Dane osobowe w grupie kapitałowej

Spora część krajowych i międzynarodowych przedsiębiorstw funkcjonuje w ramach większych lub mniejszych grup kapitałowych. Prowadzenie działalności w ramach takiej struktury wiąże się nie tylko z silniejszą pozycją na rynku, ale także z szeregiem ułatwień, jakie daje wspólne zarządzanie poszczególnymi obszarami, takimi jak kadry czy systemy informatyczne. To wszystko, co na gruncie organizacyjnym jest niewątpliwą zaletą, na gruncie wchodzących przepisów RODO może rodzić pewne komplikacje i potrzebę zmian.

Kto zarządza danymi w grupie kapitałowej?

Grupa kapitałowa jest pojęciem z Ustawy o rachunkowości[1]. Na gruncie RODO takie pojęcie nie występuje. W zamian, ustawodawca unijny zaproponował wprowadzenie pojęcia „Grupa przedsiębiorstw”, którą sam definiuje jako „przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane”.

Z preambuły RODO możemy wyczytać, że za grupę przedsiębiorstw „należy uznać przedsiębiorstwo kontrolujące przetwarzanie danych osobowych w przedsiębiorstwach powiązanych z nim, wraz z tymi przedsiębiorstwami”. Kryterium uznania za spółkę dominującą ma więc na gruncie RODO nie sam fakt dominacji kapitałowej czy udziałowej, ale to, która spółka posiada kontrolę nad przetwarzaniem danych.

W zależności od danego stanu faktycznego każda ze spółek uczestniczących w grupie może w odniesieniu do niektórych danych być administratorem, a co do niektórych pełnić jedynie funkcję procesora. Kryterium decydującym o roli administratora jest decyzyjność w zakresie ustalania celów i sposobów przetwarzania danych osobowych. W praktyce często spotyka się, że spółki w ramach ustalania ładu korporacyjnego przyjmują, że administratorem danych osobowych przetwarzanych w grupie będzie określona spółka (przeważnie spółka-matka). Takie ustalenia miałyby sens jedynie, gdyby wszelkie dane osobowe faktycznie były w sposób scentralizowany zarządzane przez jedną spółkę. W praktyce może się to okazać niemożliwe, chociażby ze względu na fakt, że administratorem danych pracowników jest ich pracodawca. Niewątpliwie jednak dane osobowe pracowników także mogą być w pewnym zakresie przetwarzane przez inne spółki z grupy, chociażby do celów statystycznych i organizacyjnych. Jak więc uregulować przepływ danych osobowych między spółkami i jak znaleźć odpowiednie narzędzie prawne, które pozwoli na swobodny obieg danych w grupie?

Mapowanie

To pojęcie ma tylko trochę wspólnego z geografią. Każda grupa kapitałowa powinna przeprowadzić mapowanie danych osobowych, i co najważniejsze – wszystkie spółki z grupy powinny zrobić to wspólnie. Czym właściwie jest mapowanie?

Mapowanie powinno obejmować ustalenie jakie procesy przetwarzania danych są przeprowadzane w poszczególnych spółkach grupy kapitałowej i pomiędzy nimi. Przykładowym procesem jest „wypłata wynagrodzeń dla pracowników”. W ramach takiego procesu powinno zostać ustalone szereg informacji obejmujących, między innymi zakres przetwarzanych danych, podmioty odpowiedzialne za ich przetwarzanie, systemy służące do ich zbierania, przechowywania i przesyłania i co niezwykle istotne – podmioty, które mają dostęp do danych w ramach procesu. Wynik mapowania powinien dać szeroki pogląd na model przepływu i przetwarzania danych w grupie.

Warto pamiętać, że przepływ danych ma miejsce także w przypadku korzystania przez spółki ze wspólnych systemów informatycznych, np. gdy jedna ze spółek jest właścicielem programu służącego do tworzenia bazy marketingowej klientów, a wszystkie inne spółki wprowadzają do niego pozyskane dane. Przepływ danych może mieć więc nie tylko postać fizycznego ale też elektronicznego przekazywania danych. W większości przypadków spółki wprowadzające dane do takiego programu będą w odniesieniu do nich administratorami, zaś spółka, która dostarcza program będzie tylko podmiotem przetwarzającym dane (tzw. procesorem). Może jednak się zdarzyć tak, że o wysyłce informacji handlowych do klientów umieszczonych w bazie programu decyduje tylko i wyłącznie spółka dostarczająca program. W takim wypadku należy uznać, że to ona decyduje o celach i środkach przetwarzania, a co za tym idzie –  jest administratorem wszelkich danych zgromadzonych w programie.

