Czy i kiedy można wymieniać się danymi osobowymi w ramach grupy spółek? Piotr Grzelczak

Podobne dokumenty
Jak legalnie przekazywać dane osobowe w grupie kapitałowej i do podwykonawców

Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych. Szkolenie dla Inspektorów Ochrony Danych Warszawa, r.

Krajowa Konferencja Ochrony Danych Osobowych

Informacja o przetwarzaniu danych osobowych

ZAŁĄCZNIK. Przeciwdziałanie skutkom wystąpienia Zjednoczonego Królestwa z Unii bez umowy: skoordynowane podejście Unii

POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM ACP GLOBAL FORWARDING SP. Z O.O.

ZASADY PRZEKAZYWANIA DANYCH OSOBOWYCH DO PAŃSTW TRZECICH. Wstęp

Wykaz skrótów... XV Wykaz literatury... XXI Wprowadzenie... XXVII

Program szkolenia - Rejestracja i bezpieczeństwo danych osobowych

Klauzula informacyjna dotycząca przetwarzania danych osobowych osoby fizycznej

RODO W WYKONYWANIU ZAWODU RADCY PRAWNEGO

Informacja o przetwarzaniu danych osobowych

Informacja o przetwarzaniu danych osobowych

POLITYKA PRYWATNOŚCI

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

Warszawa, 19 października 2016 Agnieszka Szydlik, adwokat, Wardyński & Wspólnicy Sylwia Paszek, radca prawny, Wardyński & Wspólnicy

1. Administratorem danych osobowych w rozumieniu art. 4 pkt 4 RODO1 są Julita

Informacja o przetwarzaniu danych osobowych

Ochrona danych osobowych w chmurze

1. Niniejsza Polityka prywatności określa zasady przetwarzania i ochrony Twoich danych osobowych w

Informacja o przetwarzaniu danych osobowych

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI. zadania: przepisami; Nowe kompetencje GIODO: Administratora danych; Przekazywanie danych do państw trzecich:

Informacja o przetwarzaniu danych osobowych

Czym jest RODO? Czym jest przetwarzanie danych osobowych?

KLAUZULA INFORMACYJNA

Oświadczenie o ochronie danych osobowych Informacje dotyczące ochrony danych zgodnie z art. 13 i 14 RODO

POLITYKA PRYWATNOŚCI I COOKIES

Informacja o przetwarzaniu danych osobowych

Na co zwrócić uwagę przygotowując zgodną z prawem kampanię SMS

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

WNIOSEK O WYDANIE / PRZEDŁUŻENIE * PRZEPUSTKI JEDNORAZOWEJ/ STAŁEJ / TYMCZASOWEJ *

Profesjonalny Administrator Bezpieczeństwa Informacji

INFORMACJA O OCHRONIE DANYCH OSOBOWYCH

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Polityka informacyjna dla Kontrahentów oraz osób reprezentujących Kontrahentów. OTCF S.A. z siedzibą w Wieliczce ul. A. Grottgera Wieliczka

INFORMACJE DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH PRZEZ IGORIA TRADE S.A.

ZASADY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH NA RZECZ ROSEVILLE INVESTMENTS SP. Z O.O.

Umowy powierzenia w sektorze usług zdrowotnych. Katarzyna Korulczyk Adwokat, Inspektor ochrony Danych, LUX MED Pracodawcy RP

Prosimy o uważne zapoznanie się z niniejszą Polityką prywatności, ponieważ zawiera ona istotne dla Państwa informacje.

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

Informacja o przetwarzaniu danych osobowych przez INSTAL TM

ZASADY PRZETWARZANIA DANYCH OSOBOWYCH INFORMACJE DLA PARTNERÓW BIZNESOWYCH, OSÓB KONTAKTOWYCH I GOŚCI

POLITYKA PRYWATNOŚCI INFORMACJA O ZASADACH PRZETWARZANIA DANYCH OSOBOWYCH ZGODNIE Z RODO

Wpływ nowych regulacji prawnych na dopuszczalność outsourcingu procesów biznesowych.

POLITYKA PRYWATNOŚCI

Praktyczny kurs dla Administratora Bezpieczeństwa Informacji

Ty/Użytkownik: każda osoba fizyczna odwiedzająca Sklep Internetowy lub korzystająca z funkcjonalności udostępnionych w Sklepie Internetowym.

