Transfer danych osobowych w grupie kapitałowej

transfer danych

przepływ danych osobowych

Jak wygląda transfer danych osobowych w podmiotach powiązanych ze sobą oraz działających na rynku globalnym? Przedstawimy to na przykładzie grupy kapitałowej działającej międzynarodowo, w zmieniających się warunkach prawnych.

Przykładem będzie opis w grupie kapitałowej o zasięgu międzynarodowym, w skład której wchodzi spółka wiodąca (A) oraz siedem spółek zależnych. Siedziba spółki wiodącej znajduje się w Anglii. Spółka prowadzi sprzedaż produktów w na ternie UE i Stanów Zjednoczonych. Klientami spółek są podmioty prowadzące działalność gospodarczą, w tym osoby fizyczne.

  • Spółka B obsługuje wszystkie spółki w zakresie kadrowo-płacowym. Spółka ma lokalizację w Anglii.
  • Spółka C obsługuje wszystkie spółki w zakresie działań marketingowych. Spółka ma lokalizację na terenie UE.
  • Spółka D obsługuje wszystkie spółki w zakresie HR i rekrutacji. Spółka ma lokalizację na terenie UE.
  • Spółka E obsługuje wszystkie spółki w zakresie obsługi i wsparcia IT. Spółka ma lokalizację w Szwajcarii.
  • Pozostałe Spółki F, G prowadzą działalność produkcyjną i sprzedażową. Spółki mają lokalizację na terenie UE.

Grupa korzysta ze wspólnych zasobów IT, w szczególności oprogramowania CRM. Dostęp do danych przetwarzanych w systemie CRM mają wszystkie spółki, w tym do danych klientów, dostawców, kandydatów do pracy i pracowników (za wyjątkiem danych stricte kadrowo-płacowych). Serwery Grupy są zlokalizowane w Szwajcarii.

Rekomendacja dla grupy kapitałowej zawiera:

  • przepływ danych osobowych w grupie,
  • zabezpieczenia transferu danych osobowych,
  • zabezpieczenie transferu danych osobowych po brexicie.
Transfer Danych Osobowych

Przepływ danych osobowych w grupie kapitałowej

Przepływ danych osobowych w grupie kapitałowej

Do 29 marca 2019 r. – czyli tak długo, jak Wielka Brytania będzie członkiem Unii Europejskiej – przekazywanie danych do podmiotów działających na terytorium tego państwa będzie mogło się odbywać swobodnie bez żadnych dodatkowych ograniczeń tak, jak to miało miejsce dotychczas. Transfery danych w obrębie UE korzystają z zasady swobodnego przepływu danych.

Zgodnie z nią przekazywanie danych:

  1. do innych państw Europejskiego Obszaru Gospodarczego (UE oraz Islandia, Liechtenstein i Norwegia) jest traktowane tak samo. Wymagane jest przestrzegania podstawowych zasad przetwarzania danych i wynikających z nich obowiązków.
  2. Transfer danych osobowych pomiędzy UE a Szwajcarią reguluje decyzja 25 ust. 2 dyrektywy 95/46/WE, KE (2000/518/WE)
  3. Transfer danych osobowych pomiędzy UE a Stanami Zjednoczonymi może nastąpić tylko wówczas, gdy dane państwo trzecie zapewni odpowiedni stopień ochrony. Zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. odpowiedni stopień ochrony danych zapewnianej przez państwo trzecie jest oceniany w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zbioru takich operacji. Wydanie takiej decyzji oznacza, że prawo krajowe lub międzynarodowe zapewnia prawidłowy stopień ochrony w zakresie ochrony życia prywatnego i podstawowych praw i wolności osób fizycznych. Program Tarcza Prywatności UE-USA (Privacy Shield UE-USA), zapewnia odpowiednią ochronę danych osobowych obywateli UE przekazywanych do Stanów Zjednoczonych.

art. 44 RODO

,,Przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, następuje tylko wtedy, gdy z zastrzeżeniem innych przepisów niniejszego rozporządzenia administrator i podmiot przetwarzający spełnią określone warunki w tym warunki dalszego przekazania danych z państwa trzeciego lub przez organizację międzynarodową do innego państwa trzeciego lub innej organizacji międzynarodowej. Wszystkie przepisy należy stosować z myślą o zapewnieniu, by nie został naruszony stopień ochrony osób fizycznych zagwarantowany w niniejszym rozporządzeniu’’.

