Przedsiębiorcy coraz częściej tworzą złożone struktury połączonych ze sobą osobowo lub kapitałowo spółek. Ważnym zagadnieniem są grupy kapitałowe w kontekście operacji wykonywanych na danych osobowych. W przypadku ich przekazywania wewnątrz złożonych struktur organizacyjnych grup kapitałowych należy rozpatrzyć wiele wymogów prawnych.

Rodo przewiduje określone ułatwienia, z których mogą korzystać podmioty wchodzące w skład grup kapitałowych. Jednocześnie stawia przed korporacjami zadanie uporządkowania relacji zachodzących pomiędzy konkretnymi spółkami, w szczególności odpowiedzialności za dane osobowe.

> Grupa kapitałowa a grupa przedsiębiorstw

Stosunki pomiędzy przedsiębiorcami z określonych przyczyn doczekały się ich normatywnego uporządkowania przez ustawodawcę. W polskim porządku prawnym istnieje kilka definicji legalnych „zespołów jednostek gospodarczych”. Popularnym określeniem zbierającym kilka podmiotów jest „grupa kapitałowa”.

Stosownie do definicji zawartej w ustawie z dnia 29 września 1994 r. o rachunkowości (tekst jedn. Dz.U. z 2021 r., poz. 217 ze zm.) za grupę kapitałową należy uznać jednostkę dominującą wraz z jednostkami zależnymi. Zdekodowanie powyższego określenia wymaga analizy pojęć jednostki dominującej oraz jednostki zależnej, które również wyjaśniono w ustawie. Wspomnianą dominację przedstawiono za pomocą enumeratywnego katalogu uprawnień związanych z kontrolą jednego przedsiębiorstwa nad drugim. Kontrola ta przejawia się m.in. w działaniach wpisujących się w przedmiot ustawy o rachunkowości, czyli możności wpływu na politykę finansową podległego podmiotu. Istotą pozostaje czynnik uprawnień kontrolnych realizujący się poprzez zależności osobowe, kapitałowe czy też inną sposobność wiążącego wpływania na jednostkę podległą.

Definicja legalna grupy kapitałowej przedstawiona w ustawie z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (tekst jedn. Dz.U. z 2021 r., poz. 275 ze zm.) odwołuje się do zjawiska kontroli, wskazując, że przez grupę kapitałową rozumie się wszystkich przedsiębiorców, którzy są kontrolowani w sposób bezpośredni lub pośredni przez jednego przedsiębiorcę, w tym również tego przedsiębiorcę. Dla przyjęcia, że w danym przypadku mamy do czynienia z grupą kapitałową, nie ma znaczenia fakt, czy przedsiębiorca kontrolujący rzeczywiście korzysta z przysługującej mu możliwości wywierania wpływu na powiązanych z nim przedsiębiorców zależnych. Wystarczającą przesłanką pozostaje sama sposobność wywierania decydującego wpływu na funkcjonowanie przedsiębiorców należących do grupy kapitałowej w kontekście zachowań, które podlegają ocenie na gruncie prawa antymonopolowego. Zjawisko przejęcia kontroli zostało zdefiniowane odrębnie we wskazanej ustawie.

Rodo nie posługuje się sformułowaniem „grupa kapitałowa”. Rozporządzenie przewiduje za to istnienie grupy przedsiębiorstw. W art. 4 rodo wskazuje się zwięźle, podobnie jak w przypadku polskich ustaw z wykorzystaniem „kontroli”, że grupa przedsiębiorstw oznacza przedsiębiorstwa sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane. Tym razem jednak, przede wszystkim z uwagi na cel rozporządzenia, to jest ochronę osób fizycznych w związku z przetwarzaniem danych osobowych, wspomniana kontrola pozostaje mocno sprzężona z ochroną danych osobowych i uprawnieniami podmiotu kontrolującego do tego, aby nakazywać wykonywanie określonych obowiązków związanych z wdrożeniem zgodności z przepisami dotyczącymi ochrony danych osobowych.

W myśl motywu 37 rodo grupa przedsiębiorstw powinna obejmować przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa kontrolowane, przy czym przedsiębiorstwo sprawujące kontrolę powinno być przedsiębiorstwem, które może wywierać dominujący wpływ na pozostałe przedsiębiorstwa ze względu np. na strukturę właścicielską, udział finansowy lub przepisy regulujące jego działalność, lub też uprawnienia do nakazywania wdrożenia przepisów o ochronie danych osobowych. Za grupę przedsiębiorstw należy uznać przedsiębiorstwo kontrolujące przetwarzanie danych osobowych w przedsiębiorstwach powiązanych z nim oraz te powiązane przedsiębiorstwa. Jak widać zatem, narzędzia umożliwiające kontrolę schodzą na drugi plan, rodo ogranicza się do otwartego wskazania, że wpływ (kontrola) może przejawiać się np. przez okoliczności osobowe, finansowe, regulacyjne, uprawnienia umowne. Istotą pozostaje przedmiot działań kontrolnych, tj. kontrolowanie przetwarzania danych osobowych w przedsiębiorstwie powiązanym.

