Przetwarzanie danych osobowych w grupie przedsiębiorstw według RODO
RODO wprowadza m.in. pojęcie grupy przedsiębiorstw. Wyjaśniamy, jakie kryteria powiązań pomiędzy przedsiębiorstwami powinny zostać spełnione by uznać je z grupę przedsiębiorstw. Wskazujemy również, czym grupa przedsiębiorstw różni się od grupy kapitałowej.
Grupa przedsiębiorstw zdefiniowana w RODO
Pojęcie grupy przedsiębiorstw znalazło się w motywie 37, motywie 48 preambuły do ogólnego rozporządzenia o ochronie danych oraz art. 4 pkt 19 ogólnego rozporządzenia o ochronie danych. I tak, za grupę przedsiębiorstw należy uznać przedsiębiorstwo kontrolujące przetwarzanie danych osobowych w przedsiębiorstwach powiązanych z nim wraz z tymi przedsiębiorstwami (motyw 37 RODO). Zgodnie z art. 4 pkt 19 RODO definiuje grupę przedsiębiorstw jako przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane. Zaś w świetle motywu 36 RODO, jeżeli przetwarzania dokonuje grupa przedsiębiorstw, za jej główną jednostkę organizacyjną należy uznać główną jednostkę organizacyjną przedsiębiorstwa sprawującego kontrolę, chyba że cel i sposoby przetwarzania określa inne przedsiębiorstwo.
W skład grupy przedsiębiorstw musi wchodzić przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa kontrolowane. Przedsiębiorstwo sprawujące kontrolę powinno być przedsiębiorstwem, które może wywierać dominujący wpływ na pozostałe przedsiębiorstwa ze względu na przykład na strukturę właścicielską, udział finansowy bądź przepisy regulujące jego działalność lub też uprawnienia do nakazywania wdrożenia przepisów o ochronie danych osobowych.
Minimum trzy podmioty w grupie
Wiemy już, że aby istniała grupa przedsiębiorstw:
- musi istnieć przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa kontrolowane,
- przedsiębiorstwo sprawujące kontrolę ma kontrolować przetwarzanie danych osobowych w przedsiębiorstwach powiązanych.
Nie może istnieć dwupodmiotowa grupa przedsiębiorców. Minimalna liczba przedsiębiorców tworzących grupę przedsiębiorstw to 3, skoro musi być przynajmniej jedno przedsiębiorstwo sprawujące kontrolę oraz dwa przedsiębiorstwa kontrolowane.
Przetwarzanie danych osobowych pomiędzy przedsiębiorcami - korzyści
Ze statusem grupy przedsiębiorstw przepisy RODO wiążą pewne korzyści. Otóż administratorzy danych, którzy są częścią grupy przedsiębiorstw, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników. Pozostaje to bez wpływu na ogólne zasady przepływu danych osobowych z grupy przedsiębiorstw do przedsiębiorstwa mieszczącemu się w państwie trzecim. Oznacza to, że spełniona jest podstawa przetwarzania danych osobowych zgodnie z prawem, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora (art. 6 ust. 1 lit. f RODO).
Poza tym grupa przedsiębiorstw może korzystać z zatwierdzonych wiążących reguł korporacyjnych przy międzynarodowym przekazywaniu danych z Unii Europejskiej do organizacji w tej samej grupie przedsiębiorstw, pod warunkiem że w takich regułach korporacyjnych są ujęte wszystkie podstawowe zasady i egzekwowalne prawa zapewniające odpowiednie zabezpieczenia na potrzeby przekazywania danych osobowych lub na potrzeby określonych kategorii przekazań danych osobowych (motyw 110 RODO).
Ponadto grupa przedsiębiorstw w rozumieniu RODO może wyznaczyć wspólnego inspektora ochrony danych, jeśli będzie można łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej (art. 37 ust. 2 RODO).
Przeczytaj także: Jeden inspektor ochrony danych i wspólna polityka dla grupy przedsiębiorstw – co na to RODO
Grupa przedsiębiorstw a grupa kapitałowa
Pojęcia grupy przedsiębiorstw nie można utożsamiać z pojęciem grupy kapitałowej. Kontrola na gruncie RODO nie oznacza bowiem kontroli właścicielskiej (kapitałowej), ale kontroli rozumianej jako wpływ dominujący na podmioty kontrolowane w odniesieniu do wybranej sfery ich działalności, tj. przetwarzania danych osobowych. Przedsiębiorstwem sprawującym kontrolę w rozumieniu RODO może być zatem inna spółka niż spółka dominująca w rozumieniu Kodeksu spółek handlowych.
Grupa przedsiębiorstw może składać się z 7 spółek grupy kapitałowej A oraz 5 spółek grupy kapitałowej B. Przedsiębiorstwem sprawującym kontrolę w całej grupie przedsiębiorstwa może być jedna z tych 5 spółek grupy kapitałowej B, która stanowi centrum usług wspólnych dla obu grup kapitałowych i sprawuje kontrolę nad przetwarzaniem danych w ramach wszystkich 12 podmiotów (mając tym samym dostęp do danych). To sprawowanie kontroli może wynikać w szczególności z regulacji wewnątrzgrupowych czy zawartych umów Service Level Agreement.
Stosowanie RODO w grupie kapitałowej nie zostało więc uregulowane w żaden szczególny sposób.
- Jak zabezpieczyć infrastrukturę informatyczną w związku z powodzią – rekomendacje Pełnomocnika Rządu ds. Cyberbezpieczeństwa
- Referencje w procesie zamówień publicznych - jaka jest podstawa przetwarzania danych osobowych wg RODO
- 1,5% podatku na OPP – co z danymi osobowymi darczyńców w zeznaniach podatkowych
- Czy inspektor ochrony danych może obsługiwać zgłoszenia naruszenia prawa od sygnalistów
- Jak przygotować procedury cyberbezpieczeństwa w placówce medycznej
Bezpieczne przechowywanie danych w chmurze
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
