W regulacjach RODO nie występuje przyjmowane w obrocie pojęcie grupy kapitałowej, co nie świadczy o jego pominięciu. W jego miejsce rozporządzenie unijne definiuje tego typu relację jako „przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane". W odniesieniu do motywu 37 sprawowanie kontroli powinno odbywać się w kontekście dominującego wpływu, jaki ma przedsiębiorstwo sprawujące kontrolę nad przedsiębiorstwami kontrolowanymi. Taki rodzaj wpływu może się przejawiać w sferze struktury właścicielskiej, czy też udziale finansowym. Grupa kapitałowa, w której skład wchodzi spółka matka o większościowych udziałach w spółkach zależnych, może być uznana jako grupa przedsiębiorstw w rozumieniu RODO. Wówczas przy identyfikacji istnienia takiej grupy, można bazować na kryteriach identyfikacji spółki dominującej i spółek zależnych zgodnie z polskimi regulacjami spółek.
Czytaj także: RODO: Inspektor Ochrony Danych Osobowych - jaki powinien mieć zakres obowiązków
Uproszczony przepływ
Jak już wykazałem grupa przedsiębiorstw korzysta z pewnych udogodnień polegających na uproszczonym przetwarzaniu danych osobowych. W myśl art. 37 ust. 2 Rozporządzenia RODO, grupa może wyznaczyć jednego inspektora ochrony danych, co w praktyce umożliwia ujednolicenie środków oraz procedur ochrony danych w ramach grupy. Umożliwia to także spółce dominujące sprawowanie kontroli w drodze wypełniania obowiązków oraz wymogów prawnych zgodnych z przetwarzaniem i ochroną danych.
Zgodnie z art. 47 Rozporządzenia RODO, grupa przedsiębiorstw jest uprawniona do korzystania z zatwierdzonych wiążących reguł korporacyjnych przy międzynarodowym przekazywaniu danych z Unii (gdy dane przekazywane są do administratora lub procesora w państwie trzecim – w praktyce dotyczy to międzynarodowych zasad funkcjonowania grup kapitałowych).
Wiążące reguły korporacyjne stanowią wewnątrzgrupową politykę ochrony danych osobowych, które stanowią wytyczne, a jednocześnie obowiązek dla każdego z członków grupy. Ich zastosowanie umożliwia przesyłanie danych pomiędzy członkami, także w przypadku umiejscowienia spółki poza siedzibę EOG. W dodatku pozwala na uproszczenie wewnątrzgrupowego udostępniania danych oraz stanowi narzędzie wprowadzenia jednolitych mechanizmów i procedur dotyczących szeroko pojętej ochrony danych osobowych w grupie.