Grupa kapitałowa a ochrona danych osobowych

Przeczytaj także: Przetwarzanie a ochrona danych osobowych

Grupa kapitałowa to co najmniej dwa przedsiębiorstwa, które pozostają ze sobą w związku kapitałowym. Składa się z jednostki dominującej i jednostek zależnych (kontrolowanych przez jednostkę dominującą) albo stowarzyszonych. Jednostką dominującą może być spółka akcyjna, spółka z o.o. lub inna spółka kapitałowa (jawna lub komandytowa), która ma jedną bądź więcej spółek zależnych (stowarzyszonych).

Obowiązujące prawo precyzuje obowiązki grupy kapitałowej w rozdziale 6 ustawy o rachunkowości. Natomiast ustawa o ochronie danych w ogóle nie zauważa istnienia grup kapitałowych. Oznacza to, że jedna firma może być właścicielem innej firmy w części lub całości (powiązania kapitałowe), ale nie będzie właścicielem (lub współwłaścicielem) danych osobowych przetwarzanych przez podmiot zależny.

W świetle ustawy o ochronie danych osobowych każda firma w grupie kapitałowej jest w rozumieniu art. 7 pkt 4 ustawy o ochronie danych osobowych samodzielnym administratorem danych osobowych, czyli w dużym uproszczeniu „właścicielem” zebranych i przetwarzanych danych osobowych. Oznacza to, że w praktyce wymiana danych osobowych w grupie kapitałowej odbywa się tak, jakby to były zupełnie obce sobie podmioty.

Zarządzanie ochroną danych osobowych w grupie kapitałowej

Dzisiaj, gdy systemy informatyczne umożliwiają gromadzenie ogromnych ilości informacji, nadzór nad bezpieczeństwem danych jest szczególnie potrzebny w przedsiębiorstwach. Zabezpieczenia należy nie tylko stosować, ale regularnie je sprawdzać. Ustawodawca, uznając wagę danych osobowych, nakazuje pełnić nad nimi nadzór każdemu, kto przetwarza dane osobowe. Obowiązek ten wynika z treści art. 36 ust. 3 ustawy o ochronie danych osobowych, w którym stwierdza się, że administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.

Wspomniane „zasady ochrony” to środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, czyli wszystko, co służy zabezpieczeniom danych osobowych. Dane bowiem należy zabezpieczyć w szczególności przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Nadzór ma pełnić przedsiębiorca, ale niekiedy nawet powinien powołać osobę która będzie go pełnić w jego imieniu. Osoba, ta to tzw. administrator bezpieczeństwa informacji określany w jako ABI. Z konstrukcji zapisu ustawowego można wywnioskować, że przede wszystkim należy powołać administratora bezpieczeństwa informacji, a zrezygnować z tego można jeśli administrator danych zdecyduje się pełnić nadzór samodzielnie.

Leszek Kępa, autor wielu publikacji na temat ochrony danych osobowych mówi — Trzeba pamiętać, że wyznaczenie administratora bezpieczeństwa informacji nie zdejmuje z przedsiębiorcy odpowiedzialności za całokształt stosowania zabezpieczeń. ABI wykonuje nadzór w imieniu firmy, w przypadku, gdy nie wywiązuje się ze swoich zadań, nie pełni skutecznego nadzoru, to wobec prawa odpowiedzialność za to ponosi przedsiębiorca (administrator danych). Dlatego przedsiębiorca powinien umożliwić mu efektywnie pełnić swoje zadania.

W obecnych trudnych czasach przedsiębiorcy szacują dokładnie koszty i coraz częściej myśli się między innymi o tym, aby rolę ABI dla wielu spółek grupy kapitałowej pełniła jedna i ta sama osoba. I nic nie stoi na przeszkodzie, aby tak było. Warto jednak zadbać aby powołanie administratora bezpieczeństwa informacji było udokumentowane – bo jest to sprawdzane przez kontrolę GIODO.

W spółkach akcyjnych czy spółkach z ograniczoną odpowiedzialnością najlepiej powołać go uchwałą zarządu – odrębną dla każdej spółki. Dobrze też mieć uregulowany „stosunek prawny” - a więc ABI może mieć podzielony etat pomiędzy spółki albo wykonywać swoje zadania w ramach umowy zlecenia.

„Możliwy jest też outsourcing funkcji ABI tj. zlecenie jego zadań firmie zewnętrznej. W tym przypadku ABI mimo kontraktu z innym podmiotem gospodarczym powinien zostać określony z imienia i nazwiska.” — mówi Maciej Kaczmarski, prezes zarządu ODO 24 sp. z o.o. — i podkreśla, że „w taki sposób można pozwolić sobie na większą elastyczność, bo ABI może mieć zastępców – prawo tego nie zabrania — w konsekwencji rolę tę może pełnić kilka osób z firmy zewnętrznej”.

Dokumentacja wymagana przez prawo

Na podstawie ustawy o ochronie danych osobowych (art. 39a) oraz aktów wykonawczych do niej administratorzy danych (czyli poszczególne spółki grupy kapitałowej) zobowiązani są prowadzić dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. Na tę dokumentację powinny składać się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Oprócz tego należy — a w niektórych przypadkach najzwyczajniej w świecie warto — jeszcze prowadzić dodatkową dokumentację, np. wykazy nadanych upoważnień, wykaz przeszkolonych pracowników z zasad ochrony danych osobowych, wykaz zebranych oświadczeń o zapoznaniu się z dokumentacją i zobowiązaniu do stosowania się do jej zapisów, oraz oświadczenia pracowników o zachowaniu w poufności danych.

Polityka i instrukcja jest taką jakby wewnętrzną ustawą i rozporządzeniem, mają one służyć służyć podniesieniu bezpieczeństwa informacji w spółkach grupy kapitałowej, tworzy się je po to, aby je przestrzegać. Nie powinno być tworzone dla pozoru np. jedynie na potrzeby ewentualnej kontroli GIODO. Opracowanie dokumentacji, podobnie jak wdrożenie zabezpieczeń, wymagać będzie wiedzy informatycznej, tym bardziej, że pewna część dokumentacji stanowić ma opis zastosowanych środków zabezpieczeń.

Analizując wymagania ustawowe dla dokumentacji widać gołym okiem, że spora część dokumentacji dla całej grupy kapitałowej może być identyczna. Jeśli jedna osoba (albo jeden zespół) będzie pełnić rolę ABI w poszczególnych spółkach grupy kapitałowej, to przygotowanie a później utrzymywanie dokumentacji wymaganej przez prawo będzie bardziej efektywne, zaś sama dokumentacja spójna. To jest jeden z poważnych argumentów za centralizacją ochrony danych osobowych w grupie kapitałowej.