Grupa kapitałowa a ochrona danych osobowych

Przeczytaj także: Przetwarzanie a ochrona danych osobowych

Przepływ danych osobowych między podmiotami grupy kapitałowej

Jest wiele czynników, które powodują, że spółki w grupie kapitałowej dążą do wymiany informacji o klientach (i nie tylko) pomiędzy sobą. Są to m.in.

• jednolita obsługa klienta
• obsługa klientów wszystkich spółek grupy przez jeden punkt
• dopasowanie usług do klienta dzięki lepszej wiedzy o nim
• ocena i zarządzanie rynkiem (np. ilu klientów i z jakich obszarów posiada więcej niż produkt w jeden spółce)
• działania marketingowe, promowanie produktów wszystkich spółek grupy
• zmniejszenie kosztów funkcjonowania dzięki synergii (wspólne dla grupy działy informatyki, personalny, marketingu, itd)
• Bez odpowiedniej zgody takich danych nie można sobie przekazać.
  

Zdaniem Leszka Kępy — wymiana informacji o klientach ma wyjątkowe znaczenie dla tych grup kapitałowych, które funkcjonują pod jedną marką, takich jak np. Allianz czy PZU. Klienci w przypadku grup kapitałowych nie zdają sobie sprawy, że na grupę składa się wiele odrębnych podmiotów prawnych. W szczególności klienci nie odróżniają zakładów ubezpieczeń życiowych i majątkowych — dla większości są to po prostu ubezpieczenia.

W grupach w których poszczególne podmioty mają własne marki (Noble Bank, Getin Bank, Idea Bank) ma to mniejsze znaczenie, natomiast tam, gdzie wszystkie podmioty grupy funkcjonują pod tą samą marką (Allianz, PZU) ma to większe znaczenie.

Jedna z dużych grup kapitałowych w Polsce na stronie internetowej zachęca wpisz swoje dane, skontaktujemy się z Tobą. Obok formularza znajduje się pole do zaznaczenia zgody na przetwarzanie danych osobowych, a treść zgody zawiera m.in.:

Wyrażam zgodę na przetwarzanie moich danych osobowych przez […] oraz na udostępnianie tych danych innym podmiotom grupy [...], w celach marketingowych i statystycznych oraz na otrzymywanie informacji handlowej drogą elektroniczną. Informujemy, że udostępnienie danych osobowych jest dobrowolne. Osoba, której dane dotyczą ma prawo wglądu do swoich danych osobowych oraz do ich poprawiania, jak również prawo do wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację oraz wniesienia sprzeciwu wobec przetwarzania jej danych. W skład grupy […] wchodzą m.in.: […]

Treści takich klauzul ułatwiają wymianę informacji pomiędzy podmiotami i w całej grupie będą prawdopodobnie identyczne, albo przynajmniej bardzo podobne.

Grupy kapitałowe — wyzwania

Wydaje się, że GIODO chętniej kontroluje grupy kapitałowe. Nie ma się czemu dziwić, z jednej strony próbują one wymieniać się danymi osobowymi, nierzadko dla dobra klienta, aby dobrze go obsłużyć dzięki temu, że mają o nim pełną wiedzę, ale z drugiej strony jest to wyzwanie, któremu dość trudno sprostać zgodnie z prawem. Wydaje się też, że nieprawidłowości wykryte w ramach kontroli jednego podmiotu mogą „zachęcić” GIODO do skontrolowania innych spółek grupy. Dlatego w grupach kapitałowych szczególnie należy przykładać się do zapewnienia zgodności z obowiązującym prawem, nawet w najmniejszych spółkach grupy.

Jest do duże wyzwanie i warto wspierać się narzędziami, które pozwalają zapanować na całością. Niewiele jest jedna na rynku narzędzi, które wspierają zarządzanie ochroną danych osobowych. Dopiero od niedawna, niestety powoli, pojawiają się aplikacje, które starają się zapełnić tę lukę.

Bardzo pomocnym narzędziem w zarządzaniu systemem ochrony danych osobowych jest bezpłatna aplikacja ABIeye. — mówi Maciej Kaczmarski z ODO 24 Sp. z o.o., podkreślając, że m. in. wspiera ona przygotowanie dokumentacji ochrony danych osobowych i jej aktualizowanie, oferuje jednak znacznie więcej.

Przy obowiązującym stanie prawa wniosek nasuwa się jeden - ochrona danych osobowych w grupach kapitałowych powinna być nadzorowana przez jedną osobę, zespół, czy nawet podmiot zewnętrzny, który powinien jednakowo dbać o ochronę danych osobowych we wszystkich spółkach grupy.