IV EDYCJA SZKOŁY RODO kontynuujemy od 10 września 2020
zapoznaj się ze szczegółami i dołącz do nas
zapoznaj się
RODO-ŚRODY

Dowiedź się, czym są RODO Środy i weź udział!
rodo-srody.pl
Zgodność w zasięgu ręki
INFOGRAFIKI materiały graficzne opracowane przez nasz zespół
na potrzeby prowadzonych przez nas szkoleń i wystąpień
zobacz materiały
Diagram oceny i notyfikacji naruszeń z przyjemnością udostępniamy Wam diagram
oceny i notyfikacji naruszeń ochrony danych
Pobierz diagram w PDF (wysoka rozdzielczość)
Jak szkolimy? Wybór case’ów Na szkoleniach omawiamy przypadki z naszej praktyki.
Zobacz przykładowe case'y, jakie rozwiązujemy wspólnie z uczestnikami.
Pobierz case’y

PRZETWARZANIE DANYCH OSOBOWYCH W GRUPACH KAPITAŁOWYCH

Przedstawiamy Państwu transkrypcję naszego webinarium „Przetwarzanie danych w grupie kapitałowej”. Mamy nadzieję,że w taki sposób uda się Państwu szybciej odnaleźć odpowiedzi na swoje zapytania. Przyjemnego „wyszukiwania”.

Agenda

  1. Grupa kapitałowa

  2. Wspólny IOD

  3. Współadministrowanie

  4. Wymiana danych w grupie / powierzenie / udostępnienie

  5. Case study

  6. Transfer danych w grupie

Wstęp

 

Program, jaki zaplanowaliśmy na to spotkanie, jest następujący: najpierw krótko opowiemy o tym, jak należy rozumieć grupę kapitałową, a następnie skupimy się na tym, co może z tego wynikać w zakresie uprawnień i obowiązków dla administratorów i innych podmiotów, które należą do tej samej grupy przedsiębiorców tak naprawdę – bo tym pojęciem posługuje się RODO w odniesieniu do takich grup podmiotów. Jak państwo widzicie, to co przychodzi pierwsze na myśl, to jest możliwość powołania jednego inspektora ochrony danych dla grupy kapitałowej. Następnie kwestia współadministrowania, która się tutaj nasuwa dosyć domyślnie, gdzie mamy ściśle powiązane ze sobą w różny sposób podmioty gospodarcze realizujące pewnie mniej więcej jeden cel gospodarczy. Siłą rzeczy będzie musiało tutaj dochodzić do takich procesów przetwarzania danych, gdzie może mieć miejsce wspólne określenie celów i sposobów przetwarzania danych. Wymiana danych w grupie, czyli coś, co może być tak naprawdę najbardziej problematyczne. Często w grupach kapitałowych zapomina się o tym, że podmioty w grupie to są z punktu widzenia ochrony danych osobowych – ale nie tylko, bo przecież także w obrocie gospodarczym – zupełnie odrębne podmioty. Najłatwiej zobrazować to w ten sposób, że tyle, ile jest NIP-ów, tyle jest w obrocie podmiotów gospodarczych. Tak więc spółki z grupy kapitałowej, które przekazują sobie dane osobowe, będą je albo udostępniać, albo powierzać, o ile nie będzie dochodziło do współadministrowania – i o tym naprawdę należy pamiętać, bo z tym są związane obowiązki wynikające z RODO (co do zasady takie same jak przy okazji współpracy z podmiotami, które do grupy nie należą).

Zaplanowaliśmy też kilka przykładów, które wspólnie z państwem chciałbym omówić, które pomogą nam trochę łatwiej określać, jak to w tej grupie kapitałowej wygląda w kontekście przepływu danych osobowych, jak to identyfikować i co może z tego wynikać.

I na koniec transfer danych w grupie, bo oczywiście możemy mieć do czynienia z dużymi grupami kapitałowymi z kapitałem zagranicznym, gdzie przekazywanie danych osobowych będzie następowało również rozgraniczanie. W takiej w takiej kolejności zaplanowałem do omówienia z państwem to dzisiejsze zagadnienie.

GRUPA KAPITAŁOWA

 

Co to jest grupa kapitałowa?

Zanim skupimy się na tej definicji bezpośrednio wskazanej w RODO, czyli grupie przedsiębiorców, polecam państwu zajrzeć do przepisów krajowych, gdzie pojęcie grupy kapitałowej otrzymało definicję legalną w kilku aktach prawnych, m.in. w ustawie o rachunkowości czy w ustawie o ochronie konkurencji i konsumentów. W ustawie o CIT pojawia się również pojęcie podatkowej grupy kapitałowej, ale to nie będzie przedmiotem naszego zainteresowania, dlatego że dotyczy stricte sposobów rozliczenia podatkowego. Natomiast w tych dwóch pierwszych aktach prawnych, o których powiedziałem, warto zwrócić uwagę na sposób skonstruowania definicji tego, czym jest grupa kapitałowa. Jak sięgniecie do tekstów aktów prawnych, to okaże się, że jest tam  położony nacisk na właśnie ten element dominacji, na to, że występuje tam jakiś jeden podmiot, który kontroluje pozostałe podmioty. Oczywiście w ustawie o rachunkowości ten nacisk będzie położony na uprawnienia takiej spółki związane z określaniem polityki finansowej pozostałych podmiotów, ale siłą rzeczy jest to ustawa regulująca kwestie rachunkowości, więc w tym kierunku tę definicję ustawodawca stworzył. Natomiast ważny dla nas jest ten element uprawnień kontrolnych, które mogą oczywiście wynikać czy to z zależności osobowych, czy zależności kapitałowych, ale najważniejsze na koniec dnia jest to, że jeden podmiot może kontrolować pozostałe podmioty i w wiążący sposób na nie wpływać (na przykład poprzez wykonywanie prawa głosu czy poprzez obsadzanie stanowisk w organach tych podmiotów zależnych).

Podobnie ta definicja jest skonstruowana w ustawie o ochronie konkurencji i konsumentów, gdzie jako grupę kapitałową traktuje się przedsiębiorców, którzy są kontrolowani przez jednego przedsiębiorcę, który wywiera decydujący wpływ na ich działalność. Proszę mi wybaczyć, że tak zerkam, ale nie znam oczywiście tych przepisów na pamięć, mam tutaj przy sobie tekst tych ustaw.

