REKLAMA: automatycznie wyświetlimy artykuł za 15 sekund.

Jak działa RODO w grupie kapitałowej

Przepływ danych osobowych pomiędzy członkami grupy kapitałowej jest nieunikniony. W praktyce oraz z reguły dotyczy on danych kontrahentów, klientów, pracowników oraz innym powiązanych podmiotów. Regulacje RODO dostarczają szczegółowych wytycznych upraszczających wewnętrzny przepływ danych oraz nadzorowanie przestrzegania zasad ochrony danych osobowych w grupie.

Publikacja: 15.02.2019 05:40

Foto: Adobe Stock

Jan Malicki

W regulacjach RODO nie występuje przyjmowane w obrocie pojęcie grupy kapitałowej, co nie świadczy o jego pominięciu. W jego miejsce rozporządzenie unijne definiuje tego typu relację jako „przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane". W odniesieniu do motywu 37 sprawowanie kontroli powinno odbywać się w kontekście dominującego wpływu, jaki ma przedsiębiorstwo sprawujące kontrolę nad przedsiębiorstwami kontrolowanymi. Taki rodzaj wpływu może się przejawiać w sferze struktury właścicielskiej, czy też udziale finansowym. Grupa kapitałowa, w której skład wchodzi spółka matka o większościowych udziałach w spółkach zależnych, może być uznana jako grupa przedsiębiorstw w rozumieniu RODO. Wówczas przy identyfikacji istnienia takiej grupy, można bazować na kryteriach identyfikacji spółki dominującej i spółek zależnych zgodnie z polskimi regulacjami spółek.

Czytaj także: RODO: Inspektor Ochrony Danych Osobowych - jaki powinien mieć zakres obowiązków

Uproszczony przepływ

Jak już wykazałem grupa przedsiębiorstw korzysta z pewnych udogodnień polegających na uproszczonym przetwarzaniu danych osobowych. W myśl art. 37 ust. 2 Rozporządzenia RODO, grupa może wyznaczyć jednego inspektora ochrony danych, co w praktyce umożliwia ujednolicenie środków oraz procedur ochrony danych w ramach grupy. Umożliwia to także spółce dominujące sprawowanie kontroli w drodze wypełniania obowiązków oraz wymogów prawnych zgodnych z przetwarzaniem i ochroną danych.

Zgodnie z art. 47 Rozporządzenia RODO, grupa przedsiębiorstw jest uprawniona do korzystania z zatwierdzonych wiążących reguł korporacyjnych przy międzynarodowym przekazywaniu danych z Unii (gdy dane przekazywane są do administratora lub procesora w państwie trzecim – w praktyce dotyczy to międzynarodowych zasad funkcjonowania grup kapitałowych).

Wiążące reguły korporacyjne stanowią wewnątrzgrupową politykę ochrony danych osobowych, które stanowią wytyczne, a jednocześnie obowiązek dla każdego z członków grupy. Ich zastosowanie umożliwia przesyłanie danych pomiędzy członkami, także w przypadku umiejscowienia spółki poza siedzibę EOG. W dodatku pozwala na uproszczenie wewnątrzgrupowego udostępniania danych oraz stanowi narzędzie wprowadzenia jednolitych mechanizmów i procedur dotyczących szeroko pojętej ochrony danych osobowych w grupie.

W przypadku występowania grup przedsiębiorstw należy wspomnieć o umożliwieniu przekazywania przez administratora danych osobowych innym członkom wewnątrz grupy w celach administracyjnych. RODO wprowadza ogólną zasadę zgodności z prawem przetwarzania danych wyłącznie w ściśle określonych sytuacjach (np. gdy właściciel danych, wyraził na to zgodę). W razie niewypełnienia którejkolwiek z podstaw przetwarzania danych osobowych uregulowanych w art. 6 ust. 1 RODO przetwarzanie będzie za niezgodne z prawem.

Co ważne w kontekście grup przedsiębiorstw – jedną z przesłanek legalności przetwarzania danych zgodnie z art. 6 ust. 1 lit. f RODO jest sytuacja, w której przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora danych. Prawnie uzasadniony interes zachodzić będzie w razie przesyłania danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów i pracowników. Tym samym przesyłanie i przetwarzanie danych osobowych w ramach grupy przedsiębiorstw w celach wewnętrznych (np. sprawozdawczych) spełniać będzie kryterium legalności zgodnie z Rozporządzeniem RODO.

Jakie wyzwania

W procesie przetwarzania oraz udostępniania danych osobowych w ramach grupy kapitałowej nieco bardziej złożona może okazać się identyfikacja całości procesów przetwarzania danych w poszczególnych spółkach, a także sytuacji obopólnego udostępniania danych (tzw. mapowania).

Proces, w którym członkowie grup przekazują między sobą dane osobowe, wymaga zawarcia odpowiednich umów. Należy wówczas dodatkowo przeanalizować, czy w ramach przetwarzania danych osobowych prawidłowo został wypełniony obowiązek informacyjny zgodnie z art. 13 lub art. 14 RODO (niezbędne wskazanie podstaw przetwarzania oraz prawnie uzasadnionych interesów, w razie powyżej wskazanego wewnątrzgrupowego przetwarzania danych). W dodatku problematyczne, może się okazać zidentyfikowanie faktycznego administratora danych osobowych, który decyduje o ich sposobach oraz celach przetwarzania, a także rozważenia możliwego wystąpienia współadministrowania określonymi danymi osobowymi.