Radom, 13 kwietnia 2018r.

ACCACE POLAND Ochrona danych osobowych dotychczasowe zasady i zmiany po wejściu w życie nowego Rozporządzenia Unijnego RODO

Powierzenie. Możliwość korzystania z usług procesora. Zakaz dalszego powierzania bez zgody ADO. Przetwarzanie danych przez procesora

3. Cel przetwarzania danych przez Administratora, podstawa prawna przetwarzania oraz okres, przez który dane osobowe będą przechowywane:

Informacja o przetwarzaniu danych osobowych

UMOWA O WSPÓŁADMINISTROWANIE DANYMI

Szkolenie. Funkcja Administratora Bezpieczeństwa Informacji po deregulacji. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH. Departament Inspekcji

Licencje jako instrument transferu technologii

POLITYKA PRYWATNOŚCI CZECZELEWSKA DOROTA FIRMA HANDLOWA PANDA

INFORMACJE DOTYCZĄCE PRZETWARZANIA DANYCH (inaczej: POLITYKA PRYWATNOŚCI) W KANCELARII MORAWSKI & WSPÓLNICY

Wszystkie poniższe numery artykułów dotyczą ustawy o ochronie danych osobowych.

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Polityka prywatności

Regulamin powierzania przetwarzania danych osobowych w JAS-FBG S.A. z dnia 24 maja 2018 r.

PolGuard Consulting Sp.z o.o. 1

Wszelkie zapytania do jakiejkolwiek spółki można również kierować na witrynie:

OBOWIĄZEK INFORMACYJNY

PL Warszawa. Szczegółowe informacje dotyczące przetwarzania danych kandydatów do pracy

Załącznik dla emeryta

ECK EUREKA tel fax

OCHRONA DANYCH OSOBOWYCH

Polityka prywatności PLATFORMY INTERNETOWEJ

Polityka prywatności

Informacja o zmianach w przepisach o ochronie danych osobowych W jakim celu przesyłamy Państwu Informację?

1. ADMINISTRATOR DANYCH OSOBOWYCH. Informacje o przetwarzaniu danych osobowych

POLITYKA PRYWATNOŚCI W PIAST GROUP SP. Z O.O.

Euler Hermes Informacja o polityce prywatności w procesie rekrutacji

Partner in Pet Food Polska Sp. z o.o. Informacja o ochronie danych osobowych. Ostatnia aktualizacja: 25 maja 2018 roku

Informacja dla Przedstawicieli zawodów medycznych, których dane osobowe zostały pozyskane i są przetwarzane przez Servier Polska Sp. z o.o.

Informacja dotycząca przetwarzania Państwa danych osobowych

INFORMACJA DOTYCZĄCA PRZETWARZANIA DANYCH OSOBOWYCH KANDYDATÓW DO PRACY W GRUPIE PRACUJ

To oznacza, że odpowiada za ich wykorzystywanie i bezpieczeństwo. Przepisy prawa nakładają na nas obowiązek przekazania poniższych informacji.

Polityka Prywatności. Kto jest administratorem Twoich danych osobowych?

UCHWAŁA NR XXIII/415/16 SEJMIKU WOJEWÓDZTWA KUJAWSKO-POMORSKIEGO z dnia 29 sierpnia 2016 r.

POLITYKA PRYWATNOŚCI. Paul Schockemöhle Logistics Polska Sp. z o. o.

Ochrona wrażliwych danych osobowych

Informacja o ochronie danych osobowych

Obowiązek informacyjny Kancelarii Ostrowski i Wspólnicy sp. k. jako Administratora Danych Osobowych.