Dlaczego o tym państwu mówię? Dlatego że RODO nie posługuje się pojęciem grupy kapitałowej tylko grupy przedsiębiorców i definiuje ją w sposób, w którym jest oczywiście położony nacisk na ochronę danych osobowych i uprawnienia podmiotu kontrolującego pozostałe podmioty do tego, żeby nakazywać wykonywanie pewnych obowiązków związanych z wdrożeniem zgodności z przepisami o ochronie danych osobowych czy kontrolować sposób przetwarzania danych osobowych przez te podmioty. Mówimy o przepisach dotyczących ochrony danych osobowych, więc siłą rzeczy ważne są te uprawnienia związane z ochroną danych osobowych. Natomiast jest pewien wspólny mianownik z definicją dotyczącą grupy kapitałowej – a mianowicie taki, że pojawia się jeden podmiot, który wywiera dominujący wpływ na pozostałe podmioty i posiada w stosunku do nich uprawnienia kontrolne. To znowu może wynikać ze struktury właścicielskiej, z udziałów finansowych czy nawet z przepisów regulujących działalność, ale istotny jest ten element pewnej hierarchii i uprawnień kontrolnych. Co ważne, nie zawsze będzie tak, że grupa kapitałowa będzie się równała grupie przedsiębiorców w rozumieniu przepisów o ochronie danych osobowych. Natomiast w większości przypadków na pewno tak będzie – jeżeli będziecie mieli państwo jakieś wątpliwości, to warto sięgnąć właśnie do motywu 37.RODO, rozbić ten przepis na poszczególne elementy i zacząć tak naprawdę od strony tego, czy jest podmiot, który może nam nakazywać wykonywanie pewnych obowiązków związanych z ochroną danych osobowych w innych podmiotach i kontrolować ich wykonywanie, czy też nie.

Oczywiście możemy mieć grupy kapitałowe, nazwijmy je sobie krajowe (czyli w ramach grupy uczestniczą spółki zarejestrowane wyłącznie na terenie Rzeczypospolitej Polskiej),  i możemy mieć grupy międzynarodowe (gdzie są podmioty z siedzibami w różnych państwach Unii Europejskiej, a nawet poza Europejskim Obszarem Gospodarczym, oraz siedzibą w Polsce). Może dojść do sytuacji, że np. w ramach jakiejś międzynarodowej korporacji spółka z siedzibą w innym państwie członkowskim będzie wydawała polecenia spółkom w ramach grupy kapitałowej, w tym przedsiębiorstwu z siedzibą w Polsce, co do tego, jak mają postępować w kwestii ochrony danych osobowych, jakie powinni posiadać procedury i w jaki sposób powinni wykonywać te obowiązki: podmiot, który w ramach grupy będzie wydawał takie wytyczne w stosunku do pozostałych spółek znajdujących się w różnych państwach członkowskich, w tym w Polsce, będzie takim podmiotem, o którym RODO mówi, że jest to przedsiębiorstwo sprawujące kontrolę. W tej sytuacji będziemy mieli do czynienia po pierwsze z grupą kapitałową, a po drugie z grupą przedsiębiorstw w rozumieniu artykułu 4. I co z tego wynika, szanowni państwo? Wynika z tego między innymi uprawnienie do wyznaczenia wspólnego Inspektora Ochrony Danych Osobowych. Przepraszam najmocniej, bo ja zacząłem już tak od merytoryki, a widzę, że pani Hania się z nami wita, dzień dobry, pani Haniu, i dziękujemy za miłe przywitanie.

Wspólny IOD

A teraz, kontynuując wątek wspólnego Inspektora Ochrony Danych Osobowych, RODO przewiduje takie uprawnienie nie dla każdego administratora, nie dla wszystkich administratorów, którzy nawet ściśle ze sobą współpracują, ale wyłącznie właśnie dla grupy przedsiębiorstw. Nie jest to uprawnienie o charakterze bezwzględnym, czyli zawsze w przypadku, kiedy mamy grupę przedsiębiorstw, można wyznaczyć wspólnego inspektora ochrony danych. Można to uczynić wyłącznie wtedy, kiedy jesteśmy w stanie zapewnić łatwy kontakt z tym inspektorem z każdej jednostki organizacyjnej, w której ma on być wyznaczony jako IOD. Jak państwo zdajecie sobie doskonale sprawę, w przypadku mniejszych grup przedsiębiorstw każdy z administratorów będzie pewnie w stanie w dosyć łatwy sposób zapewnić wykonanie tego obowiązku.

Natomiast kłopoty zaczynają się robić w momencie, kiedy mamy do czynienia z dużymi organizacjami zrzeszającymi nie po kilkanaście, ale po kilkadziesiąt spółek w ramach grupy kapitałowej, które chcą wyznaczyć jednego inspektora ochrony danych.

Tak  się robi, ma to miejsce na rynku – w praktyce tacy inspektorzy są wyznaczani jako jeden inspektor dla każdego z podmiotów w ramach grupy przedsiębiorstw, natomiast musicie państwo wtedy pamiętać o tym, że jesteśmy zobowiązani po pierwsze do zapewnienia możliwości łatwego nawiązania kontaktu z inspektorem, a po drugie do wykazania, w razie potrzeby, np. przed organem, że ten łatwy kontakt faktycznie jest możliwy i jest on przez nas zapewniony.

Jeśli chodzi o łatwość kontaktu, to ona powinna być rozumiana szeroko i rozstrzygana też przez pryzmat obowiązków inspektora ochrony danych osobowych.

Spójrzcie państwo na artykuły 37 do 39, gdzie jest wyjaśnione, jakie obowiązki w ma inspektor stosunku do pracodawcy, w stosunku do organu i w stosunku do podmiotów. Okazuje się, że każda z tych grup ma uprawnienia do tego, żeby się z inspektorem kontaktować, a administrator musi taką możliwość zapewnić. Czyli ta łatwość kontaktu musi być rozumiana nie tylko wewnętrznie w ramach grupy. Czyli nie wystarczy zapewnienie łatwego kontaktu z inspektorem ochrony danych dla pracowników każdej spółki. Musimy wyjść również na zewnątrz z naszymi rozwiązaniami zapewniającymi łatwość kontaktu dla podmiotów danych każdej ze spółek, które mają wspólnego inspektora, oraz dla organu, który chce się skontaktować z którąkolwiek ze spółek z grupy przedsiębiorstw mających wspólnego inspektora ochrony danych.

Czyli jeżeli chodzi o łatwość kontaktu, to mamy trzy elementy, które trzeba zaopiekować wewnętrznie: dla pracowników zewnętrznie, dla podmiotów danych i zewnętrznie dla organów. Dopiero przy tak szerokiej zapewnionej łatwości kontaktu z inspektorem ochrony danych z każdej jednostki organizacyjnej i w ramach grupy przedsiębiorstw możemy mówić o usprawnieniu do wyznaczenia wspólnego inspektora ochrony danych.

Innym problemem, który tutaj państwu zaznaczyłem, jest kwestia rozliczeń i tak naprawdę modeli, w jakich ten inspektor ma funkcjonować w ramach grupy przedsiębiorstw. Wiadomo, że wyznaczenie inspektora czy nawet zespołu do ochrony danych osobowych wiąże się z kosztami, które w ramach grupy przedsiębiorstw muszą być odpowiednio rozdzielone. Te modele się wykształciły, jest ich co najmniej kilka, Państwu przedstawię takie najbardziej popularne. Może być tak, że Inspektora Ochrony Danych Osobowych jednego dla całej grupy wyznaczy spółka-matka i będzie dochodziło pomiędzy podmiotami korzystającymi  z usług tego inspektora do wzajemnych rozliczeń.

