20 gru Jedna grupa kapitałowa, kilka modeli przetwarzania – czy współadministrowanie to na pewno najlepsza opcja?
O RODO w grupach kapitałowych mówi się zazwyczaj w kontekście możliwości powołania się na uzasadniony interes każdej ze spółek w przesyłaniu danych w ramach grupy, do wewnętrznych celów administracyjnych. W praktyce najczęściej chodzi o dane pracowników, klientów i kontrahentów.
Wewnętrzne cele administracyjne
Administratorzy opierają się w tym zakresie na motywie 48 preambuły RODO, który zakłada, że taki interes w ramach grupy przedsiębiorstw może istnieć. Możliwość taką potwierdził też Prezes UODO w wydanym już jakiś czas temu poradniku dla pracodawców, wskazując jednocześnie, że wewnętrzne cele administracyjne mogą dotyczyć głównie czynności związanych ze stosunkiem pracy (delegowanie, rekrutacja, statystyki). W praktyce wydaje się, że można do tego worka wrzucić więcej obszarów – przykładowo wspólne systemy informatyczne, wspólne bazy danych, listy klientów itp.
Trzeba jednak zwrócić uwagę, że i RODO i UODO posługują się pojęciem „możliwości” istnienia interesu w przesyłaniu danych w ramach grupy, co oznacza, że interes może istnieć, ale nie musi. Faktyczną ocenę istnienia tej przesłanki należy dokonać indywidualnie przy uwzględnieniu specyfiki i charakteru grupy, ale też rodzaju dokonywanych operacji przetwarzania. Jak tego dokonać?
Współadministrowanie dobre na wszystko?
Na pewno grupa powinna rozważyć współpracę w zakresie współadministrowania danymi i wiele podmiotów to robi. Spółki widzą, że wspólnie przetwarzają dane, korzystają ze wspólnych systemów, wzajemnie się wspierają i przez to przenikają w procesach przetwarzania. Można jednak odnieść wrażenie, że do tego worka lądują często też procesy przetwarzania, które ze współadministracją nie mają wiele wspólnego. U podstaw takiej błędnej identyfikacji leży często przeświadczenie, że przecież wszystko jest realizowane w ogólnym interesie grupy traktowanej w świadomości kadry właścicielskiej i zarządzającej jako jeden podmiot. W praktyce jednak każda ze spółek to najczęściej nie tylko odrębny pracodawca, ale też odrębny biznes lub jego element.
Jak więc stworzyć model przetwarzania danych w grupie? Należy przede wszystkim zidentyfikować i zrozumieć zachodzące w grupie procesy. Współadministrowanie występuje zazwyczaj w zakresie, w jakim spółki korzystają ze wspólnych systemów, prowadzą jedną listę pracowników i danych kontaktowych oraz posiadają wspólną bazę klientów.
Zdarza się jednak często, że któraś ze spółek przejmuje realizację poszczególnych procesów administracyjnych i wspiera pozostałe spółki pełniąc rolę tzw. centrum usług wspólnych. Najczęściej spółka taka przejmuje procesy rekrutacyjne i HR, ale też księgowe, windykacyjne czy archiwizacyjne. Nie może ona być wtedy uznana za administratora czy współadministratora danych pracowników czy klientów pozostałych spółek – działa przecież na ich zlecenie, niejako w zastępstwie wykonując za nie zadania wynikające z faktu bycia pracodawcą czy sprzedawcą. Bez wątpienia jest to model powierzenia danych do przetwarzania – gdzie spółka wspierająca działa jako procesor.
Jedna grupa, kilka modeli przetwarzania
Dane pracownika spółki X należącej do grupy kapitałowej Y, jedna ze spółek przetwarza jako administrator (mimo, że nie jest jego pracodawcą), inna jako procesor, a jeszcze inna jako współadministrator – czy taki mix w ramach jednej grupy jest możliwy?
Tak, co więcej w większości grup współistnieje jednocześnie kilka różnych procesów i podstaw przetwarzania. Zazwyczaj istnieje obszar współadministracji, gdzie cele i sposoby przetwarzania ustalane są wspólnie. Dodatkowo, jeśli czynności administracyjne są zlecone do jednej spółki, to powstaje stosunek powierzenia, a spółka wspierająca działa jako procesor.
Zdarza się też, że w związku z prowadzonym biznesem spółki są względem siebie klientami czy dostawcami i wtedy dane pracowników innych spółek poszczególne spółki przetwarzają jako administratorzy (tak samo, jak dane pracowników innych klientów czy dostawców).
Na pierwszy rzut oka takie wzajemne współistnienie modeli przetwarzania może wydawać się skomplikowane, ale w praktyce wystarczy jednorazowe, kompleksowe ułożenie tych procesów i odzwierciedlenie odpowiednich przepływów w umowach między spółkami i klauzulach informacyjnych.
Największym praktycznym zagrożeniem w tym zakresie wydaje się być zbyt powierzchowne podejście do tematu i automatyczne przyjęcie, że wszystkie procesy w grupie są wspólne i oznaczają współadministrację. W praktyce rzadko ten model będzie odpowiadał wszystkim przepływom danych w grupie, a dodatkowo nie jest najkorzystniejszy biznesowo ze względu na wspólną odpowiedzialność wszystkich administratorów.