Wykonanie obowiązków informacyjnych RODO

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

Informacja o przetwarzaniu danych osobowych

Jacek Bajorek Instytut Zarządzana Bezpieczeństwem Informacji

KLAUZULA INFORMACYJNA Konkurs Nagroda Człowiek wiedzy i doświadczenia. Informacje dotyczące ochrony danych osobowych

1. Informacja nt. Fundacji Rozwoju Demokracji Lokalnej

INFORMACJA DOTYCZĄCA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA PRYWATNOŚCI ADMINISTRATOREM DANYCH JEST:

KLAUZULA ZGODY DLA KANDYDATA

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

1. Rodzaj danych osobowych, które możemy przechowywać

POLITYKA PRZETWARZANIA DANYCH OSOBOWYCH W SPÓŁCE COBALTBLUE SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ SPÓŁKA KOMANDYTOWA Z SIEDZIBĄ W WARSZAWIE

Transkrypt:

Czy i kiedy można wymieniać się danymi osobowymi w ramach grupy spółek? Piotr Grzelczak

O czym będziemy mówić? Kiedy mamy do czynienia z przetwarzaniem danych osobowych? W jakim celu przekazuje się dane pomiędzy spółkami w ramach grupy kapitałowej i jak powinny wyglądać takie transfery? Czy ma znaczenie, że w skład grupy wchodzą spółki zagraniczne?

Kluczowe pojęcia Dane osobowe Punktem odniesienia jest osoba fizyczna Istotna jest możliwość identyfikacji konkretnego człowieka Zakres możliwych danych jest bardzo szeroki Przetwarzanie danych Wszystkie czynności, które dotyczą danych Rozpoczęcie z momentem pozyskania danych Zakończenie z chwilą usunięcia/anonimizacji danych Administrator danych Nie jest istotna forma prawna Decydowanie o celach i środkach przetwarzania danych

Kogo dotyczy polska ustawa? Przepisy o ochronie danych stosujemy do: Podmiotów sektora publicznego (organy państwowe, samorządowe, podmioty niepubliczne realizujące zadania publiczne) Podmiotów sektora prywatnego, o ile spełnione są dodatkowe warunki: charakter prowadzonej działalności (działalność zarobkowa, zawodowa lub realizacja celów statutowych) siedziba na terytorium Polski albo poza Europejskim Obszarem Gospodarczym(jeżeli środki techniczne przetwarzania danych znajdują się w Polsce) Przepisy stosuje się do: Zautomatyzowanego przetwarzania danych(systemy IT) Tradycyjnego przetwarzania danych w zbiorach

Czym jest grupa kapitałowa? Brak definicji w aktualnie obowiązujących przepisach o ochronie danych Z perspektywy praktycznej najbardziej właściwa jest szeroka definicja funkcjonalna grupy kapitałowej: struktura łącząca składająca się z samodzielnych prawnie podmiotów w postaci spółek kryterium łączące stanowią udziały kapitałowe (spółka-matka i spółki córki) Grupy mogą liczyć od dwóch do kilkunastu lub nawet kilkudziesięciu spółek(np. grupa KGHM)

Przyczyny wewnątrzgrupowej wymiany danych? Przyczyny wewnętrzne: redukcja kosztów dzięki synergii usprawnienie procesów zarządczych specjalizacja Przyczyny zewnętrzne: poprawa pozycji rynkowej zapewnienie wysokich standardów obsługi klienta budowanie jednolitej marki

Modele wewnątrzgrupowego transferu danych Powierzenie przetwarzania danych bez przyznania odbiorcy statusu administratora: Istotne w sytuacjach budowania centrów usług wspólnych o charakterze wewnątrzgrupowym(np. wspólna obsługa HR, IT czy księgowości) Istotne w sytuacjach, gdy spółka otrzymująca dane ma rolę stricte usługową/wykonawczą (np. wydzielona spółka logistyczna realizująca dostawy na rzecz klientów innych spółek z grupy) Przekazanie danych innym spółkom jako administratorom: Istotne w sytuacjach, kiedy istnieje potrzeba przyznania decyzyjności spółce otrzymującej dane (np. wykorzystanie danych w celu umożliwienia tej spółce oferowania swoich produktów/usług klientom innej spółki z grupy)

Powierzenie podwykonawcze Na podstawie umowy zawartej na piśmie Spółka otrzymująca dane staje się niejako podwykonawcą administratora: Przetwarzanie jest ograniczone do celu i zakresu wskazanego w umowie Administrator nie zostaje zwolniony z odpowiedzialności Konieczność wprowadzenia umownych mechanizmów kontrolnych Nie ma obowiązków informacyjnych wobec osób, których dane dotyczą Podwykonawca nie ma obowiązku zgłoszenia do GIODO Spółka otrzymująca dane zobowiązana jest wdrożyć środki zabezpieczające i spełnić wymagania techniczno-organizacyjne wynikające z obowiązujących przepisów, w tym opracować niezbędną dokumentację Spółka otrzymująca dane odpowiada za przetwarzanie danych niezgodnie z zawartą umową i podlega kontroli ze strony GIODO

