Jedna firma może być właścicielem innej firmy w części lub całości, ale nie oznacza to, że jest właścicielem danych osobowych, które ona przetwarza. Jednak nic nie stoi na przeszkodzie, aby ochroną danych osobowych we wszystkich podmiotach zajmowała się ta sama osoba albo ten sam zespół.

Grupa kapitałowa to co najmniej dwa przedsiębiorstwa, które pozostają ze sobą w związku kapitałowym. Składa się z jednostki dominującej i jednostek zależnych (kontrolowanych przez jednostkę dominującą) albo stowarzyszonych. Jednostką dominującą może być spółka akcyjna, spółka z o.o. lub inna spółka kapitałowa (jawna lub komandytowa), która ma jedną bądź więcej spółek zależnych (stowarzyszonych).

Obowiązujące prawo precyzuje obowiązki grupy kapitałowej w rozdziale 6 ustawy o rachunkowości. Natomiast ustawa o ochronie danych w ogóle nie zauważa istnienia grup kapitałowych. Oznacza to, że jedna firma może być właścicielem innej firmy w części lub całości (powiązania kapitałowe), ale nie będzie właścicielem (lub współwłaścicielem) danych osobowych przetwarzanych przez podmiot zależny.

W świetle ustawy o ochronie danych osobowych każda firma w grupie kapitałowej jest w rozumieniu art. 7 pkt 4 ustawy o ochronie danych osobowych samodzielnym administratorem danych osobowych, czyli w dużym uproszczeniu „właścicielem” zebranych i przetwarzanych danych osobowych. Oznacza to, że w praktyce wymiana danych osobowych w grupie kapitałowej odbywa się tak, jakby to były zupełnie obce sobie podmioty.

Zarządzanie ochroną danych osobowych w grupie kapitałowej

Dzisiaj, gdy systemy informatyczne umożliwiają gromadzenie ogromnych ilości informacji, nadzór nad bezpieczeństwem danych jest szczególnie potrzebny w przedsiębiorstwach. Zabezpieczenia należy nie tylko stosować, ale regularnie je sprawdzać. Ustawodawca, uznając wagę danych osobowych, nakazuje pełnić nad nimi nadzór każdemu, kto przetwarza dane osobowe. Obowiązek ten wynika z treści art. 36 ust. 3 ustawy o ochronie danych osobowych, w którym stwierdza się, że administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.

Wspomniane „zasady ochrony” to środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, czyli wszystko, co służy zabezpieczeniom danych osobowych. Dane bowiem należy zabezpieczyć w szczególności przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Nadzór ma pełnić przedsiębiorca, ale niekiedy nawet powinien powołać osobę która będzie go pełnić w jego imieniu. Osoba, ta to tzw. administrator bezpieczeństwa informacji określany w jako ABI. Z konstrukcji zapisu ustawowego można wywnioskować, że przede wszystkim należy powołać administratora bezpieczeństwa informacji, a zrezygnować z tego można jeśli administrator danych zdecyduje się pełnić nadzór samodzielnie.

Leszek Kępa, autor wielu publikacji na temat ochrony danych osobowych mówi — Trzeba pamiętać, że wyznaczenie administratora bezpieczeństwa informacji nie zdejmuje z przedsiębiorcy odpowiedzialności za całokształt stosowania zabezpieczeń. ABI wykonuje nadzór w imieniu firmy, w przypadku, gdy nie wywiązuje się ze swoich zadań, nie pełni skutecznego nadzoru, to wobec prawa odpowiedzialność za to ponosi przedsiębiorca (administrator danych). Dlatego przedsiębiorca powinien umożliwić mu efektywnie pełnić swoje zadania.

W obecnych trudnych czasach przedsiębiorcy szacują dokładnie koszty i coraz częściej myśli się między innymi o tym, aby rolę ABI dla wielu spółek grupy kapitałowej pełniła jedna i ta sama osoba. I nic nie stoi na przeszkodzie, aby tak było. Warto jednak zadbać aby powołanie administratora bezpieczeństwa informacji było udokumentowane – bo jest to sprawdzane przez kontrolę GIODO.

W spółkach akcyjnych czy spółkach z ograniczoną odpowiedzialnością najlepiej powołać go uchwałą zarządu – odrębną dla każdej spółki. Dobrze też mieć uregulowany „stosunek prawny” - a więc ABI może mieć podzielony etat pomiędzy spółki albo wykonywać swoje zadania w ramach umowy zlecenia.

„Możliwy jest też outsourcing funkcji ABI tj. zlecenie jego zadań firmie zewnętrznej. W tym przypadku ABI mimo kontraktu z innym podmiotem gospodarczym powinien zostać określony z imienia i nazwiska.” — mówi Maciej Kaczmarski, prezes zarządu ODO 24 sp. z o.o. — i podkreśla, że „w taki sposób można pozwolić sobie na większą elastyczność, bo ABI może mieć zastępców – prawo tego nie zabrania — w konsekwencji rolę tę może pełnić kilka osób z firmy zewnętrznej”.

Dokumentacja wymagana przez prawo

Na podstawie ustawy o ochronie danych osobowych (art. 39a) oraz aktów wykonawczych do niej administratorzy danych (czyli poszczególne spółki grupy kapitałowej) zobowiązani są prowadzić dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. Na tę dokumentację powinny składać się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Oprócz tego należy — a w niektórych przypadkach najzwyczajniej w świecie warto — jeszcze prowadzić dodatkową dokumentację, np. wykazy nadanych upoważnień, wykaz przeszkolonych pracowników z zasad ochrony danych osobowych, wykaz zebranych oświadczeń o zapoznaniu się z dokumentacją i zobowiązaniu do stosowania się do jej zapisów, oraz oświadczenia pracowników o zachowaniu w poufności danych.

