Czy i kiedy można wymieniać się danymi osobowymi w ramach grupy spółek? Piotr Grzelczak

Transkrypt

1 Czy i kiedy można wymieniać się danymi osobowymi w ramach grupy spółek? Piotr Grzelczak

2 O czym będziemy mówić? Kiedy mamy do czynienia z przetwarzaniem danych osobowych? W jakim celu przekazuje się dane pomiędzy spółkami w ramach grupy kapitałowej i jak powinny wyglądać takie transfery? Czy ma znaczenie, że w skład grupy wchodzą spółki zagraniczne?

3 Kluczowe pojęcia Dane osobowe Punktem odniesienia jest osoba fizyczna Istotna jest możliwość identyfikacji konkretnego człowieka Zakres możliwych danych jest bardzo szeroki Przetwarzanie danych Wszystkie czynności, które dotyczą danych Rozpoczęcie z momentem pozyskania danych Zakończenie z chwilą usunięcia/anonimizacji danych Administrator danych Nie jest istotna forma prawna Decydowanie o celach i środkach przetwarzania danych

4 Kogo dotyczy polska ustawa? Przepisy o ochronie danych stosujemy do: Podmiotów sektora publicznego (organy państwowe, samorządowe, podmioty niepubliczne realizujące zadania publiczne) Podmiotów sektora prywatnego, o ile spełnione są dodatkowe warunki: charakter prowadzonej działalności (działalność zarobkowa, zawodowa lub realizacja celów statutowych) siedziba na terytorium Polski albo poza Europejskim Obszarem Gospodarczym(jeżeli środki techniczne przetwarzania danych znajdują się w Polsce) Przepisy stosuje się do: Zautomatyzowanego przetwarzania danych(systemy IT) Tradycyjnego przetwarzania danych w zbiorach

5 Czym jest grupa kapitałowa? Brak definicji w aktualnie obowiązujących przepisach o ochronie danych Z perspektywy praktycznej najbardziej właściwa jest szeroka definicja funkcjonalna grupy kapitałowej: struktura łącząca składająca się z samodzielnych prawnie podmiotów w postaci spółek kryterium łączące stanowią udziały kapitałowe (spółka-matka i spółki córki) Grupy mogą liczyć od dwóch do kilkunastu lub nawet kilkudziesięciu spółek(np. grupa KGHM)

6 Przyczyny wewnątrzgrupowej wymiany danych? Przyczyny wewnętrzne: redukcja kosztów dzięki synergii usprawnienie procesów zarządczych specjalizacja Przyczyny zewnętrzne: poprawa pozycji rynkowej zapewnienie wysokich standardów obsługi klienta budowanie jednolitej marki

7 Modele wewnątrzgrupowego transferu danych Powierzenie przetwarzania danych bez przyznania odbiorcy statusu administratora: Istotne w sytuacjach budowania centrów usług wspólnych o charakterze wewnątrzgrupowym(np. wspólna obsługa HR, IT czy księgowości) Istotne w sytuacjach, gdy spółka otrzymująca dane ma rolę stricte usługową/wykonawczą (np. wydzielona spółka logistyczna realizująca dostawy na rzecz klientów innych spółek z grupy) Przekazanie danych innym spółkom jako administratorom: Istotne w sytuacjach, kiedy istnieje potrzeba przyznania decyzyjności spółce otrzymującej dane (np. wykorzystanie danych w celu umożliwienia tej spółce oferowania swoich produktów/usług klientom innej spółki z grupy)

8 Powierzenie podwykonawcze Na podstawie umowy zawartej na piśmie Spółka otrzymująca dane staje się niejako podwykonawcą administratora: Przetwarzanie jest ograniczone do celu i zakresu wskazanego w umowie Administrator nie zostaje zwolniony z odpowiedzialności Konieczność wprowadzenia umownych mechanizmów kontrolnych Nie ma obowiązków informacyjnych wobec osób, których dane dotyczą Podwykonawca nie ma obowiązku zgłoszenia do GIODO Spółka otrzymująca dane zobowiązana jest wdrożyć środki zabezpieczające i spełnić wymagania techniczno-organizacyjne wynikające z obowiązujących przepisów, w tym opracować niezbędną dokumentację Spółka otrzymująca dane odpowiada za przetwarzanie danych niezgodnie z zawartą umową i podlega kontroli ze strony GIODO

