fbTrack
REKLAMA
REKLAMA

Firma

Jak działa RODO w grupie kapitałowej

Adobe Stock
Przepływ danych osobowych pomiędzy członkami grupy kapitałowej jest nieunikniony. W praktyce oraz z reguły dotyczy on danych kontrahentów, klientów, pracowników oraz innym powiązanych podmiotów. Regulacje RODO dostarczają szczegółowych wytycznych upraszczających wewnętrzny przepływ danych oraz nadzorowanie przestrzegania zasad ochrony danych osobowych w grupie.

W regulacjach RODO nie występuje przyjmowane w obrocie pojęcie grupy kapitałowej, co nie świadczy o jego pominięciu. W jego miejsce rozporządzenie unijne definiuje tego typu relację jako „przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane". W odniesieniu do motywu 37 sprawowanie kontroli powinno odbywać się w kontekście dominującego wpływu, jaki ma przedsiębiorstwo sprawujące kontrolę nad przedsiębiorstwami kontrolowanymi. Taki rodzaj wpływu może się przejawiać w sferze struktury właścicielskiej, czy też udziale finansowym. Grupa kapitałowa, w której skład wchodzi spółka matka o większościowych udziałach w spółkach zależnych, może być uznana jako grupa przedsiębiorstw w rozumieniu RODO. Wówczas przy identyfikacji istnienia takiej grupy, można bazować na kryteriach identyfikacji spółki dominującej i spółek zależnych zgodnie z polskimi regulacjami spółek.

Czytaj także: RODO: Inspektor Ochrony Danych Osobowych - jaki powinien mieć zakres obowiązków

Uproszczony przepływ

Jak już wykazałem grupa przedsiębiorstw korzysta z pewnych udogodnień polegających na uproszczonym przetwarzaniu danych osobowych. W myśl art. 37 ust. 2 Rozporządzenia RODO, grupa może wyznaczyć jednego inspektora ochrony danych, co w praktyce umożliwia ujednolicenie środków oraz procedur ochrony danych w ramach grupy. Umożliwia to także spółce dominujące sprawowanie kontroli w drodze wypełniania obowiązków oraz wymogów prawnych zgodnych z przetwarzaniem i ochroną danych.

Zgodnie z art. 47 Rozporządzenia RODO, grupa przedsiębiorstw jest uprawniona do korzystania z zatwierdzonych wiążących reguł korporacyjnych przy międzynarodowym przekazywaniu danych z Unii (gdy dane przekazywane są do administratora lub procesora w państwie trzecim – w praktyce dotyczy to międzynarodowych zasad funkcjonowania grup kapitałowych).

Wiążące reguły korporacyjne stanowią wewnątrzgrupową politykę ochrony danych osobowych, które stanowią wytyczne, a jednocześnie obowiązek dla każdego z członków grupy. Ich zastosowanie umożliwia przesyłanie danych pomiędzy członkami, także w przypadku umiejscowienia spółki poza siedzibę EOG. W dodatku pozwala na uproszczenie wewnątrzgrupowego udostępniania danych oraz stanowi narzędzie wprowadzenia jednolitych mechanizmów i procedur dotyczących szeroko pojętej ochrony danych osobowych w grupie.

W przypadku występowania grup przedsiębiorstw należy wspomnieć o umożliwieniu przekazywania przez administratora danych osobowych innym członkom wewnątrz grupy w celach administracyjnych. RODO wprowadza ogólną zasadę zgodności z prawem przetwarzania danych wyłącznie w ściśle określonych sytuacjach (np. gdy właściciel danych, wyraził na to zgodę). W razie niewypełnienia którejkolwiek z podstaw przetwarzania danych osobowych uregulowanych w art. 6 ust. 1 RODO przetwarzanie będzie za niezgodne z prawem.

Co ważne w kontekście grup przedsiębiorstw – jedną z przesłanek legalności przetwarzania danych zgodnie z art. 6 ust. 1 lit. f RODO jest sytuacja, w której przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora danych. Prawnie uzasadniony interes zachodzić będzie w razie przesyłania danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów i pracowników. Tym samym przesyłanie i przetwarzanie danych osobowych w ramach grupy przedsiębiorstw w celach wewnętrznych (np. sprawozdawczych) spełniać będzie kryterium legalności zgodnie z Rozporządzeniem RODO.

Jakie wyzwania

W procesie przetwarzania oraz udostępniania danych osobowych w ramach grupy kapitałowej nieco bardziej złożona może okazać się identyfikacja całości procesów przetwarzania danych w poszczególnych spółkach, a także sytuacji obopólnego udostępniania danych (tzw. mapowania).

Proces, w którym członkowie grup przekazują między sobą dane osobowe, wymaga zawarcia odpowiednich umów. Należy wówczas dodatkowo przeanalizować, czy w ramach przetwarzania danych osobowych prawidłowo został wypełniony obowiązek informacyjny zgodnie z art. 13 lub art. 14 RODO (niezbędne wskazanie podstaw przetwarzania oraz prawnie uzasadnionych interesów, w razie powyżej wskazanego wewnątrzgrupowego przetwarzania danych). W dodatku problematyczne, może się okazać zidentyfikowanie faktycznego administratora danych osobowych, który decyduje o ich sposobach oraz celach przetwarzania, a także rozważenia możliwego wystąpienia współadministrowania określonymi danymi osobowymi.

—Jan Molicki, radca prawny, Kancelaria Prawna Piszcz i Wspólnicy

Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA