Jeden inspektor ochrony danych i wspólna polityka dla grupy przedsiębiorstw – co na to RODO

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych, RODO) wprowadza w systemie ochrony danych osobowych inspektora ochrony danych (IOD), który zasadniczo przejmie prawa i obowiązki dotychczasowego administratora bezpieczeństwa informacji (ABI).

Przetwarzanie danych osobowych należy do administratora danych (ADO). Wykonuje on swoje obowiązki z pomocą inspektora ochrony danych, który – bez względu na to, czy jest pracownikiem administratora, czy też nie – powinien być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny od tego administratora.

Administrator danych osobowych ma obowiązek wyznaczyć inspektora ochrony danych, gdy:

• przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
• główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
• główna działalność administratora polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

W pozostałych przypadkach wyznaczenie inspektora ochrony danych jest fakultatywne.

Mnogość inspektorów ochrony danych, zwłaszcza w przypadku mniejszych spółek należących do tej samej grupy kapitałowej, może być mnożeniem bytów ponad potrzeby. W wielu sytuacjach jeden wspólny inspektor ochrony danych będzie w stanie czuwać nad bezpieczeństwem danych przetwarzanych we wszystkich spółkach grupy, co dodatkowo służyłoby ujednoliceniu zasad kontroli i ułatwiłoby organizację pracy.

Europejski prawodawca przewidział możliwość wyznaczenia jednego wspólnego inspektora ochrony danych dla:

• grupy przedsiębiorstw – jeśli będzie można łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej,
• kilku organów lub podmiotów publicznych – z uwzględnieniem ich struktury organizacyjnej i wielkości,
• zrzeszeń lub innych podmiotów reprezentujących określone kategorie administratorów.

Jeżeli spółki stanowią grupę przedsiębiorstw, to mogą wyznaczyć wspólnego inspektora ochrony danych dla części lub nawet wszystkich swoich spółek. Ważne jest, aby nastąpiło to bez oderwania od faktycznych realiów i wymagań ochrony danych osobowych. Inspektor ochrony danych nie może być tylko fasadową instytucją, lecz powinien mieć realną możliwość wykonywania swoich obowiązków. Analizując zasadność ustanowienia wspólnego inspektora ochrony danych i zakresu jego działania, należy mieć na względzie:

• wielkość jednostek organizacyjnych (poziom zatrudnienia, skala działalności, waga problemów),
• intensywność pojawiania się w toku działania tych jednostek zagadnień z zakresu ochrony danych osobowych,
• stopień naruszeń zasad ochrony danych osobowych stwierdzonych do tej pory w jednostkach, które muszą zostać wyeliminowane z pomocą inspektora ochrony danych,
• stopień ujednolicenia zasad ochrony danych osobowych, systemów informatycznych i zabezpieczeń stosowanych w poszczególnych jednostkach administracyjnych.

Grupa przedsiębiorstw powinna obejmować:

• przedsiębiorstwo sprawujące kontrolę oraz
• przedsiębiorstwa kontrolowane,

przy czym przedsiębiorstwo sprawujące kontrolę powinno być przedsiębiorstwem, które może wywierać dominujący wpływ na pozostałe przedsiębiorstwa ze względu na przykład na:

• strukturę właścicielską,
• udział finansowy lub
• przepisy regulujące jego działalność bądź
• uprawnienia do nakazywania wdrożenia przepisów o ochronie danych osobowych.

Za grupę przedsiębiorstw należy uznać przedsiębiorstwo kontrolujące przetwarzanie danych osobowych w przedsiębiorstwach powiązanych z nim, wraz z tymi przedsiębiorstwami (motyw 37 RODO). Artykuł 4 pkt 19 RODO definiuje grupę przedsiębiorców jako przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane. Zgodnie z motywem 36 RODO, jeżeli przetwarzania dokonuje grupa przedsiębiorstw, za jej główną jednostkę organizacyjną należy uznać główną jednostkę organizacyjną przedsiębiorstwa sprawującego kontrolę, chyba że cel i sposoby przetwarzania określa inne przedsiębiorstwo.

Grupa przedsiębiorstw może korzystać z zatwierdzonych wiążących reguł korporacyjnych przy międzynarodowym przekazywaniu danych z Unii Europejskiej do organizacji w tej samej grupie przedsiębiorstw, pod warunkiem że w takich regułach korporacyjnych są ujęte wszystkie podstawowe zasady i egzekwowalne prawa zapewniające odpowiednie zabezpieczenia na potrzeby przekazywania danych osobowych lub na potrzeby określonych kategorii przekazań danych osobowych (motyw 110 RODO).

Abyśmy mieli do czynienia z grupą przedsiębiorstw:

• musi istnieć przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa kontrolowane,
• przedsiębiorstwo sprawujące kontrolę ma kontrolować przetwarzanie danych osobowych w przedsiębiorstwach powiązanych.

W mojej ocenie nie może istnieć dwupodmiotowa grupa przedsiębiorców. Minimalna ilość przedsiębiorstw w grupie przedsiębiorstw to 3, skoro musi być przynajmniej jedno przedsiębiorstwo sprawujące kontrolę oraz dwa przedsiębiorstwa kontrolowane (RODO posługuje się tu liczbą mnogą).

Pojęcie grupy przedsiębiorstw nie można utożsamiać z pojęciem grupy kapitałowej. Pojęcie kontroli z RODO nie oznacza bowiem kontroli właścicielskiej (kapitałowej), ale kontroli rozumianej jako wpływ dominujący na podmioty kontrolowane w odniesieniu do wybranej sfery ich działalności, tj. przetwarzania danych osobowych. Bez wątpienia przedsiębiorstwem sprawującym kontrolę może być inna spółka niż spółka dominująca w rozumieniu Kodeksu spółek handlowych.