Podstawa przesyłania danych

W tym miejscu pojawia się pytanie: czy spółki w grupie kapitałowej mogą bez żadnych konsekwencji przesyłać sobie dane? Z pomocą przychodzi RODO, które w punkcie 48. preambuły  stanowi, że administratorzy, którzy są częścią grupy przedsiębiorstw mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników. Wydaje się więc, że podstawą przetwarzania tych danych będzie prawnie usprawiedliwiony cel administratorów w grupie, jednak dotyczy to potencjalnie tylko wewnętrznych celów administracyjnych. Warto poczekać tutaj na wyraźne stanowisko Prezesa Urzędu Ochrony Danych Osobowych.

Umowa powierzenia przetwarzania danych

Podstawa prawna przetwarzania to jednak nie wszystko, ponieważ w ramach określonych relacji w grupie kapitałowej, zależnie od stanu faktycznego, może się okazać, że spółki w odniesieniu do danych osobowych czasem działają jako administratorzy a czasem jako procesorzy. W takim układzie pomiędzy spółką – administratorem a spółką – procesorem powinna zostać zawarta umowa powierzenia o treści zgodnej z art. 28 RODO. Dzięki wcześniej przeprowadzonemu mapowaniu spółki z grupy kapitałowej mają jasno określoną sytuację – kto, z kim i w odniesieniu do jakich danych powinien zawrzeć umowę powierzenia, a także kto w tej umowie będzie administratorem a kto jedynie podmiotem przetwarzającym. Relacje administrator – procesor można regulować w ramach odrębnych umów, jednak jeśli tych zależności jest dużo, warto uregulować kwestię powierzania danych w ramach jednego, grupowego dokumentu, który będzie kompleksowo normował prawa i obowiązki związane z przekazywaniem danych w spółce.

Gdzie przetwarzane są dane?

Wspomniany wcześniej aspekt geograficzny mapowania da nam odpowiedź na pytanie w jakich krajach dane są przetwarzane. Warto pamiętać, że nie muszą być to tylko kraje, w których spółki przetwarzające dane mają siedziby, a także te, w których znajdują się serwery programów służących do przetwarzania danych, a tych – w dobie dzisiejszej informatyzacji – może być całkiem dużo.

Czasami może się okazać, że dane osobowe przekazywane są do tzw. kraju trzeciego, czyli kraju znajdującego się poza Europejskim Obszarem Gospodarczym. W takich wypadkach RODO stanowi, że przekazanie danych może nastąpić, tylko jeśli zostaną ustanowione odpowiednie zabezpieczenia. Niektóre kraje (np. Stany Zjednoczone) zostały uznane odgórnie przez Komisję Europejską za kraje zapewniające odpowiedni stopień ochrony. W odniesieniu do innych krajów musimy wykazać się jednym z mechanizmów bezpieczeństwa wymienionym w art. 46 RODO.

Wiążące reguły korporacyjne

Jednym z takich mechanizmów są wiążące reguły korporacyjne. Są to dokumenty przyjmowane i obowiązujące w całej grupie przedsiębiorstw. Taki dokument, o ile spełnia wymogi określone w RODO, jest następnie zatwierdzany przez właściwy organ nadzorczy. Grupa przedsiębiorstw, która przyjęła wiążące reguły korporacyjne może zatem przesyłać między sobą dane osobowe, choćby siedziba którejś ze spółek znajdowała się poza EOG. Stosowanie wiążących reguł korporacyjnych zwalnia też z wielu obowiązków, np. znacząco skraca treść umów powierzenia przetwarzania danych zawieranych między spółkami.

Inspektor ochrony danych

Na koniec pozostaje wspomnieć, że grupy przedsiębiorstw mogą powołać wspólnego Inspektora Ochrony Danych. Nie wszystkie spółki są zobowiązane do jego powoływania, jednak jeśli są – warto pomyśleć nad wspólnym inspektorem. RODO stawia tylko jedno ograniczenie dla powołania jednego inspektora – kontakt z inspektorem musi być łatwy do uzyskania z każdej z jednostek organizacyjnych wchodzących w skład grupy. Grupa Robocza ds. art. 29 doprecyzowuje, że kontakt ten może być osobisty w siedzibie podmiotu, jak również telefoniczny albo za pośrednictwem innych środków komunikacji na odległość, a także, że inspektor powinien posługiwać się językiem lub językami używanymi przez pracowników.

[1] Ustawa z dnia 29 września 1994 r. o rachunkowości.

Autor: Samanta Osowska

MANAGER M&A | RADCA PRAWNY | OW LEGAL

samanta.osowska@olesinski.com

Więcej