Zwykle spółki współpracujące ze sobą w ramach grupy kapitałowej korzystają ze wspólnego systemu informatycznego, w ramach które przetwarzane (wymieniane) są dane osobowe np. pracowników. Sprawdź, czy takie przetwarzanie wiąże się z koniecznością zawarcia umowy powierzenia przetwarzania danych. A może właściwe jest wdrożenie innego rozwiązania?
RODO przewiduje odrębną definicję „grupy przedsiębiorstw”. W myśl art. 4 pkt 19 grupa ta składa się z przedsiębiorstwa sprawującego kontrolę oraz przedsiębiorstw przez nie kontrolowanym. Przedsiębiorstwem sprawującym kontrolę jest zaś przedsiębiorstwo, które może wywierać dominujący wpływ na pozostałe przedsiębiorstwa ze względu np. na strukturę właścicielską, udział finansowy lub przepisy regulujące jego działalność, lub też uprawnienia do nakazywania wdrożenia przepisów o ochronie danych osobowych (motyw 37 preambuły RODO). Taką grupę może stanowić właśnie grupa kapitałowa.
Przedsiębiorstwo sprawujące kontrolę to nie tylko spółka dominująca w rozumieniu przepisów Kodeksu spółek handlowych, ale także przedsiębiorstwo kontrolujące przetwarzanie danych osobowych w przedsiębiorstwach powiązanych z nim.
Z kolei współadministratorami są z kolei co najmniej dwaj administratorzy, którzy wspólnie ustalają cele i sposoby przetwarzania danych (art. 26 RODO).
Relacje pomiędzy przedsiębiorstwami w grupie kapitałowej (grupie przedsiębiorstw) determinują praktyki przetwarzania danych osobowych pracowników. W szczególności istotna jest kwestia wymiany tych danych pomiędzy podmiotami w ramach grupy przedsiębiorstw. Warto przeanalizować ten problem na przykładach z praktyki.
Jeśli tylko jedno przedsiębiorstwo zajmuje się obsługą kadrową, to przekazywanie danych pracowników poszczególnym spółkom wchodzącym w skład grupy może odbywać się na zasadzie udostępnienia temu administratorowi danych osobowych – na podstawie art. 6 ust. 1 lit. f RODO. Prawnie uzasadnionym interesem jest wówczas realizacja celów związanych m.in. z zatrudnianiem lub szkoleniem pracowników.
Dane osobowe pracowników mogą być przetwarzane są w ramach jednego, scentralizowanego systemu. W takiej sytuacji dochodzi do współadministrowania tymi danymi przez przedsiębiorstwa w grupie jako że cele i sposoby przetwarzania danych są ustalane wspólnie, podobnie jak realizowane są obowiązki w zakresie RODO. W tym drugim przypadku przedsiębiorcy powinni ustalić w porozumieniu podział zadań i zakres odpowiedzialności.
Przekazywanie danych osobowych w ramach grupy przedsiębiorstw nie wymaga zawierania umów powierzenia przetwarzania, ponieważ przedsiębiorstwa w ramach grupy przetwarzają dane wspólnie i w ramach ustalonych celów. Dotyczy to w szczególności przepływu danych osobowych pomiędzy pracodawcami.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
