W grupach kapitałowych dane osobowe krążą pomiędzy spółkami w wielu codziennych sytuacjach. Dotyczy to zarówno danych pracowników, jak i informacji o klientach, kontrahentach oraz kandydatach do pracy. Wiele osób zakłada, że skoro spółki działają w jednej grupie, mogą przekazywać dane bez dodatkowych ustaleń. RODO nie przewiduje takiej swobody. Dlatego tak ważne jest określenie, która spółka odpowiada za konkretne decyzje związane z przetwarzaniem danych.
Nie wystarczy spojrzeć na strukturę właścicielską. O roli każdej spółki decydują realne działania, czyli to, kto ustala cel przetwarzania i kto wpływa na sposób wykorzystania danych. Właśnie te elementy przesądzają o tym, czy spółki działają jako administratorzy, podmioty przetwarzające czy współadministratorzy.
fot. z zasobów Canvy Pro
1. Oddzielni administratorzy danych (relacja ADO–ADO)
W wielu grupach kapitałowych każda spółka pełni rolę samodzielnego administratora danych. W praktyce oznacza to, że każda z nich działa niezależnie i odpowiada za własne decyzje dotyczące przetwarzania danych. Taki podmiot:
- sam określa, w jakim celu przetwarza dane,
- decyduje o sposobach przetwarzania,
- realizuje swoje obowiązki wobec osób, których dane dotyczą.
Przekazywanie danych pomiędzy spółkami odbywa się wtedy na zasadzie udostępnienia. Musi mieć oparcie w podstawie prawnej wynikającej z art. 6 lub art. 9 RODO. Każda spółka odpowiada wyłącznie za te operacje, które prowadzi we własnym zakresie.
Przykładem może być sytuacja, w której spółka zależna przekazuje CV kandydatów do spółki matki. Każda z nich wykorzystuje je we własnych procesach rekrutacyjnych, dlatego pełnią rolę niezależnych administratorów.
Ten model działa dobrze tam, gdzie działalność spółek jest wyraźnie rozdzielona, a decyzje dotyczące danych nie są podejmowane wspólnie.
2. Administrator i podmiot przetwarzający (relacja ADO–PP)
Z drugim modelem mamy do czynienia wtedy, gdy jedna spółka przekazuje innej przetwarzanie danych w swoim imieniu. Podstawą takiej relacji jest art. 28 RODO. Podmiot przetwarzający wykonuje czynności związane z danymi zgodnie z celem ustalonym przez administratora i w zakresie określonym w umowie powierzenia.
Administrator zachowuje kontrolę nad kluczowymi elementami przetwarzania. To on określa, dlaczego dane są wykorzystywane i jakie działania są potrzebne, aby osiągnąć wyznaczony cel. Decyduje również o rodzaju danych, okresie ich przechowywania, grupie osób, których dane dotyczą oraz o zakresie dostępu.
Podmiot przetwarzający może natomiast wybierać rozwiązania techniczne i organizacyjne, takie jak narzędzia czy szczegóły zabezpieczeń. Jego działanie ma charakter wykonawczy, a nie decyzyjny.
Ta relacja wymaga uważnej analizy. W grupach kapitałowych spółki często wspierają się w codziennych zadaniach, co nie oznacza, że jedna z nich automatycznie staje się procesorem. O roli przesądza realny wpływ na cele i kluczowe sposoby przetwarzania.
Przykładem powierzenia jest sytuacja, w której spółka matka prowadzi centralny dział kadrowo płacowy i nalicza wynagrodzenia dla spółek zależnych. Cele przetwarzania wynikają wtedy z obowiązków poszczególnych pracodawców, a spółka matka działa jako podmiot przetwarzający realizujący usługę w ich imieniu.
3. Współadministratorzy danych (art. 26 RODO)
Współadministracja pojawia się wtedy, gdy dwie lub więcej spółek wspólnie kształtuje najważniejsze decyzje dotyczące danych. Chodzi przede wszystkim o ustalenie, po co dane są przetwarzane i jak ma wyglądać cały proces. Nie wystarczy podobna struktura czy wspólna własność. Liczy się faktyczny wpływ na decyzje.