Drugi model jest taki, że każda ze spółek może wyznaczyć jednego inspektora ochrony danych osobowych, tę samą osobę, i np. w części etatu każda z tych spółek zatrudnia tę osobę.

Może też być taka sytuacja, że inspektor jest zatrudniony w jednej ze spółek i jest delegowany do wykonywania obowiązków w pozostałych podmiotach lub np. możemy mieć powołane centrum usług wspólnych, które takiego inspektora zatrudnia i deleguje go do wykonywania pracy w pozostałych podmiotach. Oczywiście inspektor nie musi być zatrudniony w jednej ze spółek należących do grupy przedsiębiorstw – może być pracownikiem zewnętrznego podmiotu specjalizującego się w ochronie danych, z którego usług grupa będzie korzystać, i nadal może być jednym wspólnym inspektorem ochrony danych dla grupy przedsiębiorstw.

WSPÓLADMINISTROWANIE

 

Musimy drodzy państwo przy okazji rozmawiania o grupach kapitałowych poruszyć temat administrowania.

To jest temat, który nie jest prosty. To jest temat, który jeszcze nie zdążył się dobrze zadomowić przynajmniej na naszym polskim rynku, ale daje o sobie znać coraz silniej w związku z różnymi procesami, jakie zachodzą w organizacjach, a szczególnie w grupach kapitałowych.

Czym jest współadministrowanie? Na szczęście ustawodawca określił to w definicji, w artykule 26., czytamy, iż w przypadku, kiedy co najmniej 2 administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami.

W łatwy sposób można to rozbić na przesłanki, które muszą być spełnione, aby do współadministrowania mogło dochodzić, czyli musimy mieć co najmniej 2 administratorów, którzy wspólnie ustalają cele i sposoby przetwarzania.

Cele i sposoby przetwarzania oczywiście identyfikujemy tak samo jak przy definicji administratora z artykułu 4., a tutaj kładziemy nacisk na to wspólne ustalanie celów, bo, drodzy państwo, nie wystarczy, że kilku administratorów korzysta z ustalenia jakichś reguł dotyczących przetwarzania danych osobowych – muszą oni uczestniczyć w ustalaniu tych celów, muszą współpracować na etapie ustalania reguł tego przetwarzania. Czyli w grupie kapitałowej, jeżeli spółki z grupy stosują się do jakichś zasad dotyczących przetwarzania np. danych pracowników, które zostały opracowane przez spółkę-matkę, to nie dochodzi tu do współadministrowania – po prostu spółki zobowiązują się przetwarzać na zasadach określonych przez spółkę-matkę dane osobowe pracowników. Jeżeli to spółka-matka określa i buduje strategię przetwarzania i oznajmia ją podmiotom należącym do grupy, to tego administrowania nie ma. Dopiero gdy dwóch lub więcej administratorów kilku podmiotów wspólnie opracowało taką strategię, to wtedy mielibyśmy do czynienia z zespołem administrowania. Co z tego administrowania wynika? Jeżeli już się okaże, że ono zachodzi, że są spełnione te wymagania, o których mówiliśmy przed chwilą, to powstają z tego tytułu obowiązki dla administratorów. Administratorzy powinni przede wszystkim zawrzeć porozumienie o administrowanie i w tym porozumieniu w sposób przejrzysty – jak to RODO podkreśla, znowu mamy tu do czynienia z zasadą transparentności – określić zasady odpowiedzialności współadministratorów za wykonywanie obowiązków wynikających z RODO. Artykuł 26 kładzie szczególny nacisk na obowiązki związane z realizacją praw podmiotów danych oraz z wykonywaniem obowiązków informacyjnych.

Ten przepis jest sformułowany w sposób otwarty – katalog obowiązków, które administratorzy muszą określić, nie jest zamknięty, prawodawca zwrócił nam tylko uwagę, żeby na pewno te dwa elementy w porozumieniu ministra się znalazły.

Dlaczego to jest ważne? Z tego względu, żeby dla podmiotów danych było czytelne, z kim mają się kontaktować w związku z realizacją swoich praw. To po pierwsze. Po drugie jest to ważne z tego względu, żeby było czytelne, kto jest odpowiedzialny w przypadku naruszenia poszczególnych obowiązków. Zdajecie sobie państwo sprawę doskonale. Zresztą tak jest zawsze, że dopóki jest dobrze, to wszystko jest dobrze. Natomiast jak się zaczną schody, to wtedy nie ma odpowiedzialnego, szczególnie jeżeli chodzi o duże kwoty. A tak może być w przypadku naruszenia obowiązków administrowania w grupach kapitałowych. Oczywiście te problemy można próbować rozwiązać z punktu pozycji siły, natomiast to nie o to chodzi. Porozumienie powinno w czytelny sposób rozdzielać pomiędzy administratorów obowiązki, za których wykonanie odpowiadają zarówno w przypadku naruszenia, jak i w ramach tej bieżącej działalności w związku ze współpracą z podmiotami danych czy z organem. Powinniśmy też wskazać punkt kontaktowy dla osób, których dane dotyczą, żeby ułatwić im kontaktowania się z administratorami. Co ważne, nawet jeżeli państwo określicie w porozumieniu, który administrator odpowiada za wykonanie niektórych obowiązków – (a powinniście, podkreślam, to zrobić) –, to podmioty danych i tak mogą kontaktować się z każdym z tych współadministratorów z osobna.

Tutaj proponujemy państwu uwzględnić następujące elementy w porozumieniach o administrowanie.

Tak jak wynika z artykułu 26, po pierwsze obowiązki informacyjne, ale nie tylko te z artykułu 13 i 14, jak mówi przepis, pamiętajcie państwo również o tym, że przy współadministrowaniu należy przekazać podmiotom danych istotne uzgodnienia pomiędzy współadministratorami dotyczące tego wspólnego przetwarzania. W związku z czym po pierwsze określamy, który ze współadministratorów realizuje obowiązek informacyjny z artykułu 13 i 14, określamy, który z nich jest odpowiedzialny za przekazanie tych istotnych uzgodnień dotyczących administrowania podmiotom danych. Musimy też rozstrzygnąć w treści porozumienia, który ze współadministratorów i w jaki sposób będzie odpowiedzialny za wykonywanie praw podmiotów danych.

Jak będzie wyglądał proces analizy ryzyka i oceny skutków dla ochrony danych? To są ważne kwestie, które warto rozstrzygnąć już na tym etapie, gdzie dopiero zawierane jest porozumienie, żeby się nie okazało w trakcie realizacji procesu, w którym mamy administratorów, że analiza ryzyka nie została przeprowadzona dlatego, że nie było wyznaczonego podmiotu, który jest za to odpowiedzialny. Kolejna rzecz to zawieranie umów powierzenia. Wiadomo, że w procesie administrowania również może dochodzić do przypadków powierzenia przetwarzania. Każdy z administratorów może mieć swoje podmioty przetwarzające i te kwestie należy rozstrzygnąć w porozumieniu o współadministrowaniu. Wdrożenie środków zabezpieczających to o tyle skomplikowana sytuacja, że każdy administrator odpowiada w tym zakresie za swoją część przetwarzania.

