Czy i kiedy można wymieniać się danymi osobowymi w

Czy i kiedy można wymieniać się
danymi osobowymi w ramach
grupy spółek?
Piotr Grzelczak
O czym będziemy mówić?
• Kiedy mamy do czynienia z przetwarzaniem
danych osobowych?
• W jakim celu przekazuje się dane pomiędzy
spółkami w ramach grupy kapitałowej i jak
powinny wyglądać takie transfery?
• Czy ma znaczenie, że w skład grupy wchodzą
spółki zagraniczne?
Kluczowe pojęcia
• Dane osobowe
– Punktem odniesienia jest osoba fizyczna
– Istotna jest możliwość identyfikacji konkretnego człowieka
– Zakres możliwych danych jest bardzo szeroki
• Przetwarzanie danych
– Wszystkie czynności, które dotyczą danych
– Rozpoczęcie z momentem pozyskania danych
– Zakończenie z chwilą usunięcia/anonimizacji danych
• Administrator danych
– Nie jest istotna forma prawna
– Decydowanie o celach i środkach przetwarzania danych
Kogo dotyczy polska ustawa?
• Przepisy o ochronie danych stosujemy do:
– Podmiotów sektora publicznego (organy państwowe,
samorządowe, podmioty niepubliczne realizujące zadania
publiczne)
– Podmiotów sektora prywatnego, o ile spełnione są dodatkowe
warunki:
• charakter prowadzonej działalności (działalność zarobkowa,
zawodowa lub realizacja celów statutowych)
• siedziba na terytorium Polski albo poza Europejskim Obszarem
Gospodarczym (jeżeli środki techniczne przetwarzania danych znajdują
się w Polsce)
• Przepisy stosuje się do:
– Zautomatyzowanego przetwarzania danych (systemy IT)
– Tradycyjnego przetwarzania danych w zbiorach
Czym jest grupa kapitałowa?
• Brak definicji w aktualnie obowiązujących przepisach o
ochronie danych
• Z perspektywy praktycznej najbardziej właściwa jest szeroka
definicja funkcjonalna grupy kapitałowej:
– struktura łącząca
– składająca się z samodzielnych prawnie podmiotów w postaci
spółek
– kryterium łączące stanowią udziały kapitałowe (spółka-matka i
spółki córki)
• Grupy mogą liczyć od dwóch do kilkunastu lub nawet
kilkudziesięciu spółek (np. grupa KGHM)
Przyczyny wewnątrzgrupowej wymiany danych?
• Przyczyny wewnętrzne:
– redukcja kosztów dzięki synergii
– usprawnienie procesów zarządczych
– specjalizacja
• Przyczyny zewnętrzne:
– poprawa pozycji rynkowej
– zapewnienie wysokich standardów obsługi klienta
– budowanie jednolitej marki
Modele wewnątrzgrupowego transferu danych
• Powierzenie przetwarzania danych bez przyznania odbiorcy
statusu administratora:
– Istotne w sytuacjach budowania centrów usług wspólnych o charakterze
wewnątrzgrupowym (np. wspólna obsługa HR, IT czy księgowości)
– Istotne w sytuacjach, gdy spółka otrzymująca dane ma rolę stricte
usługową/wykonawczą (np. wydzielona spółka logistyczna realizująca dostawy
na rzecz klientów innych spółek z grupy)
• Przekazanie danych innym spółkom jako administratorom:
– Istotne w sytuacjach, kiedy istnieje potrzeba przyznania decyzyjności spółce
otrzymującej dane (np. wykorzystanie danych w celu umożliwienia tej spółce
oferowania swoich produktów/usług klientom innej spółki z grupy)
Powierzenie „podwykonawcze”
• Na podstawie umowy zawartej na piśmie
• Spółka otrzymująca dane staje się
administratora:
–
–
–
–
–
niejako
podwykonawcą
Przetwarzanie jest ograniczone do celu i zakresu wskazanego w umowie
Administrator nie zostaje zwolniony z odpowiedzialności
Konieczność wprowadzenia umownych mechanizmów kontrolnych
Nie ma obowiązków informacyjnych wobec osób, których dane dotyczą
Podwykonawca nie ma obowiązku zgłoszenia do GIODO
• Spółka otrzymująca dane zobowiązana jest wdrożyć środki
zabezpieczające i spełnić wymagania techniczno-organizacyjne
wynikające z obowiązujących przepisów, w tym opracować niezbędną
dokumentację
