Przepływy danych w grupach kapitałowych

Wielu przedsiębiorców ma problem z właściwym zastosowaniem ustawy o ochronie danych osobowych. Problem dotyczą zwłaszcza przekazywania danych osobowych do

 innych podmiotów. O ile nie budzi wątpliwości np. sprzedaż bazy danych, to już przekazanie danych do podmiotu z grupy kapitałowej nie jest w ogóle analizowane pod kątem dopuszczalności takiego działania z punktu widzenia ustawy o ochronie danych osobowych.

Pierwszy problem, który należy rozwiązać, to czy Spółki w grupie to odrębni administratorzy danych. Zgodnie z ustawą o ochronie danych osobowych, administratorem danych jest podmiot, który decyduje o celach i środkach przetwarzania danych osobowych (art. 7 ust. 4 ustawy o ochronie danych osobowych). W przypadku Spółki za administratora danych uznaje się właśnie Spółkę (reprezentowaną zgodnie z KSH czyli zazwyczaj przez Zarząd). Nie ma znaczenia fakt, że prezesem wszystkich Spółek jest ta sama osoba. Z punktu widzenia ustawy o ochronie danych osobowych obojętny jest również układ właścicielski (czyli np. że jedna ze Spółek ma 100% udziałów albo akcji w innej Spółce). Każda ze Spółek powiązanych kapitałowo jest odrębnym administratorem danych.

Kolejną kwestią jest właściwe określenie przepływu danych osobowych pomiędzy Spółkami. Zgodnie z ustawą o ochronie danych osobowych każde przekazywanie danych należy zakwalifikować jako udostępnienie danych (np. sprzedaż bazy danych) lub powierzenie przetwarzania danych (np. zlecenie niszczenie dokumentów innej firmie)[1]. Jeżeli w grupie kapitałowej jedna ze Spółek prowadzi np. obsługę kadrową, płacową, IT, to pozostałe Spółki powinny podpisać umowy powierzenia przetwarzania danych. Umowa powierzenia powinna zawierać przynajmniej zakres powierzonych danych, cel ich przetwarzania oraz powinna być zawarta w formie pisemnej (art. 31 ustawy o ochronie danych osobowych). Spółka świadcząca usługi outsourcingu pełnić będzie rolę procesora, a Spółki zlecające rolę administratorów danych. Odmiennie wygląda sytuacja jeżeli dane osobowe są udostępniane do pozostałych Spółek. Ww. sytuacja ma miejsce jeżeli dane zostały pozyskane przez Spółkę z grupy (Spółka córka), która np. zajmuje się sprzedażą pożyczek, a Spółka matka chce mieć te dane dla siebie aby realizować marketing własnych produktów / usług lub po prostu w ramach sprawowania tzw. kontroli zarządczej, a więc prowadzenia statystyk i raportowania wyników. Mamy wtedy do czynienia z udostępnieniem danych pomiędzy dwoma administratorami danych. Spółka córka w takim przypadku powinna mieć co do zasady zgodę osoby, której dane dotyczą na udostępnienie danych oraz w klauzuli obowiązku informacyjnego poinformować przynajmniej o kategorii odbiorców (warto w tym miejscu wspomnieć o stanowisku GIODO, który w jednej ze swoich decyzji nakazał aby poinformować o pełnej nazwie i adresie Spółek z grupy do których dane będą udostępnienie). Sytuacja komplikuje się, gdy Spółka do której przekazujemy dane osobowe ma siedzibę za granicą lub w państwie trzecim w rozumieniu art. 7 pkt 7 ustawy o ochronie danych osobowych, ale to temat na odrębny wpis…

W przypadku udostępniania danych bez podstawy prawnej lub też bez zawarcia umów powierzenie podmiot (a właściwie osoba reprezentująca) może narazić się na odpowiedzialność karną określoną w ustawie o ochronie danych osobowych. Nie jest wykluczona sytuacje, w której będzie odpowiadał prezes za to, że dane zostały przekazane z naruszeniem ustawy o ochronie danych osobowych do innej Spółki w której też jest prezesem.



[1]     Na potrzeby niniejszego wpisu pomijam kwestię szczególnych form nabycia praw i obowiązków, które nie mieszczą się w zakresie instytucji udostępnienia danych osobowych lub powierzenia ich przetwarzania.