Natomiast w procesie administrowania, gdzie dane osobowe mogą być administrowanych w sensie fizycznym przez jeden z podmiotów, też jest istotne, aby doprecyzować kwestie tego, w jaki sposób nastąpi zabezpieczenie tych danych osobowych, który z podmiotów za to odpowiada i czy z tego tytułu będą dokonywane między podmiotami jakieś rozliczenia. Informowanie o nadużyciach i kontrolach to jest postanowienie, które warto wprowadzić do porozumienia o współadministrowaniu wcelu usprawnienia takiej wewnętrznej komunikacji pomiędzy podmiotami, aby informowały się w odniesieniu do procesu, który jest objęty współadministrowaniem, o tym, czy są prowadzone w związku z nimi jakieś postępowania kontrolne przez Prezesa Urzędu Ochrony Danych Osobowych, czy doszło do naruszeń i tym podobnych.

WYMIANA DANYCH W GRUPIE KAPITAŁOWEJ

Wymiana danych w grupie kapitałowej. Teraz rozpoczynamy wątek, który w praktyce jest w mojej ocenie najbardziej problematyczny, dlatego że w ramach takiej bieżącej działalności pracownicy podmiotów należących do grup kapitałowych często nawet nie rejestrują tych granic pomiędzy spółkami. Są osoby, które są np. odpowiedzialne za wykonywanie obowiązków w kilku różnych podmiotach. Albo pewne business-unity-, które jeszcze do niedawna mogły znajdować się w ramach tej samej spółki, zostały rozdzielone, i jeden z nich nagle stał się odrębnym podmiotem, odrębną spółką, w związku z czym mamy już nowy podmiot gospodarczy, a pracownicy np. nie zarejestrowali tego faktu albo po prostu z przyzwyczajenia nadal przekazują pomiędzy tymi jednostkami dane osobowe, które są przez nich przetwarzane.

Staje się to kwestią o tyle problematyczną, że, jak państwo wiecie, w momencie, kiedy administrator przekazuje na zewnątrz, do zewnętrznego podmiotu, dane osobowe, w stosunku do których jest administratorem, to dochodzi albo do powierzenia, albo do udostępnienia, i zarówno jedną, jak i drugą relację trzeba uregulować prawnie.

W pierwszym przypadku –  umową powierzenia, a w drugim przypadku – oparcie tego udostępnienia na jednej z przesłanek z artykułu szóstego jako podstawy prawnej do udostępnienia danych osobowych. I tak w ramach grupy kapitałowej, jeśli dochodzi do udostępnienia, to musicie państwo pamiętać o tych najważniejszych rzeczach – że spółki z grupy kapitałowej to odrębni administratorzy lub podmioty przetwarzające i w związku z tym zarówno po stronie podmiotu, który udostępnia dane, jak i po stronie podmiotu, który jest odbiorcą tych danych, powstaje konieczność wykonania obowiązku informacyjnego. Spółka, która udostępnia dane innej spółce z grupy, musi poinformować podmioty danych o tym, że będzie je udostępniać temu podmiotowi, w jakim celu, w jakim zakresie i na jakiej podstawie prawnej, a druga z tych spółek, będąca odbiorcą danych, musi w klauzuli informacyjnej podawanej podmiotom danych poinformować ich o tym, z jakiego źródła otrzymała dane, jaki jest zakres tych danych i w jakim celu będzie je wykorzystywać. Czyli podmiot, przekazujący dane osobowe będzie wykonywał obowiązek informacyjny z artykułu 13,wskazując na element udostępnienia danych osobowych, a podmiot otrzymujący te dane będzie wykonywał obowiązek informacyjny z artykułu 14, informując o tym, że dane otrzymał od innej spółki z grupy. Każdy z tych podmiotów musi mieć swoją odrębną podstawę prawną przetwarzania danych. Spójrzcie państwo, jeżeli macie pod ręką definicję przetwarzania danych osobowych w artykule 4 w ramach przetwarzania danych w ramach pojęcia przetwarzania danych osobowych mieści się również ich udostępnianie, w związku z czym jako operacja przetwarzania udostępnianie musi posiadać swoją podstawę prawną – nie możemy udostępnić danych nawet pomiędzy spółkami z grupy kapitałowej ot tak sobie, bo np. poprosiłem poprosił mnie dyrektor działu marketingu z innej spółki z grupy, więc wysłałem mu listę klientów.

Nie możemy tak zrobić, dopóki nie przeprowadzimy ekspertyzy prawnej.

Czy mamy podstawę prawną do takiego udostępnienia? Tą podstawą prawną udostępnienia może być każda z przesłanek znajdujących się w artykule 6.

Raczej nie będą nas obowiązywać przepisy prawa do tego, żeby dane osobowe udostępniać podmiotom z grupy – rzadko kiedy może być to niezbędne do wykonania umowy, ale czasem może się tak zdarzyć, np. w sytuacji podmiotów, które prowadzą działalność franczyzową, gdzie mamy franczyzodawcę, mamy franczyzobiorców, mamy być może jeszcze jakieś podmioty, z którymi wspólnie są organizowane jakieś akcje dla tych franczyzobiorców i w takiej akcji promocyjnej dla franczyzobiorców organizowanej przez franczyzodawcę wspólnie np. z producentem towarów może dochodzić do udostępniania danych, co może być niezbędne do wykonania umowy, ale to tylko tak co do zasady.

W większości przypadków możemy mieć sytuację, w której albo będzie wymagana zgoda podmiotu danych, albo może będzie to niezbędne do realizacji prawnie uzasadnionych interesów administratora lub strony trzeciej, przy czym w przypadku prawnie uzasadnionego interesu będziecie państwo musieli każdorazowo wykonać ten tak zwany test balansu interesów, czy faktycznie skorzystanie z prawnie uzasadnionego interesu jest w tej sytuacji możliwe jako podstawa udostępnienia danych osobowych. Co do zasady taka konstrukcja jest możliwa, a same motywy wskazują na możliwość przekazywania danych osobowych pomiędzy podmiotami z grupy tzw. wewnętrznej w celach administracyjnych. Podstawą prawną takiego udostępniania będzie prawnie uzasadniony interes.

Jako przykłady mamy np. przekazywanie danych o potencjalnych klientach danych sprzedażowych czy danych o zaległościach, kiedy spółki chcą nawiązać współpracę z nowymi kontrahentami. Kiedy spółki np. chcą udzielać jakiś kredytów kupieckich czy odradzać płatności klientom, a wiedzą, że inne podmioty z grupy już współpracują z tymi klientami, mogą wymieniać się takimi danymi o historii finansowej danego kontrahenta. I to będzie udostępnianie danych.

Oczywiście w ramach grup kapitałowych dochodzi do powierzenia przetwarzania bardzo często, tylko pamiętajcie państwo, że pomimo, iż jest to grupa kapitałowa, to mamy tutaj relacje pomiędzy administratorem a procesorem, w związku z tym powstaje obowiązek zawarcia umowy powierzenia. Jeżeli – a często tak jest – jedna ze spółek świadczy usługi księgowe dla innej spółki albo dla wszystkich spółek w grupie, to będzie dla wszystkich tych spółek podmiotem przetwarzającym. Formalno-prawnie oznacza to,,że taki podmiot świadczący w ramach grupy kapitałowej usługi księgowe powinien zostać zweryfikowany jako podmiot zgodny z wymogami artykułu 28 ustęp 1, czyli dawać gwarancję wdrożenia odpowiednich środków zapewniających przetwarzanie danych osobowych zgodnie z wymogami RODO.  Pierwszy wniosek z tego wynikający dla nas jest taki, że w podmiotach w grupie, które świadczą usługi dla pozostałych podmiotów związane z przetwarzaniem danych osobowych, powinniśmy mieć wdrożone RODO w sposób zapewniający spełnienie tych wymogów z artykułu 28 ustęp 1. Druga rzecz to zawarcie umowy powierzenia w sposób zapewniający rozliczalność i to możemy zapewnić w różny sposób. Oczywiście tych przypadków powierzenia przetwarzania w grupach kapitałowych będzie bardzo dużo. Niekoniecznie jest sens zawierania umów powierzenia w takiej sytuacji w każdym przypadku w formie papierowej. Możecie państwo zorganizować to w sposób elektroniczny, tak jak się zezwala. Czyli mówimy o formie pisemnej w formie elektronicznej w rozumieniu formy dokumentu. I możecie państwo również przygotować takie ogólne warunki powierzenia funkcjonujące w grupie z dodatkowymi załącznikami będącymi swego rodzaju ewidencją. Powierzenie pomiędzy poszczególnymi spółkami grupie, gdzie tych przypadków powierzenia w dużych grupach kapitałowych mogą być setki, a nawet tysiące.

Te wewnętrzne cele administracyjne, o których już państwu wspomniałem, już sam motyw 48 preambuły mówi o tym, że grupa przedsiębiorców jest na tyle specyficznym tworem że nie jest możliwe jej funkcjonowanie bez przekazywania pewnych danych osobowych pomiędzy poszczególnymi uczestnikami takiej grupy przedsiębiorców.

Warunek do tego, aby móc zastosować ten wyjątek dotyczący przekazywania danych osobowych w wewnętrznych celach administracyjnych, jest taki, że przedsiębiorcy muszą należeć do grupy przedsiębiorstw i jeżeli następuje to przekazywanie faktycznie w wewnętrznych celach administracyjnych, to mamy prawnie uzasadniony interes w przekazywaniu takich danych. Pamiętajcie państwo o tym, że wyjątki należy interpretować ściśle. To jest jedno, a drugie to jest to, że mamy zasadę rozliczalności. Nie powinniście państwo powoływać się na wewnętrzne cele administracyjne, o których mówi motyw 48 dla usprawiedliwienia przekazywania danych osobowych, którego nie da się usprawiedliwić w inny sposób.

Faktycznie te wewnętrzne cele administracyjne to powinny być takie kwestie organizacyjne.

Motyw 48 podpowiada, że może to dotyczyć klientów lub pracowników, pewnie w większości przypadków będzie jednak dotyczyło pracowników. I, co ważne i co nie dotyczy wyłącznie wewnętrznych celów administracyjnych, ale w ogóle przekazywania danych osobowych w grupie kapitałowej czy w zakresie udostępniania (tak jak widzimy, czy to w zakresie powierzenia, czy nawet tych wewnętrznych celów administracyjnych). Jeżeli przekazywanie następuje poza Europejski Obszar Gospodarczy, to stosujemy tutaj niezależnie ogólne zasady dotyczące transferu danych osobowych, czyli artykuły 45 i następne.

Nie wystarczy nam podstawa do przekazywania danych w prawnie uzasadnionym interesie czy nawet niezbędne do wykonania umowy jeżeli nie zapewnimy niezależnie od tego legalności samego transferu danych.

POWIERZENIE W GRUPIE KAPITAŁOWEJ

 

W ramach podsumowania: w przypadku powierzenia przetwarzania danych osobowych w grupie kapitałowej powinniście państwo zapewnić weryfikację podmiotów przetwarzających – za chwilkę do tego wrócimy, bo to jest dosyć ważny element – następnie zawarcie umów powierzenia i zapewnienie rozliczania w tym zakresie. Weryfikacja podmiotów przetwarzających w grupie brzmi może dosyć kuriozalnie, natomiast jest jedno proste rozwiązanie – wszystkie spółki w grupie kapitałowej, z których usług macie państwo korzystać (czyli będą podmiotami przetwarzającymi) bądź które będą administratorami powinny być w sposób pełny dostosowany do wymogów wynikających z rozporządzenia ogólnego o ochronie danych osobowych. Wówczas tę weryfikację podmiotów przetwarzających, można powiedzieć, mamy z głowy.

Możecie państwo rozwiązać to w sposób proceduralny, czyli przygotować swego rodzaju zasady przetwarzania danych osobowych w grupie kapitałowej i podpisać pomiędzy podmiotami z grupy kapitałowej porozumienie o stosowaniu takiej zasad,y gdzie każda ze spółek zobowiązuje się do przetwarzania danych osobowych zgodnie z tymi zasadami, a są to zasady bezpośrednio odnoszące się do tego, o czym mówi artykuł 28 ustęp 1, czyli tworzymy dokument wewnętrzny w spółce określający pewne standardy przetwarzania danych osobowych, do których stosowania zobowiązują się poszczególne spółki w grupie kapitałowej. I wówczas takim zawartym porozumieniem o stosowaniu tych zasad przez każdą ze spółek jesteśmy w stanie wykazać, że te podmioty spełniają wymogi z artykułu 28 ustęp 1, czyli mogą być podmiotami przetwarzającymi dla pozostałych administratorów w grupie kapitałowej.

Rozliczalność, ten punkt 3, wiąże się trochę z tym punktem 5 i z tym, co już państwu powiedziałem, czyli z grupową umową powierzenia. To jest rozwiązanie, które bardzo fajnie się sprawdza w praktyce, nawet w dużych grupach, a może przede wszystkim w dużych grupach kapitałowych, gdzie powiedzmy w formie pewnych ogólnych warunków powierzenia spółki opracowują pewien trzon umowy, który jest niezmienny, określający obowiązki administratora i procesora dotyczące przetwarzania danych osobowych, a ta część zmienna dotycząca charakteru przetwarzania, zakresu danych, celów, w jakich przetwarzanie następuje itd., jest w formie załączników bądź jakiejś ewidencji i zapewniamy sobie tutaj rozliczaność dla każdej umowy powierzenia zawieranej grupie. RCP i RKCP, które pominąłem, czyli Rejestr Czynności Przetwarzania i Rejestr Kategorii Czynności Przetwarzania – jeżeli dojdzie do powierzenia przetwarzania w grupie kapitałowej, a dojdzie, to powstaje obowiązek uzupełnienia przez administratora odpowiednich informacji dotyczących odbiorców danych w rejestrze czynności przetwarzania dla danego procesu. Oczywiście po drugiej stronie odpowiednio podmiot, który jest podmiotem przetwarzającym, będzie musiał w rejestrze kategorii czynności przetwarzania wskazać procesy, które realizuje jako podmiot przetwarzający dla administratorów w grupie kapitałowej.

CASE

 

Myślę, że po tym wstępnym backgroundzie merytorycznym jesteśmy gotowi na uzupełnienie case’ów. Nie możemy się werbalnie komunikować, dlatego poproszę państwa o odpowiedzi za pośrednictwem czatu. Mamy case nr 1, który przeczytam: spółka Fast and Furious prowadzi działania polegające na ściąganiu należności wynikających z niezapłaconych faktur spółek z Grupy Kapitałowej Full Pocket. Z uzyskanego od dłużników wynagrodzenia Fast and Furious pobiera 30% opłatę jako swoje wynagrodzenie. Spółki z grupy prowadzą samodzielnie działania windykacyjne dla kwot nie przekraczających 10 000 złotych. Czy w tym przypadku dochodzi do powierzenia, udostępnienia czy administrowania. Pani Natalia już nam odpowiedziała, że prawidłowa jest odpowiedź a – i to jest prawda.

Mamy tutaj do czynienia z powierzenie przetwarzania, dlatego że spółka prowadząca działania windykacyjne, nie realizuje własnego celu przetwarzania, nie ściąga swoich własnych należności, tylko realizuje te działania windykacyjne na zlecenie pozostałych podmiotów, czyli dochodzi do realizacji celu przetwarzania w postaci ściągania należności pozostałych spółek z grupy, które mają mieć ściągnięte wierzytelności.

Skoro tak dobrze nam poszło, to zróbmy kolejny case. Spółki z grupy kapitałowej Full Pocket udzielają swoim klientom kredytów kupieckich. Przed udzieleniem kredytu spółka odpytuje pozostałe podmioty z grupy o historię współpracy i sytuację finansową danego kontrahenta z tymi spółkami. Na podstawie uzyskanych informacji spółka podejmuje decyzje w sprawie udzielenia kredytu kupieckiego i jego wysokości.

Czy w tym przypadku dochodzi do a) powierzenia, b) udostępnienia czy c) administrowania?

Mamy dwa razy odpowiedź b), jedną ze znakiem zapytania, ja tylko szybko potwierdzę że jest to odpowiedź b). Mamy tutaj udostępnienie danych osobowych. Dlaczego nie będzie współadministrowania? (bo pewnie to jest najciekawszy wątek w tym case study) Zwróćcie państwo uwagę na rozdzielność celów przetwarzania – nie jest tak, że mamy dwa podmioty, które wspólnie ustaliły jakieś cele przetwarzania w stosunku do klientów, tylko mamy jedną spółkę, która najpierw handlowała z jakimś podmiotem i posiada jego historię płatności wykonywanych między tymi podmiotami umów, i nagle druga spółka chce rozpocząć współpracę z tym samym kontrahentem, ale ze względu na jakieś ryzyka finansowe przed podjęciem decyzji o udzieleniu mu kredytu kupieckiego chce poznać jego historię współpracy z inną spółką z grupy. Tamta spółka z grupy udostępnia jej dane o historii finansowej tego podmiotu. Podmiot, który jest odbiorcą tych danych, będzie wykorzystywał je we własnym celu, w celu oceny ryzyka związanego z udzieleniem kredytu kupieckiego temu kontrahentowi, dlatego mamy tutaj udostępnienie danych. Grupa kapitałowa Full Pocket posiada stronę internetową dedykowaną dla całej grupy. Na stronie internetowej znajduje się formularz kontaktowy. Wiadomości kierowane przez ten formularz trafiają na jedną ogólną skrzynkę mailową, następnie są rozdzielane pomiędzy konkretne spółki adresatów. Czy w tym przypadku dochodzi do powierzenia, udostępnienia czy współadministrowania?

Nikt z państwa się nie zabiera do odpowiedzi, ale widzę, że ktoś już tutaj pisze.

Pani Natalia proponuje powierzenie. Pani Anna proponuje współadministrowanie. Ktoś jeszcze pisze, więc ja poczekam.

Dobrze, mamy 3 do 1, 3 głosy za współadministrowaniem przeciwko 1 za powierzeniem. Ja się przyłączam do większości – nie dlatego że większość, tylko dlatego że współadministrowanie jest tutaj prawidłową odpowiedzią na etapie wypełniania formularza kontaktowego.

Nie wiadomo, do której spółki z grupy trafia ta wiadomość, przychodzi na ogólną skrzynkę mailową, utworzoną przez kilka podmiotów w grupie kapitałowej, na którą kontaktują się użytkownicy danej strony internetowej. Przy współdministrowaniu, jak państwo chcielibyście bardziej szczegółowo wejść w definicję administrowania, ważne jest wspólne ustalanie celów i sposobów przetwarzania, czyli dosłownie czytamy treść tego przepisu art. 26 ust. 1: co najmniej 2 administratorów wspólnie ustala cele i sposoby przetwarzania. Nie ma tam mowy o tym, że to muszą być wspólne cele i sposoby.

Każdy może mieć tak naprawdę swoje cele i sposoby, ale musi zaistnieć ten element wspólnego ustalania tych celów i sposobów, co dokładnie obrazuje ten nasz przypadek formularza kontaktowego: podmioty z grupy kapitałowej uzgodniły, że w ramach strony internetowej będzie prowadzony formularz kontaktowy, na który są kierowane zapytania, trafiają na jedną ogólną skrzynkę mailową i następnie, po rozdzieleniu pomiędzy poszczególne spółki, każda z nich realizuje zagadnienie rozpoczęte przez osobę wypełniającą formularz kontaktowy.

I mimo że realizowane jest ono w ramach jednej, drugiej czy trzeciej spółki, to mamy tutaj współadministrowanie. Kolejny przypadek: siedziby spółek z grupy kapitałowej Full Pocket znajdują się w tej samej lokalizacji pod jednym adresem, za bezpieczeństwo i higienę pracy na terenie obiektu, w tym za szkolenia pracowników i obowiązki związane z wypadkami przy pracy, odpowiada Internal Serwis Spółka z o.o. Spółka Komandytowa.

Czy w tym przypadku dochodzi do powierzenia, udostępnienia czy współadministrowania? Jak tak dobrze państwu idzie, to poproszę jeszcze o odpowiedzi na to pytanie.

Tutaj są państwo zgodni: mamy do czynienia z powierzeniem. Trochę państwa podpuściłem tą wspólną lokalizacją pod jednym adresem, ale to było celowe.

Oczywiście spółka Internal Service, która świadczy usługi związane z obsługą BHP dla innych podmiotów w grupie kapitałowej, jest tutaj podmiotem przetwarzania.

I na koniec…

Sam się teraz musiałem zamyślić, bo nie jest to ostatni case, więc nie na koniec, ale przypadek taki: siedziby spółek z grupy kapitałowej Full Pocket znajdują się w tej samej lokalizacji pod jednym adresem. Przed budynkiem znajduje się parking dla pracowników oraz gości. Teren parkingu jest objęty monitoringiem.

Monitoring obsługują pracownicy firmy zewnętrznej będącej kontrahentem spółki-matki. Spółka-matka jest w tym przypadku podmiotem przetwarzania czy współadministratorem?

Śledzę odpowiedzi. Większość z nich jest za opcją b), natomiast pojawiają się też odpowiedzi a).

Nie mamy opcji c), więc musimy wybrać pomiędzy jedną z nich.

To jeszcze raz przeczytam case: mamy siedzibę spółek z grupy kapitałowej w tej samej lokalizacji pod jednym adresem i mamy parking przed budynkiem, w którym znajdują się te siedziby, na którym mogą parkować i pracownicy, i goście. Mamy monitoring zapewniony na tym parkingu, obsługiwany przez firmę zewnętrzną posiadającą umowę ze spółką-matką.

Sytuacja jest podobna jak z tym formularzem kontaktowym, gdzie teren parkingu jest objęty monitoringiem. Ale na początku zdarzenia jakiegoś zarysowania pojazdu, czy stłuczki, czy kradzieży. nie wiadomo jeszcze tak naprawdę, która z tych spółek miałaby przetwarzać dane osobowe w związku z tym zdarzeniem. Wszystkie spółki, które mają siedzibę w danej lokalizacji, zdecydowały o tym, że parking powinien być objęty monitoringiem ze względu na bezpieczeństwo osób i mienia, w związku z czym są współadministratorami w tym zakresie.

CENTRUM USŁUG WSPÓLNYCH

 

Teraz taki przypadek, który jestem przekonany, że jest państwu dobrze znany, mianowicie centrum usług wspólnych. Może to brzmi może w sposób intrygujący, natomiast rozwiązanie jest bardzo proste. Centrum usług wspólnych jest podmiotem przeważającym. Bardzo często w ramach grup kapitałowych wyznacza się takie spółki, powołuje się odrębne podmioty, które specjalizują się w świadczeniu jakiegoś rodzaju usług dla pozostałych podmiotów z grupy kapitałowej.

Może to dotyczyć outsourcingu kadr i płac czy usług informatycznych, a także usług inspektora ochrony danych osobowych, z czym mamy często do czynienia, i taki podmiot po prostu w imieniu i na rzecz zleceniodawców świadczy tego rodzaju usługi. Oczywiście mamy obowiązek zawarcia umowy powierzenia w takim przypadku i, co ważne i o czym już rozmawialiśmy, powinniście państwo rozpocząć proces od wdrożenia RODO w centrum usług wspólnych, aby spełniało wszystkie wymogi wynikające z artykułu 28 ustęp 1.

Nieszczęsne czarne listy, które chętnie by w grupach kapitałowych na pewno powstawały. Znam argumenty za tym, żeby takie listy tworzyć, i zawsze odpowiedź jest taka sama, że to ułatwia prowadzenie biznesu.

Natomiast spójrzmy, jak wygląda tym razem praktycznie ostatni case w trakcie dzisiejszego spotkania. Spółki z grupy kapitałowej chcą prowadzić czarną listę klientów zalegających z płatnościami na rzecz każdej z nich. Lista ma być dostępna dla każdej spółki na wspólnym dysku sieciowym. IOD jednej ze spółek zaproponował, aby zamiast czarnej listy spółki odpytywały się o konkretnego kontrahenta, z którym planują zawrzeć umowę.

Czy czarne listy są zgodne z RODO? To jest pytanie numer jeden, a pytanie numer dwa: czy grupa kapitałowa powinna przyjąć rozwiązanie zaproponowane przez inspektora?

I co państwo o tym myślą?

To już nie będzie tak prosto odpowiedzieć a) lub b), trzeba będzie się rozwinąć. Kto będzie chciał czarne listy, bo tak jest wygodniej, to tak na pewno będzie. Pytanie, co w tej sytuacji zrobi inspektor ochrony danych.

Ja jeszcze chwilę poczekam, bo widzę że ktoś z państwa pisze, narazi się na opinię hamulcowego.

Pamiętajcie państwo, że rola inspektora ochrony danych to jest rola doradcza, inspektor ochrony danych powinien zawsze powiedzieć, jakie rozwiązanie jest zgodne z przepisami, z wymogami RODO, a jeżeli osoby merytorycznie odpowiedzialne za dany projekt będą chciały podjąć inną decyzję, niezgodną z rekomendacjami, to będzie to ich decyzja, ich odpowiedzialność. Natomiast rolą inspektora jest przedstawić rozwiązanie, które powinno być zgodne z przepisami. Już patrzę na państwa odpowiedzi, bo nagle pojawiło się ich kilka na raz. Pytanie B: rozwiązanie proponowane przez inspektora ochrony danych jest ok, bo odwołuje się do wewnętrznych celów administracyjnych, pisze pani Iwona, a pani Ilona: prowadzenie czarnych list jest niezgodne z RODO, natomiast rozwiązanie zaproponowane przez IOD nie wyeliminowałoby istnienia czarnych list. Dobrze. Mamy tutaj jeden wątek, to są państwa odpowiedzi na rozwiązanie kryzysu – i one są prawidłowe. A drugi wątek to jest kwestia praktyczna, czyli że doradcy swoje, a biznes swoje, i to jest rzecz pewnie na osobny wykład albo całą konferencję. Natomiast, wracając do naszego wątku, czarne listy… Zresztą, tak jak państwu tutaj zaznaczyłem, porównaj poradnik UODO dotyczący zatrudnienia, on co prawda wspominał o tym, że nie należy prowadzić czarnych list pracowników czy kandydatów do pracy. natomiast jest to reguła uniwersalna, którą należy przełożyć również na czarne listy klientów. Z jednego prostego powodu – spójrzcie państwo tak ogólnie, generalnie na regulacje dotyczące ochrony danych osobowych. Zawsze chodzi o to aby nie doszło do naruszenia praw i wolności podmiotów danych.

My musimy dbać o prywatność osób, których dane przetwarzamy, i o to, żeby nie doszło np. do ich dyskryminacji i tym podobnych negatywnych dla nich skutków. Z czarnymi listami jest różnie. Nie zawsze one będą rzetelne. Jednocześnie nie są to dokumenty, które są w jakiś sposób bardzo skrupulatnie chronione czy zabezpieczane. Wyciek takiej czarnej listy, zawierający być może nierzetelnie ocenione i wprowadzone dane kontrahentów, może skutkować poważnymi konsekwencjami dla takiego podmiotu w sferze kredytowej, w sferze nawiązywania współpracy, czyli przełożyć się w ogóle na sukces i rozwój jego działalności gospodarczej. Dlatego czarne listy to nie jest dobry pomysł. A inna analogia, o której bym chciał państwu w tym miejscu powiedzieć, to jest przypadek związków zawodowych. Zauważcie państwo, że mechanizm jest dokładnie ten sam. Związki zawodowe nie udostępniają pracodawcy całej listy wszystkich pracowników, którzy są członkami związku zawodowego. Pracodawca nie może mieć dostępu do takich informacji, może się odpytywać wyłącznie w konkretnym przypadku o konkretnego pracownika. Jeżeli pracodawca zamierza kogoś zwolnić, to musi zasięgnąć opinii związku zawodowego, czy dany pracownik jest członkiem związku zawodowego, czy też nie. Czyli odpytujemy się o konkretną osobę, nie odpytujemy się o całą listę, nie publikujemy listy członków organizacji związkowych u danego pracodawcy.

