Czy i kiedy można wymieniać się danymi osobowymi w
Transkrypt
Czy i kiedy można wymieniać się danymi osobowymi w
Czy i kiedy można wymieniać się danymi osobowymi w ramach grupy spółek? Piotr Grzelczak O czym będziemy mówić? • Kiedy mamy do czynienia z przetwarzaniem danych osobowych? • W jakim celu przekazuje się dane pomiędzy spółkami w ramach grupy kapitałowej i jak powinny wyglądać takie transfery? • Czy ma znaczenie, że w skład grupy wchodzą spółki zagraniczne? Kluczowe pojęcia • Dane osobowe – Punktem odniesienia jest osoba fizyczna – Istotna jest możliwość identyfikacji konkretnego człowieka – Zakres możliwych danych jest bardzo szeroki • Przetwarzanie danych – Wszystkie czynności, które dotyczą danych – Rozpoczęcie z momentem pozyskania danych – Zakończenie z chwilą usunięcia/anonimizacji danych • Administrator danych – Nie jest istotna forma prawna – Decydowanie o celach i środkach przetwarzania danych Kogo dotyczy polska ustawa? • Przepisy o ochronie danych stosujemy do: – Podmiotów sektora publicznego (organy państwowe, samorządowe, podmioty niepubliczne realizujące zadania publiczne) – Podmiotów sektora prywatnego, o ile spełnione są dodatkowe warunki: • charakter prowadzonej działalności (działalność zarobkowa, zawodowa lub realizacja celów statutowych) • siedziba na terytorium Polski albo poza Europejskim Obszarem Gospodarczym (jeżeli środki techniczne przetwarzania danych znajdują się w Polsce) • Przepisy stosuje się do: – Zautomatyzowanego przetwarzania danych (systemy IT) – Tradycyjnego przetwarzania danych w zbiorach Czym jest grupa kapitałowa? • Brak definicji w aktualnie obowiązujących przepisach o ochronie danych • Z perspektywy praktycznej najbardziej właściwa jest szeroka definicja funkcjonalna grupy kapitałowej: – struktura łącząca – składająca się z samodzielnych prawnie podmiotów w postaci spółek – kryterium łączące stanowią udziały kapitałowe (spółka-matka i spółki córki) • Grupy mogą liczyć od dwóch do kilkunastu lub nawet kilkudziesięciu spółek (np. grupa KGHM) Przyczyny wewnątrzgrupowej wymiany danych? • Przyczyny wewnętrzne: – redukcja kosztów dzięki synergii – usprawnienie procesów zarządczych – specjalizacja • Przyczyny zewnętrzne: – poprawa pozycji rynkowej – zapewnienie wysokich standardów obsługi klienta – budowanie jednolitej marki Modele wewnątrzgrupowego transferu danych • Powierzenie przetwarzania danych bez przyznania odbiorcy statusu administratora: – Istotne w sytuacjach budowania centrów usług wspólnych o charakterze wewnątrzgrupowym (np. wspólna obsługa HR, IT czy księgowości) – Istotne w sytuacjach, gdy spółka otrzymująca dane ma rolę stricte usługową/wykonawczą (np. wydzielona spółka logistyczna realizująca dostawy na rzecz klientów innych spółek z grupy) • Przekazanie danych innym spółkom jako administratorom: – Istotne w sytuacjach, kiedy istnieje potrzeba przyznania decyzyjności spółce otrzymującej dane (np. wykorzystanie danych w celu umożliwienia tej spółce oferowania swoich produktów/usług klientom innej spółki z grupy) Powierzenie „podwykonawcze” • Na podstawie umowy zawartej na piśmie • Spółka otrzymująca dane staje się administratora: – – – – – niejako podwykonawcą Przetwarzanie jest ograniczone do celu i zakresu wskazanego w umowie Administrator nie zostaje zwolniony z odpowiedzialności Konieczność wprowadzenia umownych mechanizmów kontrolnych Nie ma obowiązków informacyjnych wobec osób, których dane dotyczą Podwykonawca nie ma obowiązku zgłoszenia do GIODO • Spółka otrzymująca dane zobowiązana jest wdrożyć środki zabezpieczające i spełnić wymagania techniczno-organizacyjne wynikające z obowiązujących przepisów, w