• Spółka otrzymująca dane odpowiada za przetwarzanie danych
niezgodnie z zawartą umową i podlega kontroli ze strony GIODO
Powierzenie danych innemu administratorowi
• Wymagane jest, aby po stronie spółki otrzymującej dane (nowego
administratora) istniała odpowiednia podstawa prawna do
przetwarzania danych taka jak np.:
– zgoda osoby, której dane dotyczą
– prawnie usprawiedliwione cele administratora
• Istnieje konieczność dopełnienia obowiązku informacyjnego wobec
osób, których dane dotyczą, chyba że dana osoba ma wyraźną wiedzę o
transferze
• Spółka otrzymująca dane zobowiązana jest zrealizować wszystkie
obowiązki ciążące standardowo na administratorach danych, w tym
m.in.:
– opracowanie niezbędnej dokumentacji
– wdrożenie odpowiednich środków techniczno-organizacyjnych w celu ochrony
danych
– dokonanie zgłoszeń w GIODO (ABI bądź poszczególne zbiory)
Przekazywanie danych do spółek zagranicznych
• Istotne
w
przypadku
międzynarodowym zasięgu
• Kluczowe rozróżnienie:
grup
kapitałowych
o
– spółki zarejestrowane na terenie Europejskiego Obszaru
Gospodarczego (UE + Norwegia, Islandia, Lichtenstein)
– spółki zarejestrowane w państwach trzecich (np. USA,
Japonia, Chiny, Kanada)
Transfery danych do państw trzecich (1)
• Przekazywanie danych poza Europejski Obszar Gospodarczy jest co
do zasady możliwe jedynie wówczas, gdy państwo trzecie zapewnia
na swym terytorium odpowiedni poziom ochrony danych:
– Komisja Europejska może wydawać decyzje stwierdzające zapewnienie
takiego poziomu ochrony w poszczególnych państwach (Andora,
Argentyna, Izrael, Wyspy Guernsey, Jersey i Man, Kanada, Nowa
Zelandia, Szwajcaria, Wyspy Owcze)
– Problem z USA – Europejski Trybunał Sprawiedliwości uznał za
nieważną decyzję Komisji Europejskiej ws. programu „Safe Horbor”;
obecnie trwają prace nad wdrożeniem nowych instrumentów
ochronnych pod nazwą „Privacy Shield”
– Jeżeli nie ma decyzji Komisji Europejskiej odnośnie danego państwa
trzeciego, administrator rozstrzyga tę kwestię samodzielnie (na własne
ryzyko)
Transfery danych do państw trzecich (2)
• Jeżeli państwo trzecie nie zapewnia odpowiedniego poziomu ochrony
danych, transfery są dopuszczalne w następujących przypadkach:
– jeżeli osoba, której dane dotyczą wyraziła zgodę na piśmie
– przekazanie danych jest niezbędne do wykonania umowy pomiędzy
administratorem a osobą, której dane dotyczą lub następuje na życzenie tej
osoby
– przekazanie danych jest niezbędne do wykonania umowy zawartej w interesie
osoby, której dane dotyczą, pomiędzy administratorem a innym podmiotem
– przekazanie danych jest niezbędne do wykazania zasadności roszczeń
prawnych
– dane są ogólnie dostępne
• Alternatywnie, jeśli żaden z ww. warunków nie może być spełniony lub
jego spełnienie byłoby niepraktyczne, pozostają jeszcze trzy inne
możliwości:
– standardowe klauzule umowne
– wiążące reguły korporacyjne
– zgoda GIODO w formie decyzji
Podsumowanie
• Przetwarzanie danych osobowych obejmuje wszelkie operacje na
jakichkolwiek danych osób fizycznych, które można zidentyfikować
• Przepisy o ochronie danych stosuje się do przedsiębiorców
mających siedzibę w Polsce przy przetwarzaniu zautomatyzowanym
(systemy IT) oraz przetwarzaniu tradycyjnym w zbiorach
• W spółkach powiązanych kapitałowo często dochodzi do
wzajemnych transferów danych osobowych
• Istnieją dwa modele transferów wewnątrzgrupowych – do
podwykonawcy oraz do podmiotów uzyskujących status
administratora
• W ramach Europejskiego Obszaru Gospodarczego możliwy jest
swobodny transfer danych
• Dodatkowe obostrzenia obowiązują przy przekazywaniu danych do
państw trzecich
DZIĘKUJĘ ZA UWAGĘ
PIOTR GRZELCZAK
TEL. 792 917 998
[email protected]