Powierzenie danych innemu administratorowi Wymagane jest, aby po stronie spółki otrzymującej dane (nowego administratora) istniała odpowiednia podstawa prawna do przetwarzania danych taka jak np.: zgoda osoby, której dane dotyczą prawnie usprawiedliwione cele administratora Istnieje konieczność dopełnienia obowiązku informacyjnego wobec osób, których dane dotyczą, chyba że dana osoba ma wyraźną wiedzę o transferze Spółka otrzymująca dane zobowiązana jest zrealizować wszystkie obowiązki ciążące standardowo na administratorach danych, w tym m.in.: opracowanie niezbędnej dokumentacji wdrożenie odpowiednich środków techniczno-organizacyjnych w celu ochrony danych dokonanie zgłoszeń w GIODO(ABI bądź poszczególne zbiory)

Przekazywanie danych do spółek zagranicznych Istotne w przypadku grup kapitałowych o międzynarodowym zasięgu Kluczowe rozróżnienie: spółki zarejestrowane na terenie Europejskiego Obszaru Gospodarczego(UE + Norwegia, Islandia, Lichtenstein) spółki zarejestrowane w państwach trzecich (np. USA, Japonia, Chiny, Kanada)

Transfery danych do państw trzecich (1) Przekazywanie danych poza Europejski Obszar Gospodarczy jest co do zasady możliwe jedynie wówczas, gdy państwo trzecie zapewnia na swym terytorium odpowiedni poziom ochrony danych: Komisja Europejska może wydawać decyzje stwierdzające zapewnienie takiego poziomu ochrony w poszczególnych państwach (Andora, Argentyna, Izrael, Wyspy Guernsey, Jersey i Man, Kanada, Nowa Zelandia, Szwajcaria, Wyspy Owcze) Problem z USA Europejski Trybunał Sprawiedliwości uznał za nieważną decyzję Komisji Europejskiej ws. programu Safe Horbor ; obecnie trwają prace nad wdrożeniem nowych instrumentów ochronnych pod nazwą Privacy Shield Jeżeli nie ma decyzji Komisji Europejskiej odnośnie danego państwa trzeciego, administrator rozstrzyga tę kwestię samodzielnie (na własne ryzyko)

Transfery danych do państw trzecich (2) Jeżeli państwo trzecie nie zapewnia odpowiedniego poziomu ochrony danych, transfery są dopuszczalne w następujących przypadkach: jeżeli osoba, której dane dotyczą wyraziła zgodę na piśmie przekazanie danych jest niezbędne do wykonania umowy pomiędzy administratorem a osobą, której dane dotyczą lub następuje na życzenie tej osoby przekazanie danych jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem a innym podmiotem przekazanie danych jest niezbędne do wykazania zasadności roszczeń prawnych dane są ogólnie dostępne Alternatywnie, jeśli żaden z ww. warunków nie może być spełniony lub jego spełnienie byłoby niepraktyczne, pozostają jeszcze trzy inne możliwości: standardowe klauzule umowne wiążące reguły korporacyjne zgoda GIODO w formie decyzji

Podsumowanie Przetwarzanie danych osobowych obejmuje wszelkie operacje na jakichkolwiek danych osób fizycznych, które można zidentyfikować Przepisy o ochronie danych stosuje się do przedsiębiorców mających siedzibę w Polsce przy przetwarzaniu zautomatyzowanym (systemy IT) oraz przetwarzaniu tradycyjnym w zbiorach W spółkach powiązanych kapitałowo często dochodzi do wzajemnych transferów danych osobowych Istnieją dwa modele transferów wewnątrzgrupowych do podwykonawcy oraz do podmiotów uzyskujących status administratora W ramach Europejskiego Obszaru Gospodarczego możliwy jest swobodny transfer danych Dodatkowe obostrzenia obowiązują przy przekazywaniu danych do państw trzecich

DZIĘKUJĘ ZA UWAGĘ PIOTR GRZELCZAK TEL. 792 917 998 PIOTR.GRZELCZAK@GFPLEGAL.PL

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres