Grupa przedsiębiorstw a grupa kapitałowa

RODO wspomina o możliwości powołania wspólnego IOD-a w grupie przedsiębiorstw. Nie jest to pojęcie tożsame z grupą kapitałową, choć do niego zbliżone. Grupa przedsiębiorstw oznacza przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane (art. 4 pkt 19 RODO). Wskazuje się przy tym, że przedsiębiorstwo sprawujące kontrolę może wywierać dominujący wpływ na pozostałe przedsiębiorstwa, ze względu na przykład na strukturę właścicielską, udział finansowy, przepisy regulujące działalność lub uprawnienia do nakazania wdrożenia przepisów o ochronie danych osobowych. Zazwyczaj więc grupy kapitałowe będzie można uznać za mieszczące się w pojęciu „grupy przedsiębiorstw” (w związku ze wspólnymi elementami dominacji jednego podmiotu nad innymi oraz możliwością sprawowania kontroli nad nimi).

Łatwość kontaktu z IOD-em

Podstawowym wymogiem warunkującym możliwość powołania IOD-a w grupie kapitałowej jest łatwość nawiązywania z nim kontaktu z każdej jednostki organizacyjnej – rozumiana szeroko, przez pryzmat obowiązków IOD wskazanych w RODO. Jednocześnie, łatwość nawiązywania kontaktów należy oceniać na trzech poziomach, tj. dotyczy ona kontaktu (współpracy):

• z poszczególnymi spółkami z grupy (pracownikami tych spółek)
• z osobami, których dane są przetwarzane przez poszczególne spółki z grupy
• z właściwym organem nadzorczym.

Łatwość nawiązywania kontaktu z IOD-em rozumiana w kontekście jego dostępności powinna być efektywna tzn. IOD musi mieć realną możliwość wykonywania swoich obowiązków w każdej ze spółek, w której został wyznaczony. Nie oznacza to jednak, że musi on fizycznie przebywać (przynajmniej okresowo) w tym samym miejscu, co np. pracownicy poszczególnych spółek. W wytycznych organów z zakresu ochrony danych osobowych wprost wskazuje się, że obowiązki IOD-a mogą być wypełniane również poprzez infolinię lub inne środki bezpiecznej komunikacji [2]. Należy również wskazać, że w przypadku międzynarodowych grup kapitałowych komunikacja z IOD-em musi odbywać się w języku lub językach używanych przez organy nadzorcze i osoby, których dane dotyczą. Wskazuje się również, że IOD dla zapewnienia sprawnego komunikowania się z osobami, których dane dotyczą oraz zapewnienia właściwej współpracy z organem nadzorczym może korzystać z pomocy dedykowanego zespołu (jeśli jest to konieczne). IOD może być więc w praktyce swego rodzaju koordynatorem wykonywania określonych zadań z zakresu ochrony danych osobowych w grupie kapitałowej.

IOD doradzający podmiotom występującym w różnych rolach

Wyzwaniem w bieżącym wykonywaniu zadań IOD-a w grupie kapitałowej w kontekście jego statusu mogą być różne role w jakich występują poszczególne spółki wchodzące w skład grupy, tj. posiadanie statusu administratora, podmiotu przetwarzającego lub współadministratora [3]. W związku ze statusem IOD-a jako niezależnego ciała doradczego w sprawach z zakresu ochrony danych osobowych, w niektórych przypadkach może dochodzić do konfliktu interesów (np. w doradzaniu przy zawieraniu umowy powierzenia danych zarówno spółce będącej administratorem danych, jak i drugiej spółce będącej podmiotem przetwarzającym). Ponadto, zgodnie z RODO, administrator oraz podmiot przetwarzający muszą zapewnić, by IOD nie otrzymywał instrukcji dotyczących wykonywania zadań wskazanych w RODO. Spółki z grupy kapitałowej muszą więc być szczególnie ostrożne w ramach współpracy z IOD-em, tak, aby nie narazić się na postawienie zarzutu, że IOD nie jest niezależny. Naruszenie przepisów dot. IOD-a stanowi przesłankę do nałożenia administracyjnej kary pieniężnej, o której mowa w art. 83 ust. 4 lit. a RODO (w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego).

