RODO a „wymiana” danych w grupie przedsiębiorstw

Na początek – przepraszam, że długo mnie tu nie było…

Jako małe zadośćuczynienie, postanowiłam zająć się tematem, który dotyczy wielu przedsiębiorców, a o którym nadal stosunkowo mało się pisze. Chodzi mianowicie o grupy przedsiębiorstw i możliwość „wewnętrznej” wymiany danych osobowych. Ale od początku:

Grupa przedsiębiorstw i „wewnętrzne cele administracyjne”

RODO wprowadziło pojęcie RODO nie posługuje się pojęciem „grupy przedsiębiorstw”, definiowanej jako „przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane”. Zgodnie z motywem 48 RODO, administratorzy, którzy są częścią takiej grupy przedsiębiorstw lub instytucji powiązanych z podmiotem centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników. Za „cele administracyjne” uważa się np. sprawozdawczość wewnątrz grupy.

W kontekście danych osobowych pracowników, Prezes UODO wskazuje, że wewnętrzne cele administracyjne mogą dotyczyć głównie czynności związanych ze stosunkiem pracy (delegowanie, rekrutacja, statystyki). Przyjmuje się, że poprzez cele administracyjne należy rozumieć wszelkie czynności bezpośrednio związane ze stosunkiem pracy, np. przekazanie pracownika do innego miejsca, w tym delegowanie go na jakiś czas do pracy w innej spółce w ramach grupy, działania związane z rozwojem pracownika – organizacja szkoleń, zatwierdzania wysokości wynagrodzenia, czy też prowadzenia statystyk dotyczących zatrudnienia w grupie, jak również rekrutację pracowników. Ograniczeniem są zawsze sytuacje, w których nadrzędny charakter wobec prawnie uzasadnionego interesu pracodawcy mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.

W myśl art. 37 ust. 2 RODO, grupa może wyznaczyć jednego inspektora ochrony danych, co w praktyce umożliwia ujednolicenie środków oraz procedur ochrony danych w ramach grupy, a także oznacza oszczędności.

Mówiąc prościej, w tym dość skomplikowanym zagadnieniu chodzi po prostu o to, jak zgodnie z prawem dzielić się danymi osobowymi (np. klientów lub pracowników) z podmiotami powiązanymi – jakie to mogą być dane i jaki może być cel takiej wymiany informacji. Scenariuszy może być kilka.

Relacje pomiędzy podmiotem centralnym (np. spółką matką) a podmiotami z grupy  – możliwe scenariusze

W większości grup przedsiębiorstw współistnieje jednocześnie kilka różnych procesów i podstaw przetwarzania danych. Zazwyczaj istnieje (i) obszar współadministrowania, gdzie cele i sposoby przetwarzania ustalane są wspólnie. Dodatkowo, np. jeśli czynności administracyjne są zlecone do jednego podmiotu z grupy, to powstaje (ii) stosunek powierzenia przetwarzania danych, a podmiot wspierający działa jako procesor. (iii) Podmioty z grupy udostępniają także dane podmiotowi centralnemu, jako osobnemu administratorowi.

Specyfika relacji (i) współadministrowania polega przede wszystkim na tym, że administratorzy wspólnie ustalają cele i sposoby przetwarzania, a także wspólnie realizują obowiązki wynikające z przepisów i podejmują procesy przetwarzania. Tym samym nie dochodzi między tymi podmiotami do (ii) powierzenia ani (iii) udostępnienia danych, ponieważ przetwarzają dane wspólnie, w ramach ustalonych celów.

Największą pewność przy identyfikacji współadministrowania osiągamy, gdy przynajmniej dwa podmioty wspólnie decydują zarówno o celach, jak i o sposobach przetwarzania danych. Jak czytamy w opinii 1/2010 Grupy Roboczej art. 29: „W kontekście wspólnej kontroli udział stron we wspólnym określaniu celów i sposobów może jednak przyjąć różne formy i nie musi być równo rozłożony. W przypadku wielu podmiotów mogą one być bardzo ściśle ze sobą powiązane (mając, na przykład, wspólne wszystkie cele i sposoby przetwarzania) lub pozostawać w luźniejszych stosunkach (na przykład, mając tylko wspólne cele lub wspólne sposoby przetwarzania bądź ich część)”. Zgodnie z przedstawionym rozumowaniem można rozróżnić następujące sytuacje: 

Przykład współadministrowania: Dwa podmioty prowadzą wspólną bazę danych, o której zabezpieczeniu wspólnie decydują, ale którą każdy z nich wykorzystuje we własnych celach.
Przykład powierzenia przetwarzania: podmiot A decyduje się wykorzystać do obsługi swoich klientów system informatyczny, udostępniany przez inny podmiot z tej samej grupy – podmiot B. Dane osobowe są zapisywane na serwerach podmiotu B, przy czym podmiot B nie ingeruje w ich treść ani nie wykorzystuje ich we własnych celach. W tej sytuacji podmiot B jest podmiotem przetwarzającym.

