RODO w grupie kapitałowej – jak przetwarzać dane osobowe pracowników
Zwykle spółki współpracujące ze sobą w ramach grupy kapitałowej korzystają ze wspólnego systemu informatycznego, w ramach które przetwarzane (wymieniane) są dane osobowe np. pracowników. Sprawdź, czy takie przetwarzanie wiąże się z koniecznością zawarcia umowy powierzenia przetwarzania danych. A może właściwe jest wdrożenie innego rozwiązania?
Grupa przedsiębiorstw - status współadministratorów według RODO
RODO przewiduje odrębną definicję „grupy przedsiębiorstw”. W myśl art. 4 pkt 19 grupa ta składa się z przedsiębiorstwa sprawującego kontrolę oraz przedsiębiorstw przez nie kontrolowanym. Przedsiębiorstwem sprawującym kontrolę jest zaś przedsiębiorstwo, które może wywierać dominujący wpływ na pozostałe przedsiębiorstwa ze względu np. na strukturę właścicielską, udział finansowy lub przepisy regulujące jego działalność, lub też uprawnienia do nakazywania wdrożenia przepisów o ochronie danych osobowych (motyw 37 preambuły RODO). Taką grupę może stanowić właśnie grupa kapitałowa.
Przedsiębiorstwo sprawujące kontrolę to nie tylko spółka dominująca w rozumieniu przepisów Kodeksu spółek handlowych, ale także przedsiębiorstwo kontrolujące przetwarzanie danych osobowych w przedsiębiorstwach powiązanych z nim.
Z kolei współadministratorami są z kolei co najmniej dwaj administratorzy, którzy wspólnie ustalają cele i sposoby przetwarzania danych (art. 26 RODO).
Decydują wzajemne relacje w grupie kapitałowej
Relacje pomiędzy przedsiębiorstwami w grupie kapitałowej (grupie przedsiębiorstw) determinują praktyki przetwarzania danych osobowych pracowników. W szczególności istotna jest kwestia wymiany tych danych pomiędzy podmiotami w ramach grupy przedsiębiorstw. Warto przeanalizować ten problem na przykładach z praktyki.
Jeśli tylko jedno przedsiębiorstwo zajmuje się obsługą kadrową, to przekazywanie danych pracowników poszczególnym spółkom wchodzącym w skład grupy może odbywać się na zasadzie udostępnienia temu administratorowi danych osobowych – na podstawie art. 6 ust. 1 lit. f RODO. Prawnie uzasadnionym interesem jest wówczas realizacja celów związanych m.in. z zatrudnianiem lub szkoleniem pracowników.
Dane osobowe pracowników mogą być przetwarzane są w ramach jednego, scentralizowanego systemu. W takiej sytuacji dochodzi do współadministrowania tymi danymi przez przedsiębiorstwa w grupie jako że cele i sposoby przetwarzania danych są ustalane wspólnie, podobnie jak realizowane są obowiązki w zakresie RODO. W tym drugim przypadku przedsiębiorcy powinni ustalić w porozumieniu podział zadań i zakres odpowiedzialności.
Umowa powierzenia przetwarzania danych nie jest konieczna
Przekazywanie danych osobowych w ramach grupy przedsiębiorstw nie wymaga zawierania umów powierzenia przetwarzania, ponieważ przedsiębiorstwa w ramach grupy przetwarzają dane wspólnie i w ramach ustalonych celów. Dotyczy to w szczególności przepływu danych osobowych pomiędzy pracodawcami.
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 4, art. 26, art. 28
- Referencje w procesie zamówień publicznych - jaka jest podstawa przetwarzania danych osobowych wg RODO
- 1,5% podatku na OPP – co z danymi osobowymi darczyńców w zeznaniach podatkowych
- Jak przygotować procedury cyberbezpieczeństwa w placówce medycznej
- Ochrona sygnalistów - dane osobowe w zgłoszeniu naruszenia prawa
- Zastępca IOD na czas nieobecności inspektora ochrony danych osobowych - czy jego wyznaczenie jest konieczne
- 4 mln zł kary UODO dla mBanku za brak zawiadomienia podmiotów danych o naruszeniu
Bezpieczne przechowywanie danych w chmurze
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
