z wymaganiami ESRS G1 w sposób proporcjonalny do skali działalności.