Najczęściej sytuacja, w której relacje występujące pomiędzy dwoma podmiotami w grupie będą kształtować się w ten sposób, że jeden z nich przetwarza dane osobowe w imieniu drugiego, będzie występować w przypadku podmiotów obsługujących inne podmioty w grupie, przykładowo w zakresie działalności księgowej, czy wsparcia systemów informatycznych (tzw. CUW-y, czyli centra usług wspólnych). Chodzi tu o przypadki, kiedy podmioty są względem siebie klientami, czy dostawcami i wtedy dane pracowników innych podmiotów poszczególne podmioty przetwarzają jako administratorzy (tak samo, jak dane pracowników innych klientów czy dostawców).

Istotna jest tu również kwestia, czy podmiotem przetwarzającym może w ogóle być podmiot centralny, który często przetwarza  dane osobowe pochodzące od innych podmiotów należących do grupy, np. w zakresie prowadzenia bazy wszystkich pracowników, czy klientów spółek.

Kwalifikacja podmiotu centralnego jako podmiotu przetwarzającego może jednak budzić pewne wątpliwości, biorąc pod uwagę wpływ jaki ten podmiot ma na pozostałe podmioty należące do grupy. Jak wspomniałam na wstępie, RODO nie posługuje się pojęciem „grupy kapitałowej”, a „grupy przedsiębiorstw”, definiowanej jako „przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane”. Wydawać by się mogło zatem, iż już sam prawodawca rozstrzygnął kwestię statusu przedsiębiorstwa sprawującego kontrolę jako administratora. W praktyce jednak, z uwagi na możliwość prowadzenia przez podmiot centralny działalności usługowej względem pozostałych podmiotów należących do grupy, niewykluczone jest występowanie przez niego w roli procesora, np. w przypadku świadczenia usług hostingu na rzecz pozostałych podmiotów w grupie. Możliwe jest także łączenie dwóch ról, w przypadku, gdy z jednej strony podmiot centralny świadczyć będzie usługi na rzecz pozostałych podmiotów, a jednocześnie będzie „uwłaszczać się” na pozyskanych od nich danych (np. w zakresie prowadzonej na poziomie centralnym działalności marketingowej).

Mapowanie

Każda grupa przedsiębiorstw powinna przeprowadzić mapowanie danych osobowych, i co najważniejsze – wszystkie podmioty z grupy powinny zrobić to wspólnie.

Mapowanie powinno obejmować ustalenie, jakie procesy przetwarzania danych są prowadzone w poszczególnych podmiotach i pomiędzy nimi. Przykładowym procesem, na podstawie którego należy przeprowadzić analizę, może być „wypłata wynagrodzeń dla pracowników”. W ramach takiego procesu powinno zostać ustalone szereg informacji obejmujących, między innymi zakres przetwarzanych danych, podmioty odpowiedzialne za ich przetwarzanie, systemy służące do ich zbierania, przechowywania i przesyłania i co niezwykle istotne – podmioty, które mają dostęp do danych w ramach procesu. Wynik mapowania powinien dać szeroki pogląd na model przepływu i przetwarzania danych w grupie.

Innym przykładowym procesem może być sytuacja, w której podmioty z grupy korzystają ze wspólnych systemów informatycznych, np. gdy jeden z podmiotów jest właścicielem programu służącego do tworzenia bazy marketingowej klientów, a wszystkie inne podmioty wprowadzają do niego pozyskane dane. Przepływ danych ma w tym wypadku postać elektronicznego przekazywania danych. W większości przypadków, podmioty wprowadzające dane do takiego programu będą w odniesieniu do nich administratorami, zaś podmiot, która dostarcza program, będzie tylko podmiotem przetwarzającym dane (tzw. procesorem). Może jednak się zdarzyć tak, że o wysyłce informacji handlowych do klientów umieszczonych w bazie programu decyduje tylko i wyłącznie podmiot dostarczający program. W takim wypadku należy uznać, że to on decyduje o celach i środkach przetwarzania, a co za tym idzie –  jest administratorem wszelkich danych zgromadzonych w programie.

WAŻNE:

– Przyjęcie koncepcji współadministrowania lub powierzenia danych do przetwarzania wymaga zawarcia odpowiednich umów.

– Przy przyjęciu, że w poszczególnych przypadkach zachodzi udostępnianie danych (co nie wymaga zawarcia żadnej umowy), należy przeanalizować, czy dany proces udostępnianie podchodzi pod „usprawiedliwiony interes administratora lub strony trzeciej”, czyli czy udostępnienie odbywa się faktycznie do wewnętrznych celów administracyjnych. Należy też zwrócić uwagę na zakres udostępnianych danych – czy fatycznie służy celom, dla których dane są przekazywane, czy też jest za szeroki.

Skomplikowane? Może trochę. Jednak poukładanie procesu (zrobione raz, a porządnie), daje wiele możliwości zupełnie legalnego „dzielenia” się danymi przez powiązane ze sobą podmioty. Zatem efekt jest wart odrobiny wysiłku!