Inspektor Ochrony Danych w grupie kapitałowej
RODO [1] przewiduje możliwość powołania jednego Inspektora Ochrony Danych (IOD) w grupie przedsiębiorstw. Takie rozwiązanie może stanowić znaczące ułatwienie dla podmiotów wchodzących w skład takiej grupy, w szczególności w zakresie ich wzajemnej współpracy. Pełnienie funkcji IOD-a przez tę samą osobę może również pomóc w opracowaniu i jednolitym przestrzeganiu wewnętrznych procedur dotyczących zasad przetwarzania danych osobowych. Możliwość powołania tej samej osoby do pełnienia funkcji IOD-a w ramach grupy przedsiębiorstw wymaga jednak spełnienia specyficznych warunków.
- Grupa przedsiębiorstw a grupa kapitałowa
RODO wspomina o możliwości powołania wspólnego IOD-a w grupie przedsiębiorstw. Nie jest to pojęcie tożsame z grupą kapitałową, choć do niego zbliżone. Grupa przedsiębiorstw oznacza przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane (art. 4 pkt 19 RODO). Wskazuje się przy tym, że przedsiębiorstwo sprawujące kontrolę może wywierać dominujący wpływ na pozostałe przedsiębiorstwa, ze względu na przykład na strukturę właścicielską, udział finansowy, przepisy regulujące działalność lub uprawnienia do nakazania wdrożenia przepisów o ochronie danych osobowych. Zazwyczaj więc grupy kapitałowe będzie można uznać za mieszczące się w pojęciu „grupy przedsiębiorstw” (w związku ze wspólnymi elementami dominacji jednego podmiotu nad innymi oraz możliwością sprawowania kontroli nad nimi).
- Łatwość kontaktu z IOD-em
Podstawowym wymogiem warunkującym możliwość powołania IOD-a w grupie kapitałowej jest łatwość nawiązywania z nim kontaktu z każdej jednostki organizacyjnej – rozumiana szeroko, przez pryzmat obowiązków IOD wskazanych w RODO. Jednocześnie, łatwość nawiązywania kontaktów należy oceniać na trzech poziomach, tj. dotyczy ona kontaktu (współpracy):
- z poszczególnymi spółkami z grupy (pracownikami tych spółek)
- z osobami, których dane są przetwarzane przez poszczególne spółki z grupy
- z właściwym organem nadzorczym.
Łatwość nawiązywania kontaktu z IOD-em rozumiana w kontekście jego dostępności powinna być efektywna tzn. IOD musi mieć realną możliwość wykonywania swoich obowiązków w każdej ze spółek, w której został wyznaczony. Nie oznacza to jednak, że musi on fizycznie przebywać (przynajmniej okresowo) w tym samym miejscu, co np. pracownicy poszczególnych spółek. W wytycznych organów z zakresu ochrony danych osobowych wprost wskazuje się, że obowiązki IOD-a mogą być wypełniane również poprzez infolinię lub inne środki bezpiecznej komunikacji [2]. Należy również wskazać, że w przypadku międzynarodowych grup kapitałowych komunikacja z IOD-em musi odbywać się w języku lub językach używanych przez organy nadzorcze i osoby, których dane dotyczą. Wskazuje się również, że IOD dla zapewnienia sprawnego komunikowania się z osobami, których dane dotyczą oraz zapewnienia właściwej współpracy z organem nadzorczym może korzystać z pomocy dedykowanego zespołu (jeśli jest to konieczne). IOD może być więc w praktyce swego rodzaju koordynatorem wykonywania określonych zadań z zakresu ochrony danych osobowych w grupie kapitałowej.
- IOD doradzający podmiotom występującym w różnych rolach
Wyzwaniem w bieżącym wykonywaniu zadań IOD-a w grupie kapitałowej w kontekście jego statusu mogą być różne role w jakich występują poszczególne spółki wchodzące w skład grupy, tj. posiadanie statusu administratora, podmiotu przetwarzającego lub współadministratora [3]. W związku ze statusem IOD-a jako niezależnego ciała doradczego w sprawach z zakresu ochrony danych osobowych, w niektórych przypadkach może dochodzić do konfliktu interesów (np. w doradzaniu przy zawieraniu umowy powierzenia danych zarówno spółce będącej administratorem danych, jak i drugiej spółce będącej podmiotem przetwarzającym). Ponadto, zgodnie z RODO, administrator oraz podmiot przetwarzający muszą zapewnić, by IOD nie otrzymywał instrukcji dotyczących wykonywania zadań wskazanych w RODO. Spółki z grupy kapitałowej muszą więc być szczególnie ostrożne w ramach współpracy z IOD-em, tak, aby nie narazić się na postawienie zarzutu, że IOD nie jest niezależny. Naruszenie przepisów dot. IOD-a stanowi przesłankę do nałożenia administracyjnej kary pieniężnej, o której mowa w art. 83 ust. 4 lit. a RODO (w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego).
- „Wspólny IOD” – kwestie organizacyjne
Zgodnie z polskimi przepisami [4], w przypadku wyznaczenia jednego IOD-a przez grupę przedsiębiorców, każdy z tych podmiotów dokonuje zawiadomienia o wyznaczeniu IOD-a, wskazując imię, nazwisko oraz adres poczty elektronicznej lub jego numer telefonu, a także zawiadomienia o każdej zmianie tych danych oraz o odwołaniu IOD-a. Podjęcie decyzji o wyznaczeniu IOD-a w grupie, zobowiązuje więc wszystkie podmioty do aktywnego udziału w jego powołaniu. Na marginesie należy dodać, że zgłoszenie IOD-a oraz poinformowanie o zmianach dotyczących IOD-a może odbyć się jedynie elektronicznie, za pośrednictwem formularza dostępnego w Internecie. Zgłoszenie musi być opatrzone kwalifikowanym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym na ePUAP.
Kolejną kwestią, istotną z biznesowego punktu widzenia, jest wynagrodzenie IOD-a. W ramach grupy kapitałowej możliwe jest przyjęcie jednego z kilku rozwiązań w zakresie wzajemnych rozliczeń. IOD może być w szczególności zatrudniony przez kilka spółek na część etatu. Można również zatrudniać IOD-a w jednej ze spółek i oddelegować go do pracy w innych spółkach z grupy (odmianą tego modelu może być zatrudnianie IOD-a w ramach centrum usług wspólnych (CUW) w grupie). Na te warianty należy jeszcze nałożyć możliwość świadczenia usług IOD-a nie tylko przez osoby pozostające w wewnętrznej strukturze poszczególnych podmiotów, ale również przez zewnętrzne podmioty (RODO wprost wskazuje, że IOD może również wykonywać swoje zadania na podstawie umowy o świadczenie usług – art. 37 ust. 6 RODO).
- Decyzja o powołaniu „wspólnego IOD-a”
Powołanie wspólnego IOD-a w grupie kapitałowej powinno być poprzedzone analizą, czy powołanie IOD-a jest obowiązkiem lub czy jest wskazane w którejkolwiek ze spółek z grupy kapitałowej. W RODO wskazano przypadki, kiedy powołanie IOD-a jest obowiązkowe (art. 37 ust. 1 RODO). Jednocześnie, stosunkowo często, podmioty powołują IOD-a dobrowolnie, jako element składający się na całość rozwiązań przyjętych w celu zapewnienia zgodności przetwarzania danych osobowych oraz w celu spełnienia obowiązku rozliczalności. Można w związku z tym wyobrazić sobie sytuację, gdzie zasadne będzie powołanie wspólnego IOD-a przez wszystkie spółki z grupy kapitałowej, jak i tylko przez niektóre z nich. Z drugiej strony, możliwa jest też sytuacja w której oceniając zasadność powołania IOD-a osobno w każdej ze spółek z grupy dojdzie się do wniosku, że nie jest to celowe, jednak patrząc z perspektywy całej grupy kapitałowej, powołania IOD-a może być jak najbardziej zasadne. Konieczność i zasadność powoływania IOD-a dla każdej spółki z grupy osobno, jak i „wspólnego IOD-a” powinna być poprzedzona szczegółową analizą prawną i organizacyjną.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
[2] Por. Wytyczne dotyczące inspektorów ochrony danych (‘DPO’), WP 243 rew.01 – https://uodo.gov.pl/pl/10/7.
[3] Por. artykuł – https://www.linkedin.com/post/edit/6686197378787160064/.
[4] Art. 10 ust. 5 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781).