Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Przetwarzanie danych osobowych pracowników w ramach grupy

25-09-2017 Autor: Dominika Dörre-Kolasa
Powierzenie...
autor : Źródło: Autor: A....

W praktyce pojawienie się w przepisach rodo pojęcia grupy przedsiębiorstw nie spowoduje rozwiązania istniejących problemów. Konieczne jest, aby przed 25 maja 2018 r. nastąpiło uporządkowanie procesów przetwarzania danych osobowych, w tym właściwe określenie podmiotów w nich uczestniczących.

 

Dość często podmioty wchodzące w skład określonej grupy posiadają scentralizowane systemy elektroniczne, do których są wprowadzane dane osobowe pracowników czy kandydatów. Obecnie te podmioty niejednokrotnie nie przejawiają inicjatywy w sprecyzowaniu zakresu i celu przetwarzania tych danych, zwłaszcza ich dostępności w ramach grupy. Przeważnie pracownicy nie są informowani o tym, że ich dane osobowe przetwarza nie tylko podmiot zatrudniający. Również na etapie rekrutacji, a nawet po jej zakończeniu, dane osobowe kandydata bywają przekazywane innym podmiotom bez jego wiedzy i zgody. Po 25 maja 2018 r. takie praktyki mogą powodować dotkliwe sankcje. W każdej grupie, w ramach której występuje centralizacja przetwarzania danych osobowych pracowników, powinna nastąpić gruntowna analiza procesów przetwarzania pod kątem właściwego określenia podmiotów w nich uczestniczących.

W tytule niniejszego opracowania celowo zaakcentowano, że mowa tu o przetwarzaniu danych w grupie nie zaś w grupie kapitałowej, które to pojęcie jest powszechnie używane zamiennie z terminem grupa przedsiębiorstw, o której jest mowa wprost w przepisach rodo.

Warto zauważyć, że wiele procesów przetwarzania danych osobowych może wykraczać poza zakres jednej grupy kapitałowej w znaczeniu, jakie temu pojęciu nadaje się chociażby w przepisach ustawy z dnia 29 września 1994 r. o rachunkowości (dalej: uor).

 

Grupa przedsiębiorstw


Zgodnie z art. 4 ust. 19 rodo „grupa przedsiębiorstw” oznacza przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane. Prawodawca unijny w motywie 37 preambuły rodo zaznacza, że grupa przedsiębiorstw powinna obejmować przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa kontrolowane. Przedsiębiorstwo sprawujące kontrolę powinno być przedsiębiorstwem, które może wywierać dominujący wpływ na pozostałe przedsiębiorstwa ze względu np. na strukturę właścicielską, udział finansowy lub przepisy regulujące jego działalność, lub też uprawnienia do nakazywania wdrożenia przepisów o ochronie danych osobowych. Za grupę przedsiębiorstw należy uznać przedsiębiorstwo kontrolujące przetwarzanie danych osobowych w przedsiębiorstwach powiązanych z nim wraz z tymi przedsiębiorstwami.

„Grupa przedsiębiorstw” w rodo nie jest pojęciem zbliżonym do pojęcia „grupy kapitałowej”. W przeważającej mierze w grupach przedsiębiorstw mamy do czynienia z powiązaniem o charakterze kapitałowym, ale zgodnie z wytycznymi rodo samo powiązanie powinno być tego rodzaju, aby podmiot kontrolujący mógł wywierać wpływ dominujący na podmioty kontrolowane w zakresie przetwarzania danych osobowych.

Literalnie motyw 37 preambuły rodo zdaje się wskazywać, że intencją prawodawcy wspólnotowego było to, aby grupa przedsiębiorstw została zorganizowana w taki sposób, że jedno przedsiębiorstwo z wchodzących w skład grupy będzie sprawowało kontrolę nad przetwarzaniem danych osobowych. Dodatkowo dla efektywności działań kontrolnych przedsiębiorstwo to będzie mogło wywierać dominujący wpływ na pozostałe przedsiębiorstwa. Struktura właścicielska czy udział finansowy są wymienione jedynie przykładowo jako podstawy dominującego wpływu na pozostałe przedsiębiorstwa.

Prawodawca unijny w motywie 37 preambuły rodo wskazuje, że za grupę przedsiębiorstw należy uznać przedsiębiorstwo kontrolujące przetwarzanie danych osobowych w przedsiębiorstwach powiązanych z nim, wraz z tymi przedsiębiorstwami. Istotą problemu jest tu kontrolowanie procesów przetwarzania danych osobowych. Należy jednoznacznie odróżnić sprawowanie kontroli, które stanowi czynnik wyróżniający grupę przedsiębiorstw na gruncie rodo od grupy kapitałowej w rozumieniu przepisów uor, gdzie sprawowanie kontroli nad inną jednostką rozumie się jako zdolność jednostki do kierowania polityką finansową i operacyjną innej jednostki w celu osiągania korzyści ekonomicznych z jej działalności (art. 3 ust. 1 pkt 34 uor).

Użyte w motywie 37 preambuły rodo sformułowanie, że grupa przedsiębiorstw „powinna obejmować (…)”, należy odczytywać jako postulat o charakterze organizacyjnym, aby procesy przetwarzania danych osobowych w podmiotach powiązanych były zorganizowane w sposób zapewniający skuteczność tej kontroli. Stąd twierdzenie, że podmiotem kontrolującym niekoniecznie musi być przedsiębiorstwo, które mieści się w pojęciu jednostki dominującej pod względem kapitałowym, wydaje się uprawnione.

[...]

Autorka jest radcą prawnym, partnerem w kancelarii wyspecjalizowanej w obszarze HR oraz adiunktem w Katedrze Prawa Pracy i Polityki Społecznej UJ.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

« Powrót

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.