Podsumowując, rodo posługuje się nieznanym krajowemu ustawodawstwu pojęciem grupy przedsiębiorstw. Niezależnie od różnicy językowej należy zauważyć wspólny mianownik pomiędzy grupą kapitałową a grupą przedsiębiorstw, tj. istnienie jednego podmiotu, który wywiera decydujący wpływ na inny podmiot i ma w stosunku do niego uprawnienia kontrolne. Okoliczności umożliwiające kontrolę w postaci czy to struktury właścicielskiej, udziałów finansowych, czy też przepisów regulujących nie są w przypadku rodo kluczowe. Istotą pozostaje intencja wspomnianych możliwości kontrolnych, którą determinuje z kolei cel aktu prawnego – w przypadku omawianego rozporządzenia będzie to kontrolowanie przetwarzania danych osobowych. Działanie w ramach grupy przedsiębiorstw umożliwia zaangażowanym podmiotom korzystanie z przewidzianych w rodo rozwiązań.

> Jeden inspektor ochrony danych

Dostępnym rozwiązaniem zarezerwowanym dla grupy przedsiębiorstw jest powołanie jednego (wspólnego) inspektora ochrony danych.

Dla przypomnienia, art. 37 ust. 1 rodo przewiduje instytucję inspektora ochrony danych (dalej: inspektor). Wyznaczenie inspektora nie jest obligatoryjne, natomiast treść wspomnianego artykułu wskazuje, że obowiązek wyznaczenia inspektora istnieje zawsze, gdy podmioty wskazane w tym przepisie spełniają określone warunki. Ustęp 2 omawianego przepisu stanowi, że grupa przedsiębiorstw może wyznaczyć jednego inspektora, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Nie jest to uprawnienie o charakterze bezwzględnym („może wyznaczyć”). Okolicznością warunkującą powołanie jednego inspektora jest zapewnienie łatwego kontaktu z nim z każdego podmiotu, w którym ma on być wyznaczony. Łatwość kontaktu oznacza dostęp do inspektora z każdego przedsiębiorstwa objętego zakresem jego działania. Łatwość nawiązania kontaktu powinna być zrealizowana poprzez zapewnienie odpowiedniego organizacyjnego i technicznego wsparcia inspektorowi. Łatwość odnosi się również do możliwości sprawnego działania, co oznacza, że komunikacja musi odbywać się w języku lub językach używanych przez organy nadzorcze i osoby, których dane dotyczą.

Wydaje się, że tak skonstruowane wymagania nie są trudne do spełnienia. W przypadku małych organizacji, nieposiadających złożonych struktur, w tym wykraczających poza granice jednego kraju, uczynienie zadość obowiązkowi zorganizowania sprawnego kontaktu z inspektorem jawi się jako rozwiązanie dostępne i dogodne. Przedsięwzięcie komplikuje się jednak, gdy mamy do czynienia z dużymi organizacjami zrzeszającymi nie po kilkanaście, ale po kilkadziesiąt spółek w ramach grupy przedsiębiorstw, które pragną wyznaczyć jednego inspektora.

Sekcja poświęcona inspektorowi danych osobowych w rodo, poza sposobem jego wyznaczenia, określa również jego status oraz – co najważniejsze – jego zadania. W art. 39 ust. 1 rodo odnajdziemy katalog obowiązków inspektora. Warto zastanowić się nad adresatami jego zadań. Pośród obowiązków inspektora znajdują się różne grupy podmiotów, z którymi powinien się on kontaktować. Są to: administrator, podmiot przetwarzający, pracownicy oraz organ nadzoru. Jak widać, część komunikacji ma charakter wewnętrzny, to jest współpraca z administratorem (potencjalnie pracodawcą inspektora) i jego pracownikami. Pozostała część to zewnętrzny kanał kontaktu – współpraca z podmiotami powiązanymi i organem nadzoru. Szczególnie w kontekście ostatniego podmiotu „zainteresowanego” współpracą z inspektorem uwypukla się obowiązek władania językiem organu nadzoru w określonym kraju. W przeciwnym razie przesłanka łatwości kontaktu wydaje się nie być spełniona.

Wyzwaniem dla grupy przedsiębiorstw jest też wybór modelu, w jakim inspektor ma funkcjonować. Jego angaż wiąże się z wydatkami, które w ramach grupy muszą być właściwie rozdzielone. Jednym z rozwiązań pozostaje wyznaczenie inspektora dla całej grupy przez spółkę dominującą. W przypadku korzystania z usług tego inspektora przez spółki zależne będzie dochodziło do wzajemnych rozliczeń ze spółką matką. Drugą możliwością jest wyznaczenie inspektora przez każdy z podmiotów znajdujących się w grupie przedsiębiorstw i wówczas każda ze spółek angażuje inspektora na ustaloną część etatu. Kolejne rozwiązanie to nawiązanie współpracy przez inspektora z jedną ze spółek w grupie i delegowanie go do wykonywania obowiązków w innych jednostkach. Na samym końcu należy przypomnieć o istnieniu rozwiązania „zewnętrznego”, tj. outsourcingu zagadnienia i wyboru zewnętrznego podmiotu specjalizującego się w ochronie danych, z którego usług grupa będzie korzystać – nadal może być jednym wspólnym inspektorem dla wszystkich podmiotów wchodzących w skład grupy przedsiębiorstw.

[...]

Paweł Dymek – radca prawny w kancelarii Głowacki i Wspólnicy. Specjalizuje się w zakresie prawa gospodarczego, prawa nowych technologii oraz ochrony danych osobowych.
Paweł Dudko – radca prawny. Świadczy pomoc prawną na rzecz przedsiębiorców, szczególnie w kwestiach związanych z prawem korporacyjnym oraz umowami IT.