—Jan Molicki, radca prawny, Kancelaria Prawna Piszcz i Wspólnicy

Kadry Finanse w Firmie

Premier Donald Tusk i ministrowie jego rządu

Prawo w firmie

Legislacja gospodarcza w stylu słabej drużyny futbolowej

Mijający rok przyniósł kilka ciekawych ustaw i kilka szkodliwych z punktu widzenia przedsiębiorców. Wciąż brak jest zdecydowanych reform probiznesowych – wynika z raportu firmy Grant Thornton, który „Rzeczpospolita” poznała jako pierwsza.

Materiał Promocyjny

Jak przez ćwierć wieku zmieniał się rynek leasingu

Polskim przedsiębiorcom dostarcza nowoczesne rozwiązania finansowe, wyznacza standardy w branży leasingowej. Zaczęło się skromnie – od jednego aktu założycielskiego i sporych ambicji. Dziś PKO Leasing jest liderem polskiego rynku leasingowego, który napędza małe i duże biznesy. Jak wyglądało 25 drogi na szczyt?

Prawo w firmie

"Rzeczpospolita" znów liderem w kwestii własności intelektualnej

Autorzy „Rzeczpospolitej” zdominowali podium XII edycji konkursu Urzędu Patentowego na informację medialną o tematyce własności intelektualnej, w tym przemysłowej.

Prawo w firmie

Podwykonawstwo a prawo zamówień publicznych. Co mówi orzecznictwo KIO?

Podwykonawstwo całości zamówienia w prawie zamówień publicznych nie jest dopuszczalne - powierzyć można wykonanie części zamówienia. A co mówi orzecznictwo Krajowej Izby Odwoławczej.

Prawo w firmie

EUDR nabiera coraz wyraźniejszych kształtów. Co zakłada unijna regulacja?

EUDR obejmuje siedem odnośnych towarów, których produkcja, w ocenie ustawodawcy unijnego, w największym stopniu przyczynia się do wylesiania i degradacji lasów - soję, kawę, kakao, bydło, palmę olejową, drewno i kauczuk.

Materiał Promocyjny

5G – przepis na rozwój twojej firmy i miejscowości

Nadchodzi nowy etap rozwoju całej gospodarki. Z siecią 5G nam wszystkim będzie żyło się lepiej i bezpieczniej – przekonuje Orange Polska.

Prawo w firmie

Komisja Europejska zaskarżyła Polskę do TSUE. Chodzi o minimalny podatek dochodowy

Polska znalazła się wśród czterech państw, które Komisja Europejska pozwała do Trybunału Sprawiedliwości w związku z niewdrożeniem drugiego filaru globalnej reformy podatkowej.

Materiał Promocyjny

Nowości dla przedsiębiorców w aplikacji PeoPay

Bank Pekao S.A. wprowadza zmiany w aplikacji PeoPay, dostosowując ją do potrzeb klientów prowadzących działalność gospodarczą. Rozszerzenie opcji personalizacji oraz dodanie elementów, które odróżniają profil firmowy od indywidualnego, to kolejny krok w rozbudowie oferty skierowanej do przedsiębiorców.

Praca, Emerytury i renty

Przepisy o wolnym w Wigilię niezgodne z konstytucją? Eksperci mają jasne stanowisko

Zdaniem prawników ustawa ustanawiającą Wigilię dniem wolnym od pracy nie budzi wątpliwości konstytucyjnych.

Podatki

Czy darmowa polisa od firmy to dla pracownika przychód z PIT? Jest wyrok WSA

Objęcie pracownika zbiorową, bezimienną polisą opłaconą i wymaganą przez pracodawcę oznacza przychód z pracy opodatkowany PIT.

Opinie Ekonomiczne

Niewidzialne bariery w świecie pracy: jak dyskryminacja kształtuje sieci zawodowe?

Mamy świadomość występowania dyskryminacji przy rekrutacji i na późniejszych etapach kariery zawodowej. Jednak okazuje się, że występuje ona także na etapie tworzenia sieci zawodowych na platformach takich jak LinkedIn.

Biznes

Na jakie dotacje mogą liczyć przedsiębiorcy w 2025 roku?

Firmy, szczególnie te z sektora małych i średnich nie będą narzekać. Instytucje odpowiedzialne za wdrażanie poszczególnych działań, opisanych w programach unijnych, szykują dla nich konkursy.

Biznes

Kiedy „właściwy czas” na złożenie wniosku o ogłoszenie upadłości?

Zdaniem Sądu Najwyższego, „właściwy czas” na złożenie przez członka zarządu wniosku o ogłoszenie upadłości spółki lub wniosku o wszczęcie postępowania restrukturyzacyjnego spółki, w rozumieniu przepisów ordynacji podatkowej, to okres wcześniejszy niż powstanie stanu niewypłacalności spółki.