„Wspólny IOD” – kwestie organizacyjne

Zgodnie z polskimi przepisami [4], w przypadku wyznaczenia jednego IOD-a przez grupę przedsiębiorców, każdy z tych podmiotów dokonuje zawiadomienia o wyznaczeniu IOD-a, wskazując imię, nazwisko oraz adres poczty elektronicznej lub jego numer telefonu, a także zawiadomienia o każdej zmianie tych danych oraz o odwołaniu IOD-a. Podjęcie decyzji o wyznaczeniu IOD-a w grupie, zobowiązuje więc wszystkie podmioty do aktywnego udziału w jego powołaniu. Na marginesie należy dodać, że zgłoszenie IOD-a oraz poinformowanie o zmianach dotyczących IOD-a może odbyć się jedynie elektronicznie, za pośrednictwem formularza dostępnego w Internecie. Zgłoszenie musi być opatrzone kwalifikowanym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym na ePUAP.

Kolejną kwestią, istotną z biznesowego punktu widzenia, jest wynagrodzenie IOD-a. W ramach grupy kapitałowej możliwe jest przyjęcie jednego z kilku rozwiązań w zakresie wzajemnych rozliczeń. IOD może być w szczególności zatrudniony przez kilka spółek na część etatu. Można również zatrudniać IOD-a w jednej ze spółek i oddelegować go do pracy w innych spółkach z grupy (odmianą tego modelu może być zatrudnianie IOD-a w ramach centrum usług wspólnych (CUW) w grupie). Na te warianty należy jeszcze nałożyć możliwość świadczenia usług IOD-a nie tylko przez osoby pozostające w wewnętrznej strukturze poszczególnych podmiotów, ale również przez zewnętrzne podmioty (RODO wprost wskazuje, że IOD może również wykonywać swoje zadania na podstawie umowy o świadczenie usług – art. 37 ust. 6 RODO).

Decyzja o powołaniu „wspólnego IOD-a”

Powołanie wspólnego IOD-a w grupie kapitałowej powinno być poprzedzone analizą, czy powołanie IOD-a jest obowiązkiem lub czy jest wskazane w którejkolwiek ze spółek z grupy kapitałowej. W RODO wskazano przypadki, kiedy powołanie IOD-a jest obowiązkowe (art. 37 ust. 1 RODO). Jednocześnie, stosunkowo często, podmioty powołują IOD-a dobrowolnie, jako element składający się na całość rozwiązań przyjętych w celu zapewnienia zgodności przetwarzania danych osobowych oraz w celu spełnienia obowiązku rozliczalności. Można w związku z tym wyobrazić sobie sytuację, gdzie zasadne będzie powołanie wspólnego IOD-a przez wszystkie spółki z grupy kapitałowej, jak i tylko przez niektóre z nich. Z drugiej strony, możliwa jest też sytuacja w której oceniając zasadność powołania IOD-a osobno w każdej ze spółek z grupy dojdzie się do wniosku, że nie jest to celowe, jednak patrząc z perspektywy całej grupy kapitałowej, powołania IOD-a może być jak najbardziej zasadne. Konieczność i zasadność powoływania IOD-a dla każdej spółki z grupy osobno, jak i „wspólnego IOD-a” powinna być poprzedzona szczegółową analizą prawną i organizacyjną.

Link do artykuły na LinkedIn:

https://www.linkedin.com/feed/update/urn:li:activity:6693786751074406400/

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

[2] Por. Wytyczne dotyczące inspektorów ochrony danych (‘DPO’), WP 243 rew.01 – https://uodo.gov.pl/pl/10/7.

[3] Por. artykuł – https://www.linkedin.com/post/edit/6686197378787160064/.

[4] Art. 10 ust. 5 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781).

***

Abstract

Article published as part of the #ForumBK project – GDPR in capital groups

The GDPR provides for the possibility of appointing one Data Protection Officer (DPO) for a „group of undertakings”. Capital group may appoint a single DPO provided that he or she is easily accessible from each establishment. Ease of establishing contact is understood broadly and applies to contact with: companies from the group, data subjects, supervisory authorities. In the case of international capital groups – communication with the DPO needs to take place in the language used by supervisory authorities and data subjects. In Poland, the „joint DPO” must be notified to the supervisory body by each of the group companies. DPO may advise companies from the capital group that play a variety of roles (potential conflicts of interest). The necessity and legitimacy of appointing the DPO for each group company as well as the „joint DPO” should be preceded by a detailed legal and organizational analysis. The function of the DPO may be performed by a person from the internal structure of one of the group companies or by an external entity. Efficient communication with the DPO may be ensured if necessary with the help of a dedicated support team.