Co w Prawie Piszczy | Inspektor ochrony danych osobowych dla grupy przedsiębiorstw
8213
post-template-default,single,single-post,postid-8213,single-format-standard,cookies-not-set,ajax_fade,page_not_loaded,,wpb-js-composer js-comp-ver-5.4.4,vc_responsive

Inspektor ochrony danych osobowych dla grupy przedsiębiorstw

Ogólne rozporządzenie o ochronie danych (RODO) wprowadziło do europejskiego porządku prawnego instytucję Inspektora Ochrony Danych Osobowych (IOD). W polskich firmach IOD zastąpił znanego przedsiębiorcom Administratora Bezpieczeństwa Informacji. O tym, jakie zadania wykonuje IOD i kiedy należy go powołać pisaliśmy na naszym blogu [tutaj]. Dziś chcemy skupić się na możliwości, jaką daje RODO, a jaką jest wyznaczenie wspólnego Inspektora dla grupy przedsiębiorstw.

 

Wspólny inspektor

 

Art. 37 ust. 2 RODO, który wprowadza instytucję wspólnego inspektora jest krótki i, tylko z pozoru, wiele wyjaśnia. Zgodnie z tym przepisem: grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Wydaje się, że europejski ustawodawca nie poświęcił wystarczająco wiele miejsca na wspólnego inspektora, co w praktyce przysparza przedsiębiorcom problemów. Postaramy się rozłożyć ten przepis na czynniki pierwsze i przedstawić najczęstsze wątpliwości związane z praktyką jego stosowania.

 

Grupa przedsiębiorstw

 

Wbrew pozorom pojęcie to nie jest równoznaczne z grupą kapitałową, choć jest mu bardzo bliskie. Zgodnie z RODO pojęcie grupy przedsiębiorstw, podobnie jak pojęcie grupy kapitałowej, odwołuje się do sprawowania kontroli przez jeden podmiot nad innymi podmiotami. Preambuła do Rozporządzenia wskazuje, że „za grupę przedsiębiorstw należy uznać przedsiębiorstwo kontrolujące przetwarzanie danych osobowych w przedsiębiorstwach powiązanych z nim, wraz z tymi przedsiębiorstwami”. Europejski ustawodawca odnosi się zatem do sprawowania kontroli w zakresie przetwarzania danych osobowych. Z kolei treść przepisu zawierającego definicję legalną wskazuje jedynie, że grupa przedsiębiorstw oznacza przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane”. Nie jest zatem jasne, czy prymat należy dać kontroli ze względu, na przykład, na udział kapitałowy czy raczej na faktyczną decyzyjność w zakresie celów i sposobów przetwarzania danych. Implikuje to kolejny problem – którą ze spółek w grupie należy traktować jako dominującą na gruncie RODO?

 

Jeden Inspektor – czy na pewno?

 

Art. 37 ust. 2 mówi o jednym inspektorze dla grupy przedsiębiorstw. Przepis ten może stanowić pewną pułapkę – odczytując go dosłownie można wywieść wniosek, że inspektor wyznaczany jest raz, przez jeden podmiot (jaki?) i na tej podstawie pełni swoją funkcję dla całej grupy przedsiębiorców. Możliwe jest także inne rozumienie, zgodnie z którym wszystkie podmioty z jednej grupy powinny odrębnie dokonać czynności mających na celu wyznaczenie osoby IOD i zgłoszenie jej do właściwego sobie organu nadzorczego. Wówczas sformułowanie „jeden inspektor” oznaczałoby tylko tyle, że jest to ta sama osoba z imienia i nazwiska.

Wydaje się jednak, że bez zapisu art. 37 ust. 2 przedsiębiorcy i tak mieliby taką możliwość, co podaje w wątpliwość sens odrębnej regulacji w tym zakresie. Nie ma bowiem zakazu, aby jedna osoba pełniła funkcję IOD w wielu podmiotach.

 

Podstawa wyznaczenia

 

Każda spółka w grupie przedsiębiorstw powinna samodzielnie dokonać aktu wyznaczenia IOD. Praktyka działania niektórych firm pokazuje, że stosują one zarówno umowę, uchwałę w sprawie wyznaczenia lub po prostu pełnomocnictwo do działania. Czy taka praktyka jest poprawna? Art. 37 ust. 6 stanowi, że IOD może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług. Taki zapis może sugerować, że krąg podstaw wyznaczenia IOD jest ograniczony do niektórych rodzajów umów. Czy oznacza to, że w przypadku braku zawarcia odpowiedniej umowy, a co za tym idzie – nieuregulowania kwestii finansowych z IOD, przedsiębiorstwo narazi się na zarzut uzyskiwania nieodpłatnego świadczenia? Taka sytuacja może mieć miejsce w przypadku, gdy IOD zawiera umowę ze spółką dominującą, a reszta spółek z grupy jedynie wyznacza go na podstawie np. uchwały i zgłasza do organu. Na tę chwilę organy, zarówno podatkowe, jak i ochrony danych osobowych, nie wypowiadały się w oficjalnych komunikatach na temat prawidłowości wyznaczenia IOD na takich podstawach jak pełnomocnictwo czy uchwała.

 

o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej

 

RODO stawia jeden warunek wyznaczenia wspólnego IOD dla grupy przedsiębiorstw – kontakt z nim ma być łatwy do nawiązania z każdej jednostki organizacyjnej. Wytyczne grupy roboczej ds. art. 29 precyzują, że należy mieć tu na względzie przede wszystkim barierę językową. Wspólny IOD (lub osoby, którymi będzie się wspierał przy wykonywaniu swoich zadań) powinien władać językiem, w którym będą komunikować się zarówno (i.) osoby z poszczególnych jednostek organizacyjnych, (ii.) osoby, których dane dotyczą, ale także (iii.) sam organ nadzorczy. Ta, z pozoru łatwa do przezwyciężenia bariera, może okazać się trudna w przypadku, gdy jeden IOD jest powołany zarówno dla spółek z Europy, ale także np. Indii czy Chin.

 

Na koniec chcemy przypomnieć o konieczności informowania o danych kontaktowych IOD. Praktyka pokazuje, że wiele firm, kierując się zapisami art. 13 i 14 RODO udostępnia w swoich Politykach prywatności, klauzulach informacyjnych i innych dokumentach jedynie adres e-mail IOD. Tymczasem wprowadzona do polskiego porządku prawnego Ustawa o ochronie danych osobowych rozszerza katalog niezbędnych informacji. Sugerujemy więc jak najszybciej zweryfikować czy na Państwa stronach internetowych znajdują się właściwe dane IOD.

Autor: Samanta Osowska

CONSULTANT / LEGAL DEPARTMENT

samanta.osowska@olesinski.com

Zaproponuj znajomym
Brak komentarzy.

skomentuj