RODO w grupie kapitałowej

Funkcjonowanie w strukturze grupy kapitałowej wiąże się nierozerwalnie z mniejszym lub większym przepływem danych osobowych pomiędzy członkami grupy. Przepływ ten jest w praktyce nieunikniony i dotyczy najczęściej danych kontrahentów, klientów, adresatów działań marketingowych czy danych pracowników. Regulacje RODO wprowadzają szczegółowe wytyczne ułatwiające wewnętrzny przepływ danych czy też nadzorowanie przestrzegania zasad ochrony danych osobowych w grupie. Ułatwienia te przybliżamy poniżej.

Grupa przedsiębiorstw

Na wstępie warto wyjaśnić, że pojęcie grupy kapitałowej (znane polskim regulacjom prawnym) nie występuje na gruncie regulacji RODO. W jego miejsce rozporządzenie unijne wprowadza pojęcie grupy przedsiębiorstw, która jest definiowana jako „przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane”. Zgodnie z motywem 37 do Rozporządzenia RODO sprawowanie kontroli powinno być rozpatrywane w kontekście dominującego wpływu, jaki ma przedsiębiorstwo sprawujące kontrolę nad przedsiębiorstwami kontrolowanymi. Ten dominujący wpływ przejawiać się może przykładowo w sferze struktury właścicielskiej czy udziale finansowym. Za grupę przedsiębiorstw w rozumieniu RODO może tym samym być uznana często występująca w Polsce struktura grupy kapitałowej składającej się ze spółki matki posiadającej większościowy udział w spółkach zależnych. Zatem przy identyfikacji istnienia grupy przedsiębiorstw w rozumieniu RODO można posiłkować się kryteriami identyfikacji spółki dominującej i spółek zależnych zgodnie z polskimi regulacjami spółek.

Ułatwienia organizacji przepływu i ochrony danych

Jak wskazano na wstępie grupa przedsiębiorstw dysponuje pewnymi ułatwieniami w przetwarzaniu danych osobowych. Zgodnie z art. 37 ust. 2 Rozporządzenia RODO grupa może wyznaczyć jednego inspektora ochrony danych. Umożliwia to ujednolicenie środków i procedur ochrony danych w ramach grupy oraz umożliwienia spółce dominującej w grupie sprawowania kontroli nad wypełnianiem obowiązków oraz wymogów prawnych dotyczących przetwarzania i ochrony danych.

Ponadto grupa przedsiębiorstw może zgodnie z art. 47 Rozporządzenia RODO korzystać z zatwierdzonych wiążących reguł korporacyjnych przy międzynarodowym przekazywaniu danych z Unii (w sytuacji, gdy dane przekazywane są administratorowi lub procesorowi w państwie trzecim – w praktyce dotyczy międzynarodowych grup kapitałowych). Wiążące reguły korporacyjne oznaczają wewnątrzgrupowe polityki ochrony danych osobowych, które znajdują zastosowanie do każdego z członków grupy przedsiębiorstw i ich stosowanie jest egzekwowane w grupie. Stosowanie wiążących reguł korporacyjnych umożliwia przesyłanie danych pomiędzy członkami grupy, choćby któraś ze spółek miała siedzibę poza EOG. Dodatkowo pozwala na uproszczenie wewnątrzgrupowego udostępniania danych oraz stanowi narzędzie wprowadzenia jednolitych mechanizmów i procedur dotyczących szeroko pojętej ochrony danych osobowych w grupie.

Omawiając ułatwienia wprowadzone przez Rozporządzenie RODO dla grup przedsiębiorstw należy dodatkowo wskazać na umożliwienie administratorom wchodzącym w skład grupy na przesyłanie danych osobowych innym członkom grupy w wewnętrznych celach administracyjnych. RODO wprowadza zasadę zgodności z prawem przetwarzania danych wyłącznie w ściśle określonych sytuacjach (np. gdy osoba, której dane dotyczą, wyraziła na to zgodę). W razie niespełnienia któregokolwiek z warunków określonych w art. 6 ust. 1 przetwarzanie będzie uznane za niezgodne z prawem.

Co jest ważne w kontekście grup przedsiębiorstw, jedną z przesłanek legalności przetwarzania danych zgodnie z art. 6 ust. 1 lit. f jest sytuacja, w której przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora danych. Prawnie uzasadniony interes zachodzić będzie w razie przesyłania danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów i pracowników. Tym samym przesyłanie i przetwarzanie danych osobowych w ramach grupy przedsiębiorstw w celach wewnętrznych (np. sprawozdawczych) spełniać będzie kryterium legalności zgodnie z art. 6 ust. 1 lit. f) Rozporządzenia RODO.

Grupa przedsiębiorstw – nie tylko ułatwienia

Przetwarzanie i wzajemne udostępnianie danych osobowych w ramach grupy kapitałowej, poza zarysowanymi powyżej ułatwieniami prawnymi, pociąga za sobą również pewne wyzwania. Przede wszystkim niełatwa może okazać się identyfikacja przez członków grupy całości procesów przetwarzania danych w poszczególnych spółkach oraz sytuacji wzajemnego udostępniania danych (tzw. mapowanie).

Udostępnianie danych pomiędzy członkami grupy wymaga zwykle zawarcia umów powierzenia przetwarzania danych osobowych. Dodatkowo w grupach przedsiębiorstw pojawiać się może problem identyfikacji faktycznego administratora danych osobowych (podmiotu decydującego o celach i sposobach przetwarzania danych) oraz rozważenia możliwego wystąpienia współadministrowania określonymi danymi osobowymi. W tej ostatniej sytuacji konieczne będzie uregulowanie wewnętrzne przez współadministratorów wzajemnego zakresu wypełniania obowiązków prawnych oraz relacji pomiędzy nimi a podmiotami, których dane dotyczą.