29.03.2017 Zbliża się dzień reformy w zakresie ochrony danych osobowych w całej Unii Europejskiej.
Dotychczasowy stan prawny w obszarze danych osobowych ulegnie zmianie w dniu 25 maja 2018 r. wraz z wejściem w życie ogólnego rozporządzenia o ochronie danych (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE; w skrócie RODO). Zmiany, jakie zostaną wprowadzone przez nowe przepisy mogą okazać się sporym wyzwaniem dla przedsiębiorców przetwarzających dane osobowe. RODO niesie jednak ze sobą także nowe możliwości. Nie pomija przy tym podmiotów funkcjonujących w ramach grup kapitałowych, dla których przewiduje szczególne rozwiązania nieznane obowiązującej wciąż Ustawie o ochronie danych osobowych.
Rozporządzenie posługuje się w swojej treści nie tyle stricte pojęciem „grupy kapitałowej”, co „grupą przedsiębiorstw”, ale wedle zawartej w nim definicji, grupa przedsiębiorstw oznacza „przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane”. Pozwala to na przyjęcie, że wszelkie przepisy odnoszące się do tej grupy, znajdą zastosowanie do grupy kapitałowej w rozumieniu naszych przepisów krajowych. Wśród nowych rozwiązań dedykowanych grupom kapitałowym trzeba wskazać na dwa zasadnicze tj. możliwość powołania wspólnego dla całej grupy Inspektora Danych Osobowych (w skrócie IDO), a także doprecyzowanie przepisów w zakresie wiążących reguł korporacyjnych.
Obowiązująca jeszcze ustawa o ochronie danych osobowych nie przewiduje specjalnego trybu dla przetwarzania danych osobowych w grupie kapitałowej. Według dotychczasowych regulacji, w myśl art. 7 pkt 4 ustawy, każdy z podmiotów wchodzących w skład grupy kapitałowej jest odrębnym administratorem danych decydującym o celach i środkach przetwarzanych danych. Oznacza to, że wymiana danych osobowych w grupie kapitałowej powinna odbywać się tak, jakby były to zupełnie odrębne i niezależne od siebie podmioty. Każdy z nich zatem, w świetle Ustawy o ochronie danych osobowych, powinien wyznaczyć własne standardy dotyczące ochrony danych osobowych.
Omawiane rozporządzenie zmienia w tym zakresie znacząco dotychczasowe zasady, zgodnie z art. 37 ust. 2 RODO: „Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej”. Ponadto, zgodnie z art. 37 ust. 6 RODO, dopuszcza się aby „inspektor ochrony danych był członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywał zadania na podstawie umowy o świadczenie usług”.
Warto zauważyć, że inspektor danych osobowych, o którym mówi RODO jest odpowiednikiem dotychczasowego administratora bezpieczeństwa informacji (ABI), z tym że zachodzą pewne różnice. Powołanie ABI w obowiązującym jeszcze systemie jest w pełni dobrowolne, a RODO wprowadza obowiązek powołania IDO w każdym przypadku wskazanym przez rozporządzenie. Grupa Robocza Art. 29, zajmująca się określaniem wytycznych dotyczących ochrony danych osobowych, przygotowała również wytyczne dotyczące obowiązkowego wyznaczania inspektora ochrony danych, a także jego statusu i zadań. Wytyczne mają na celu ułatwienie administratorom oraz podmiotom przetwarzającym dane osobowe określenie, czy od dnia 25 maja 2018 r. będą mieli obowiązek wyznaczenia takiego inspektora.
We wspomnianych powyżej wytycznych, szczególny nacisk położono na kwestę łatwości nawiązania kontaktu przez każdą jednostkę organizacyjną, która będzie wchodzić w skład grupy kapitałowej powołującej wspólnego IDO. Podkreślono, iż IDO musi pełnić swoje obowiązki starannie i umożliwić z nim kontakt należy każdemu pracownikowi. Kontakt może być osobisty w siedzibie podmiotu, jak również telefoniczny albo za pośrednictwem innych środków komunikacji na odległość. Ponadto inspektor powinien posługiwać się językiem lub językami używanymi przez pracowników.
Kolejnym novum, jakie przyniesie RODO będzie doprecyzowanie przepisów w zakresie wiążących reguł korporacyjnych, które regulują kwestie międzynarodowego transferu danych osobowych pomiędzy podmiotami należącymi do jednej grupy kapitałowej. Są to opracowywane przez przedsiębiorców dokumenty mające na celu zagwarantowanie odpowiedniego poziomu ochrony tych danych, a co za tym idzie, umożliwienie swobodnego ich przepływu wewnątrz korporacji, co de facto często oznacza transfer tych danych pomiędzy państwami z UE a państwami trzecimi. Wciąż obowiązująca w Polsce Ustawa o ochronie danych osobowych, w art. 48 ust 2 pkt 2 przewiduje instytucje wiążących reguł korporacyjnych, jako alternatywy dla zgody Generalnego Inspektora na przekazanie zgody do państwa trzeciego. Rozwiązanie to jest odpowiedzią na globalizację oraz tendencję do łączenia się przedsiębiorstw, a także tworzenia koncernów działających na obszarze wielu państw. RODO przynosi rozwiązania, które co prawda przewiduje dotychczasowa polska ustawa o ochronie danych, ale także je uszczegóławia.
Jak wskazuje się w motywach RODO, grupa przedsiębiorców prowadzących wspólną działalność gospodarczą powinna móc korzystać z zatwierdzonych wiążących reguł korporacyjnych przy międzynarodowym przekazywaniu danych z Unii do organizacji w tej samej grupie przedsiębiorstw lub w grupie przedsiębiorców prowadzących wspólną działalność gospodarczą, pod warunkiem, że w takich regułach korporacyjnych są ujęte wszystkie podstawowe zasady i egzekwowalne prawa zapewniające odpowiednie zabezpieczenia na potrzeby przekazywania danych osobowych lub na potrzeby określonych kategorii przekazań danych osobowych.
RODO definiuje „wiążące reguły korporacyjne” jako polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą.
Przekazanie danych osobowych do państwa trzeciego w przypadku grup kapitałowych może nastąpić bez uzyskania zgody organu nadzorującego przy zapewnieniu odpowiedniego ich zabezpieczenia, a wedle art. 46 ust 2 RODO jednym z odpowiednich zabezpieczeń są wiążące reguły korporacyjne zgodne z art. 47 RODO. Przepis ten stanowi, iż Właściwy organ nadzorczy zatwierdza wiążące reguły korporacyjne zgodnie z mechanizmem spójności przewidzianym w art. 63 RODO, a także pod warunkiem iż są one prawnie wiążące oraz mają zastosowanie do każdego z członków grupy przedsiębiorców prowadzących wspólną działalność gospodarczą, w tym ich pracowników, i są przez każdego z tych członków egzekwowane, a także wyraźnie przyznają osobom, których dane dotyczą, egzekwowalne prawa w związku z przetwarzaniem ich danych osobowych.
Tym samym możliwości, jakie daje RODO grupom kapitałowym, mogą w sposób istotny wpłynąć na ułatwienie im ochrony przetwarzanych danych osobowych i jednocześnie zminimalizować koszty związane chociażby z koniecznością funkcjonowania w każdym podmiocie osobnego inspektora danych. Warto też rozpocząć przygotowania do wprowadzenia nowych rozwiązań, aby nie zostać zaskoczonym w przeddzień ich wejścia w życie.
Marcel Góra, radca prawny w APLaw Artur Piechocki
Link do publikacji w RP: http://www.rp.pl/Firma/303299969-Nowe-rozwiazania-w-zakresie-ochrony-danych-osobowych-dla-grup-kapitalowych.html#ap-2