9 Powierzenie danych innemu administratorowi Wymagane jest, aby po stronie spółki otrzymującej dane (nowego administratora) istniała odpowiednia podstawa prawna do przetwarzania danych taka jak np.: zgoda osoby, której dane dotyczą prawnie usprawiedliwione cele administratora Istnieje konieczność dopełnienia obowiązku informacyjnego wobec osób, których dane dotyczą, chyba że dana osoba ma wyraźną wiedzę o transferze Spółka otrzymująca dane zobowiązana jest zrealizować wszystkie obowiązki ciążące standardowo na administratorach danych, w tym m.in.: opracowanie niezbędnej dokumentacji wdrożenie odpowiednich środków techniczno-organizacyjnych w celu ochrony danych dokonanie zgłoszeń w GIODO(ABI bądź poszczególne zbiory)

10 Przekazywanie danych do spółek zagranicznych Istotne w przypadku grup kapitałowych o międzynarodowym zasięgu Kluczowe rozróżnienie: spółki zarejestrowane na terenie Europejskiego Obszaru Gospodarczego(UE + Norwegia, Islandia, Lichtenstein) spółki zarejestrowane w państwach trzecich (np. USA, Japonia, Chiny, Kanada)

11 Transfery danych do państw trzecich (1) Przekazywanie danych poza Europejski Obszar Gospodarczy jest co do zasady możliwe jedynie wówczas, gdy państwo trzecie zapewnia na swym terytorium odpowiedni poziom ochrony danych: Komisja Europejska może wydawać decyzje stwierdzające zapewnienie takiego poziomu ochrony w poszczególnych państwach (Andora, Argentyna, Izrael, Wyspy Guernsey, Jersey i Man, Kanada, Nowa Zelandia, Szwajcaria, Wyspy Owcze) Problem z USA Europejski Trybunał Sprawiedliwości uznał za nieważną decyzję Komisji Europejskiej ws. programu Safe Horbor ; obecnie trwają prace nad wdrożeniem nowych instrumentów ochronnych pod nazwą Privacy Shield Jeżeli nie ma decyzji Komisji Europejskiej odnośnie danego państwa trzeciego, administrator rozstrzyga tę kwestię samodzielnie (na własne ryzyko)

12 Transfery danych do państw trzecich (2) Jeżeli państwo trzecie nie zapewnia odpowiedniego poziomu ochrony danych, transfery są dopuszczalne w następujących przypadkach: jeżeli osoba, której dane dotyczą wyraziła zgodę na piśmie przekazanie danych jest niezbędne do wykonania umowy pomiędzy administratorem a osobą, której dane dotyczą lub następuje na życzenie tej osoby przekazanie danych jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem a innym podmiotem przekazanie danych jest niezbędne do wykazania zasadności roszczeń prawnych dane są ogólnie dostępne Alternatywnie, jeśli żaden z ww. warunków nie może być spełniony lub jego spełnienie byłoby niepraktyczne, pozostają jeszcze trzy inne możliwości: standardowe klauzule umowne wiążące reguły korporacyjne zgoda GIODO w formie decyzji

13 Podsumowanie Przetwarzanie danych osobowych obejmuje wszelkie operacje na jakichkolwiek danych osób fizycznych, które można zidentyfikować Przepisy o ochronie danych stosuje się do przedsiębiorców mających siedzibę w Polsce przy przetwarzaniu zautomatyzowanym (systemy IT) oraz przetwarzaniu tradycyjnym w zbiorach W spółkach powiązanych kapitałowo często dochodzi do wzajemnych transferów danych osobowych Istnieją dwa modele transferów wewnątrzgrupowych do podwykonawcy oraz do podmiotów uzyskujących status administratora W ramach Europejskiego Obszaru Gospodarczego możliwy jest swobodny transfer danych Dodatkowe obostrzenia obowiązują przy przekazywaniu danych do państw trzecich

14 DZIĘKUJĘ ZA UWAGĘ PIOTR GRZELCZAK TEL