Dość często współpracujące ze sobą w ramach grupy kapitałowej spółki korzystają ze wspólnego systemu informatycznego, w ramach które przetwarzane są dane osobowe np. pracowników. Dowiedz się, czy takie przetwarzanie wiąże się z koniecznością zawarcia umowy powierzenia przetwarzania danych czy też wdrożenia innego rozwiązania.
RODO przewiduje odrębną definicję „grupy przedsiębiorstw”. W myśl art. 4 pkt 19 grupa ta składa się z przedsiębiorstwa sprawującego kontrolę oraz przedsiębiorstw przez nie kontrolowanym. Przedsiębiorstwem sprawującym kontrolę jest zaś przedsiębiorstwo, które może wywierać dominujący wpływ na pozostałe przedsiębiorstwa ze względu np. na strukturę właścicielską, udział finansowy lub przepisy regulujące jego działalność, lub też uprawnienia do nakazywania wdrożenia przepisów o ochronie danych osobowych (motyw 37 preambuły RODO). Taką grupę może stanowić właśnie grupa kapitałowa. Przedsiębiorstwo sprawujące kontrolę to zatem nie tylko spółka dominująca w rozumieniu przepisów Kodeksu spółek handlowych, ale także przedsiębiorstwo kontrolujące przetwarzanie danych osobowych w przedsiębiorstwach powiązanych z nim. Natomiast współadministratorami są z kolei co najmniej dwaj administratorzy, którzy wspólnie ustalają cele i sposoby przetwarzania danych (art. 26 RODO).
Tryb wymiany danych osobowych pracowników pomiędzy przedsiębiorstwami należącymi od grupy zależy od relacji pomiędzy przedsiębiorstwami.
Jeśli tylko jedno przedsiębiorstwo zajmuje się obsługą kadrową, to przekazywanie danych pracowników poszczególnym spółkom wchodzącym w skład grupy może odbywać się na zasadzie udostępnienia danych – na podstawie art. 6 ust. 1 lit. f RODO. Prawnie uzasadnionym interesem jest wówczas realizacja celów związanych m.in. z zatrudnianiem lub szkoleniem pracowników.
Dane osobowe pracowników mogą być przetwarzane są w ramach jednego, scentralizowanego systemu. W takiej sytuacji dochodzi do współadministrowania tymi danymi przez przedsiębiorstwa w grupie jako że cele i sposoby przetwarzania danych są ustalane wspólnie, podobnie jak realizowane są obowiązki w zakresie RODO.
W tym drugim przypadku przedsiębiorcy powinni ustalić w porozumieniu podział zadań i zakres odpowiedzialności.
Przekazywanie danych osobowych pracowników pomiędzy współadministratorami w grupie przedsiębiorstw nie wymaga zawierania umów powierzenia przetwarzania ani też nie jest udostępnianiem danych, ponieważ przedsiębiorstwa w ramach grupy przetwarzają dane wspólnie i w ramach ustalonych celów.
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
© Portal Poradyodo.pl