Jak rozumieć grupę przedsiębiorstw według RODO

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych, RODO) wprowadza m.in. pojęcie grupy przedsiębiorstw.

Za grupę przedsiębiorstw należy uznać przedsiębiorstwo kontrolujące przetwarzanie danych osobowych w przedsiębiorstwach powiązanych z nim, wraz z tymi przedsiębiorstwami (motyw 37 RODO). Artykuł 4 pkt 19 RODO definiuje grupę przedsiębiorców jako przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane. Zgodnie z motywem 36 RODO, jeżeli przetwarzania dokonuje grupa przedsiębiorstw, za jej główną jednostkę organizacyjną należy uznać główną jednostkę organizacyjną przedsiębiorstwa sprawującego kontrolę, chyba że cel i sposoby przetwarzania określa inne przedsiębiorstwo.

Z bycia grupą przedsiębiorstw wynikają pewne korzyści. Przede wszystkim administratorzy, którzy są częścią grupy przedsiębiorstw, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników. Pozostaje to bez wpływu na ogólne zasady przekazywania danych osobowych w ramach grupy przedsiębiorstw przedsiębiorstwu mieszczącemu się w państwie trzecim. Oznacza to, że spełniona jest przesłanka przetwarzania danych osobowych zgodnie z prawem, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora (art. 6 ust. 1 lit. f RODO).

Grupa przedsiębiorstw może korzystać z zatwierdzonych wiążących reguł korporacyjnych przy międzynarodowym przekazywaniu danych z Unii Europejskiej do organizacji w tej samej grupie przedsiębiorstw, pod warunkiem że w takich regułach korporacyjnych są ujęte wszystkie podstawowe zasady i egzekwowalne prawa zapewniające odpowiednie zabezpieczenia na potrzeby przekazywania danych osobowych lub na potrzeby określonych kategorii przekazań danych osobowych (motyw 110 RODO).

Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, jeśli będzie można łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej (art. 37 ust. 2 RODO).

Abyśmy mieli do czynienia z grupą przedsiębiorstw:

• musi istnieć przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa kontrolowane,
• przedsiębiorstwo sprawujące kontrolę ma kontrolować przetwarzanie danych osobowych w przedsiębiorstwach powiązanych.

W mojej ocenie nie może istnieć dwupodmiotowa grupa przedsiębiorców. Minimalna ilość przedsiębiorstw w grupie przedsiębiorstw to 3, skoro musi być przynajmniej jedno przedsiębiorstwo sprawujące kontrolę oraz dwa przedsiębiorstwa kontrolowane (RODO posługuje się tu liczbą mnogą).

Pojęcia grupy przedsiębiorstw nie można utożsamiać z pojęciem grupy kapitałowej. Pojęcie kontroli z RODO nie oznacza bowiem kontroli właścicielskiej (kapitałowej), ale kontroli rozumianej jako wpływ dominujący na podmioty kontrolowane w odniesieniu do wybranej sfery ich działalności, tj. przetwarzania danych osobowych. Bez wątpienia przedsiębiorstwem sprawującym kontrolę może być inna spółka niż spółka dominująca w rozumieniu Kodeksu spółek handlowych.