Wyobraźmy sobie sytuację, w której spółka-matka jest administratorem swoich danych kadrowych. Jednocześnie zaś pełni rolę procesora względem danych kadrowych pracowników spółki-córki. Spółka-córka jest zaś, który powierzył do przetwarzania dane kadrowe swoich pracowników spółce matce. Spółka matka jest spółką wiodącą i sprawującą kontrolę (struktura właścicielska). Na podstawie tego przykładu przeanalizujemy, jak chronić dane osobowe w grupie kapitałowej.
W opisanej sytuacji pracownicy spółki córki wprowadzają różne dane wejściowe do systemów kadrowych spółki matki. Dane te weryfikują pracownicy spółki matki, świadcząc obsługę kadrową. Dostęp do systemu mają zarówno pracownicy administratora jak i procesora. Co na to RODO?
Grupa przedsiębiorstw a RODO
Czym jest grupa kapitałowa? RODO nie definiuje tego pojęcia. Wskazuje natomiast, czym jest grupa przedsiębiorstw. Oznacza to przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane. Grupa przedsiębiorstw powinna obejmować przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa kontrolowane. Przy czym przedsiębiorstwo sprawujące kontrolę powinno być przedsiębiorstwem, które może wywierać dominujący wpływ na pozostałe przedsiębiorstwa (motyw 37 RODO).
Przedsiębiorstwo dominujące może wpływać np. na:
- strukturę właścicielską,
- udział finansowy,
- przepisy regulujące działalność innego przedsiębiorstwa,
- kwestie zatrudnienia,
- uprawnienia do nakazywania wdrożenia przepisów o ochronie danych osobowych.
Na potrzeby tego artykułu grupę przedsiębiorstw można wiec utożsamić z grupą kapitałową.
Co istotne, administratorzy, którzy są częścią takiej grupy przedsiębiorstw lub instytucji powiązanych z podmiotem dominującym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych.