Zabezpieczenia transferu danych osobowych

RODO dopuszcza przekazywanie danych do państwa trzeciego, które nie zapewnia odpowiedniego poziomu ochrony lub gdy nie zapewniono odpowiednich zabezpieczeń jak standardowe klauzule umowne, czy wiążące reguły korporacyjne. Jest to możliwe w szczególnych sytuacjach. Mowa o nich w art. 49 RODO. Oto one:

  • Poinformowanie osoby, której dane dotyczą, o ewentualnym ryzyku, z którymi może się dla niej wiązać proponowane przekazanie i uzyskamy od niej zgodę. Taka zgoda musi:
  • być wyraźna,
  • dotyczyć konkretnego jednorazowego lub wielokrotnego przekazania danych,
  • być świadoma, czyli osoba udzielająca zgody musi zdawać sobie sprawę z ewentualnego ryzyka, z którym może się wiązać przekazanie.
  • przekazanie jest niezbędne do realizacji umowy zawartej między administratorem a osobą, której dane dotyczą lub do wprowadzenia w życie środków przed umownych podejmowanych na żądanie osoby, której dane dotyczą,
  • przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną,
  • przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń,
  • przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody,
  • przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego
Brexit

Zabezpieczenie transferu danych osobowych

Zabezpieczenie transferu danych osobowych – Brexit.

W momencie bezumownego wyjścia z UE Wlk. Brytania opuści Europejski Obszar Gospodarczy i stanie się państwem trzecim w rozumieniu rozporządzenia 2016/679 z 27 kwietnia 2016 r. dalej „RODO”. Oznacza to, że  RODO przestanie w Wielkiej Brytanii obowiązywać. Tym samym do transferu danych z państw członkowskich do Wielkiej Brytanii będą miały zastosowanie przepisy rozdziału V RODO: ,,Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych”. W Wielkiej Brytanii kwestie ochrony danych osobowych co do zasady nie będą już wprost regulowane przepisami RODO, lecz odpowiednimi aktami prawa brytyjskiego.

Zgodnie z rozdziałem V RODO, – dane do państwa trzeciego mogą być przekazywane, ale musi być spełniony jeden ze wskazanych warunków, bądź zastosowanie muszą mieć opisane wyjątki.

Dane mogą być przekazane:

  • z zapewnieniem odpowiednich zabezpieczeń, opisanych w art. 46 i 47 RODO
  • zgodnie z wytycznymi art. 46: przekazywane z zastrzeżeniem odpowiednich zabezpieczeń

Metody zabezpieczenia danych po brexicie:

Administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią przynajmniej jedno z odpowiednich zabezpieczeń oraz pod warunkiem, że w państwie tym obowiązują egzekwowalne prawa osób, których dane dotyczą i skuteczne środki ochrony prawnej.

Egzekwowalne prawa osób, czyli między innymi takie jak prawo do bycia zapomnianym, prawo dostępu do danych, prawo do ich przeniesienia. Kraj, do którego danego są przekazywane musi posiadać mechanizmy do realizacji tych praw, jeśli pojawi się takie żądanie.

1 wiążące reguły korporacyjne zgodnie z art. 47;

„Wiążące reguły korporacyjne” (WRK) oznaczają polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą.

2 zatwierdzony kodeks postępowania zgodnie z art. 40 wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

3 zatwierdzony mechanizm certyfikacji zgodnie z art. 42 wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

W pierwszej kolejności należy pomyśleć o zastosowaniu standardowych klauzul umownych ochrony danych, które zostały zatwierdzone przez Komisję Europejską:

  1. decyzja 2004/915/WE zmieniająca decyzję 2001/497/WE w zakresie wprowadzenia alternatywnego zestawu standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich.
  2. decyzja 2010/87/UE w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, która umożliwia przekazywanie danych w ramach ich powierzenia.