Polityka i instrukcja jest taką jakby wewnętrzną ustawą i rozporządzeniem, mają one służyć podniesieniu bezpieczeństwa informacji w spółkach grupy kapitałowej, tworzy się je po to, aby je przestrzegać. Nie powinno być tworzone dla pozoru np. jedynie na potrzeby ewentualnej kontroli GIODO. Opracowanie dokumentacji, podobnie jak wdrożenie zabezpieczeń, wymagać będzie wiedzy informatycznej, tym bardziej, że pewna część dokumentacji stanowić ma opis zastosowanych środków zabezpieczeń.

Analizując wymagania ustawowe dla dokumentacji widać gołym okiem, że spora część dokumentacji dla całej grupy kapitałowej może być identyczna. Jeśli jedna osoba (albo jeden zespół) będzie pełnić rolę ABI w poszczególnych spółkach grupy kapitałowej, to przygotowanie a później utrzymywanie dokumentacji wymaganej przez prawo będzie bardziej efektywne, zaś sama dokumentacja spójna.

To jest jeden z poważnych argumentów za centralizacją ochrony danych osobowych w grupie kapitałowej.

Przepływ danych osobowych między podmiotami grupy kapitałowej

Jest wiele czynników, które powodują, że spółki w grupie kapitałowej dążą do wymiany informacji o klientach (i nie tylko) pomiędzy sobą. Są to m.in.

–        jednolita obsługa klienta

–        obsługa klientów wszystkich spółek grupy przez jeden punkt

–        dopasowanie usług do klienta dzięki lepszej wiedzy o nim

–        ocena i zarządzanie rynkiem (np. ilu klientów i z jakich obszarów posiada więcej niż produkt w jeden spółce)

–        działania marketingowe, promowanie produktów wszystkich spółek grupy

–        zmniejszenie kosztów funkcjonowania dzięki synergii (wspólne dla grupy działy informatyki, personalny, marketingu, itd)

Bez odpowiedniej zgody takich danych nie można sobie przekazać.

Zdaniem Leszka Kępy — wymiana informacji o klientach ma wyjątkowe znaczenie dla tych grup kapitałowych, które funkcjonują pod jedną marką, takich jak np. Allianz czy PZU. Klienci w przypadku grup kapitałowych nie zdają sobie sprawy, że na grupę składa się wiele odrębnych podmiotów prawnych. W szczególności klienci nie odróżniają zakładów ubezpieczeń życiowych i majątkowych — dla większości są to po prostu ubezpieczenia.

W grupach w których poszczególne podmioty mają własne marki (Noble Bank, Getin Bank, Idea Bank) ma to mniejsze znaczenie, natomiast tam, gdzie wszystkie podmioty grupy funkcjonują pod tą samą marką (Allianz, PZU) ma to większe znaczenie.

Jedna z dużych grup kapitałowych w Polsce na stronie internetowej zachęca wpisz swoje dane, skontaktujemy się z Tobą. Obok formularza znajduje się pole do zaznaczenia zgody na przetwarzanie danych osobowych, a treść zgody zawiera m.in.:

Treści takich klauzul ułatwiają wymianę informacji pomiędzy podmiotami i w całej grupie będą prawdopodobnie identyczne, albo przynajmniej bardzo podobne.

Grupy kapitałowe — wyzwania

Wydaje się, że GIODO chętniej kontroluje grupy kapitałowe. Nie ma się czemu dziwić, z jednej strony próbują one wymieniać się danymi osobowymi, nierzadko dla dobra klienta, aby dobrze go obsłużyć dzięki temu, że mają o nim pełną wiedzę, ale z drugiej strony jest to wyzwanie, któremu dość trudno sprostać zgodnie z prawem. Wydaje się też, że nieprawidłowości wykryte w ramach kontroli jednego podmiotu mogą „zachęcić” GIODO do skontrolowania innych spółek grupy. Dlatego w grupach kapitałowych szczególnie należy przykładać się do zapewnienia zgodności z obowiązującym prawem, nawet w najmniejszych spółkach grupy.

Jest do duże wyzwanie i warto wspierać się narzędziami, które pozwalają zapanować na całością. Niewiele jest jedna na rynku narzędzi, które wspierają zarządzanie ochroną danych osobowych. Dopiero od niedawna, niestety powoli, pojawiają się aplikacje, które starają się zapełnić tę lukę.

Bardzo pomocnym narzędziem w zarządzaniu systemem ochrony danych osobowych jest bezpłatna aplikacja ABIeye. — mówi Maciej Kaczmarski z ODO 24 Sp. z o.o., podkreślając, że m. in. wspiera ona przygotowanie dokumentacji ochrony danych osobowych i jej aktualizowanie, oferuje jednak znacznie więcej.

Przy obowiązującym stanie prawa wniosek nasuwa się jeden - ochrona danych osobowych w grupach kapitałowych powinna być nadzorowana przez jedną osobę, zespół, czy nawet podmiot zewnętrzny, który powinien jednakowo dbać o ochronę danych osobowych we wszystkich spółkach grupy.