Najłatwiej zobaczyć to na przykładzie. Wyobraźmy sobie grupę, w której spółka matka prowadzi centralną platformę marketingową, a spółki zależne korzystają z niej do komunikacji z klientami. Spółki zależne ustalają, do kogo kierują przekaz i jakie dane są im potrzebne. Spółka matka decyduje natomiast o zasadach działania platformy i sposobie realizacji kampanii. Każda ze stron wpływa na kluczowe elementy procesu. Żadna nie mogłaby go przeprowadzić samodzielnie. W takiej sytuacji obie strony mogą pełnić rolę współadministratorów.
Co ważne, dostęp do danych nie przesądza o roli. Spółka może nie widzieć samej bazy, a mimo to współdecydować o tym, jaki jest cel przetwarzania albo jakie działania muszą zostać wykonane. Właśnie ten wpływ decyduje o tym, czy mamy do czynienia ze współadministracją.
Taka relacja wymaga jasnych ustaleń. Spółki muszą określić, kto odpowiada za informowanie osób o przetwarzaniu, kto zajmuje się realizacją ich praw oraz jak dzielą się pozostałymi obowiązkami wynikającymi z RODO. Zasadnicza treść takich ustaleń powinna też być dostępna dla osób, których dane dotyczą.
Warto pamiętać, że umowa współadministrowania nie tworzy tej relacji. Ona tylko opisuje to, co wynika z faktycznych działań. Dlatego rolę spółek ustala się na podstawie praktyki, a nie samego dokumentu.
Jak ustalić właściwą rolę w grupie kapitałowej?
Sam opis struktury organizacyjnej nie wystarczy. O roli poszczególnych spółek decydują realne działania i to, kto faktycznie wpływa na proces przetwarzania danych. Aby dobrze ustalić relację, warto zadać sobie kilka pytań:
I. Dlaczego dane są przetwarzane?
To pytanie o cel. Jeżeli spółki mają różne cele i realizują je niezależnie, zwykle nie ma podstaw do współadministrowania.
II. Kto decyduje o środkach i zakresie przetwarzania?
Jeśli jedna ze spółek samodzielnie podejmuje decyzje o celu oraz dotyczące najważniejszych elementów procesu, pełni rolę administratora.
III. Czy działania spółek są od siebie zależne?
Jeżeli przetwarzanie nie mogłoby się odbyć bez udziału obu stron, możliwe jest współadministrowanie.
IV. Czy dokumenty odpowiadają rzeczywistości?
RODO odnosi się do realnych procesów, a nie tego, co zostało zapisane w umowie. Dlatego analiza praktyki działania jest równie ważna jak analiza dokumentacji.
Dlaczego właściwe ustalenie ról jest tak ważne?
Ustalenie relacji pomiędzy spółkami w grupie kapitałowej nie jest kwestią formalną. Od tego, jak zostaną określone role, zależy poprawność całego procesu przetwarzania danych. Błędna kwalifikacja prowadzi do niejasności kompetencyjnych, niepełnej realizacji obowiązków wobec pracowników i klientów oraz problemów z wyborem podstawy prawnej. W praktyce zwiększa to ryzyko niezgodności z RODO i trudności podczas kontroli.
Poprawnie ustalona relacja daje jasny podział odpowiedzialności i spójność dokumentacji. Ułatwia współpracę pomiędzy spółkami oraz wzmacnia bezpieczeństwo procesów, w których wykorzystywane są dane osobowe. Przekłada się to także na większą przejrzystość wobec osób, których dane dotyczą, co stanowi jeden z fundamentów RODO.
Dla organizacji oznacza to mniej wątpliwości w codziennej pracy. Gdy role są określone jasno, pracownicy wiedzą, jak postępować, a ryzyko błędnych decyzji spada. Ma to szczególne znaczenie w grupach kapitałowych, gdzie procesy często przechodzą przez kilka spółek i obejmują dużą liczbę osób.
Jeżeli masz wątpliwości, co do relacji pomiędzy spółkami w Twojej grupie kapitałowej lub chcesz zweryfikować dotychczasowe założenia, możemy w tym pomóc.
Napisz: bok@asystahr.pl