Tu jest dokładnie tak samo. Nie ma problemu, żeby spółki odpytały się o konkretnego kontrahenta, natomiast taka ogólna lista ze względu wspomnianych wcześniej nie powinna być dostępna.

TRANSFER DANYCH

 

Transfer danych – drodzy państwo, to w ramach powtórzenia, bo to już było, mieliśmy poświęcone całe seminarium temu zagadnieniu. Natomiast w przypadku międzynarodowych grup kapitałowych do tych transferów danych będzie dochodzić. Jeżeli mamy podmiot, który ma siedzibę poza Europejskim Obszarem Gospodarczym, a szczególnie gdy jest spółką-matką, to te transfery danych będą na pewno miały miejsce. W ramach przypomnienia: do tego, aby przetwarzać dane osobowe, musimy mieć podstawę prawną, artykuł 6, artykuł 9, ale musimy też mieć osobną podstawę prawną tego tak zwanego transferu danych, czyli przekazywania danych osobowych poza Europejski Obszar Gospodarczy.

Jak to zrobić?

Artykuł 45 mówi, że jeżeli podmiot znajduje się w państwie, w stosunku do którego została wydana decyzja uznająca odpowiedni stopień ochrony danych osobowych w tym państwie, to przekazywanie danych jest legalne bez podejmowania żadnych dodatkowych czynności. A jeżeli taka decyzja przez Komisję Europejską nie została wydana, to musimy zastosować dodatkowe środki zabezpieczające. One są wymienione w artykule 46 i 47, a jeżeli żaden z nich nie zachodzi, to artykuł 49 przewiduje wyjątki dla przekazywania danych w szczególnych sytuacjach. W ramach grup kapitałowych będą nas interesowały wybrane z tych przesłanek. Oczywiście jeżeli mamy decyzję Komisji Europejskiej o zapewnieniu odpowiedniego stopnia ochrony przez państwo trzecie, które macie państwo wymienione, w stosunku do których Komisja Europejska wydała takie decyzje, to możemy dane przekazywać. Jeżeli takiej decyzji… Tu jeszcze osobny osobny wątek z privacy shield: abyśmy mogli przekazywać dane do podmiotów z siedzibą w Stanach Zjednoczonych bez dodatkowych zabezpieczeń, to podmiot musi znajdować się na tak zwanej privacy shield, możecie to państwo sprawdzić pod wymienionym linkiem. Jeżeli nie znajduje się na tej liście, jeżeli nie ma decyzji, to przechodzimy do tych rozwiązań z artykułu 46 i 47.

Na początek wiążące reguły korporacyjne, bo to jest to, co w grupach kapitałowych może mieć najwygodniejsze zastosowanie. Ja już państwu wspomniałem wcześniej o tym, że warto przygotować swego rodzaju dokument określający zasady czy standardy przetwarzania danych osobowych w grupie kapitałowej.

Trochę bardziej rozbudowaną wersją takich zasad, takich standardów, i sformalizowaną, bo treści wiążących reguł korporacyjnych określają przepisy, stanowią właśnie te tak zwane BCR-y, czyli wiążące reguły korporacyjne, binding corporate rules.

Aby takie wiążące reguły korporacyjne legalizowały nam  transfer danych, to muszą one obejmować podmioty należące do grupy przedsiębiorstw prowadzących wspólnie działalność gospodarczą. Co ważne, jest to o tyle wygodny mechanizm, że on będzie zapewniał transfer danych zarówno dla przypadków udostępnienia danych, jak i dla przypadków powierzenia danych osobowych do podmiotu z grupy kapitałowej w państwie trzecim.

Niestety opracowanie tych wiążących reguł korporacyjnych jest procesem długotrwałym, więc jeżeli liczycie państwo na szybkie rozwiązanie problemu transferów danych osobowych, to powinniście przewidzieć sobie jakieś rozwiązania pomostowe, a w międzyczasie pracować nad opracowaniem wiążących reguł korporacyjnych i rozpoczęciem tej ścieżki formalnej. To jest dokument, który musi zostać zatwierdzony przez organ nadzorczy.

Tymi rozwiązaniami pomostowymi, ale też docelowym, może być stosowanie standardowych klauzul umownych. Standardowe klauzule umowne zostały opublikowane przez Komisję Europejską, tak jak państwo widzicie, decyzjami z 2001 i 2004 roku dla przypadków udostępnienia oraz decyzją z 2010 roku dla przypadków powierzenia przetwarzania danych osobowych. Nie ma standardowych klauzul umownych dla przypadków dalszego powierzenia. Komisja takich klauzul nigdy nie opracowała, natomiast przyjmuje się tak w praktyce i jest to rozwiązanie również zaproponowane i dopuszczone przez Grupę Roboczą Artykułu 29 do spraw ochrony danych, że można wykorzystać treść tych klauzul dla relacji administrator-procesor dla podpowierzenia i wówczas te klauzule podpisuje bezpośrednio administrator z podprocesorem bądź w imieniu administratora z podprocesorem sam procesor. Oczywiście można by korzystać z treści standardowych klauzul umownych nawet w przypadku podpowierzenia pomiędzy procesorem a podprocesorem, ale aby legalizowały one transfer danych, trzeba poddać się procedurze zatwierdzenia przez organ nadzorczy.

Z naszej strony dzisiaj to już wszystko.

Dziękuję państwu uprzejmie, zapraszam jednocześnie na naszą konferencję, która za tydzień odbędzie się przy Alejach Jerozolimskich 92. Rejestracja i kawa już od 9, a od 10 rozpoczynamy konferencję. Możecie państwo sprawdzić szczegółowe informacje na naszym profilu na LinkedIn. Mam nadzieję, że do zobaczenia, i dziękuję bardzo za uwagę do widzenia.

Podoba Ci się ten artykuł?
Nawiąż z nami kontakt lub zapisz się do Newslettera



Jesteś u nas już chwilę, co bardzo nas cieszy.
A może chcesz być na bieżąco i czasami dostawać informacje o nowościach na stronie?
Obiecujemy nie spamować :)

Uzupełnienie powyższego pola oznacza zgodę na otrzymywanie od Maruta Wachta sp.j., z siedzibą w Warszawie (00-684) przy ul. Wspólnej 62, (Kancelaria) informacji dotyczących oferty Kancelarii drogą e-mailową. Zgodę można wycofać w każdym czasie bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Administratorem danych osobowych jest Kancelaria. Dane osobowe osób zapisujących się na newsletter są przetwarzane w celu przesyłania informacji dotyczących oferty Kancelarii drogą e-mailową. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w naszej Polityce Prywatności.