tym opracować niezbędną dokumentację • Spółka otrzymująca dane odpowiada za przetwarzanie danych niezgodnie z zawartą umową i podlega kontroli ze strony GIODO Powierzenie danych innemu administratorowi • Wymagane jest, aby po stronie spółki otrzymującej dane (nowego administratora) istniała odpowiednia podstawa prawna do przetwarzania danych taka jak np.: – zgoda osoby, której dane dotyczą – prawnie usprawiedliwione cele administratora • Istnieje konieczność dopełnienia obowiązku informacyjnego wobec osób, których dane dotyczą, chyba że dana osoba ma wyraźną wiedzę o transferze • Spółka otrzymująca dane zobowiązana jest zrealizować wszystkie obowiązki ciążące standardowo na administratorach danych, w tym m.in.: – opracowanie niezbędnej dokumentacji – wdrożenie odpowiednich środków techniczno-organizacyjnych w celu ochrony danych – dokonanie zgłoszeń w GIODO (ABI bądź poszczególne zbiory) Przekazywanie danych do spółek zagranicznych • Istotne w przypadku międzynarodowym zasięgu • Kluczowe rozróżnienie: grup kapitałowych o – spółki zarejestrowane na terenie Europejskiego Obszaru Gospodarczego (UE + Norwegia, Islandia, Lichtenstein) – spółki zarejestrowane w państwach trzecich (np. USA, Japonia, Chiny, Kanada) Transfery danych do państw trzecich (1) • Przekazywanie danych poza Europejski Obszar Gospodarczy jest co do zasady możliwe jedynie wówczas, gdy państwo trzecie zapewnia na swym terytorium odpowiedni poziom ochrony danych: – Komisja Europejska może wydawać decyzje stwierdzające zapewnienie takiego poziomu ochrony w poszczególnych państwach (Andora, Argentyna, Izrael, Wyspy Guernsey, Jersey i Man, Kanada, Nowa Zelandia, Szwajcaria, Wyspy Owcze) – Problem z USA – Europejski Trybunał Sprawiedliwości uznał za nieważną decyzję Komisji Europejskiej ws. programu „Safe Horbor”; obecnie trwają prace nad wdrożeniem nowych instrumentów ochronnych pod nazwą „Privacy Shield” – Jeżeli nie ma decyzji Komisji Europejskiej odnośnie danego państwa trzeciego, administrator rozstrzyga tę kwestię samodzielnie (na własne ryzyko) Transfery danych do państw trzecich (2) • Jeżeli państwo trzecie nie zapewnia odpowiedniego poziomu ochrony danych, transfery są dopuszczalne w następujących przypadkach: – jeżeli osoba, której dane dotyczą wyraziła zgodę na piśmie – przekazanie danych jest niezbędne do wykonania umowy pomiędzy administratorem a osobą, której dane dotyczą lub następuje na życzenie tej osoby – przekazanie danych jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem a innym podmiotem – przekazanie danych jest niezbędne do wykazania zasadności roszczeń prawnych – dane są ogólnie dostępne • Alternatywnie, jeśli żaden z ww. warunków nie może być spełniony lub jego spełnienie byłoby niepraktyczne, pozostają jeszcze trzy inne możliwości: – standardowe klauzule umowne – wiążące reguły korporacyjne – zgoda GIODO w formie decyzji Podsumowanie • Przetwarzanie danych osobowych obejmuje wszelkie operacje na jakichkolwiek danych osób fizycznych, które można zidentyfikować • Przepisy o ochronie danych stosuje się do przedsiębiorców mających siedzibę w Polsce przy przetwarzaniu zautomatyzowanym (systemy IT) oraz przetwarzaniu tradycyjnym w zbiorach • W spółkach powiązanych kapitałowo często dochodzi do wzajemnych transferów danych osobowych • Istnieją dwa modele transferów wewnątrzgrupowych – do podwykonawcy oraz do podmiotów uzyskujących status administratora • W ramach Europejskiego Obszaru Gospodarczego możliwy jest swobodny transfer danych • Dodatkowe obostrzenia obowiązują przy przekazywaniu danych do państw trzecich DZIĘKUJĘ ZA UWAGĘ PIOTR GRZELCZAK TEL. 792 917 998 [email protected]