Polskie spółki, które są częścią międzynarodowych grup kapitałowych, przyjmują niejednokrotnie dokumentację, procedury i rejestry przetwarzania danych osobowych obowiązujące globalnie w całej grupie.
Takie podejście często rodzi problemy w świetle wymogów RODO i zamiast ułatwić spółce zadanie osiągnięcia zgodności z przepisami rozporządzenia, może narazić spółkę na odpowiedzialność za ich naruszenie, w tym wysokie kary pieniężne. Górny pułap kar to równowartość 10 lub 20 mln euro albo 2 lub 4 rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności m. in. od rodzaju, powagi i skutków naruszenia.
Co może kwestionować organ nadzorczy w związku z przyjęciem rozwiązań i dokumentacji obowiązujących globalnie na poziomie grupy, ale bez uwzględnienia kontekstu dla polskiego administratora?
Główne obszary, w którym może pojawić się ryzyko niezgodności, to:
1. obowiązki informacyjne,
2. rejestr czynności przetwarzania danych osobowych,
3. umowy powierzenia przetwarzania danych osobowych,
4. okresy przechowywania (retencji) danych,
5. inspektor ochrony danych.
Ad 1.
Za każdym razem, gdy polska spółka występuje w roli administratora, powinna ona dostosować wzory klauzul informacyjnych przyjętych na poziomie grupy do indywidualnego kontekstu, w jakim przetwarza ona dane osobowe, i sposobu ich przetwarzania.
Ad 2.
Podobnie jak klauzule informacyjne, rejestr czynności przetwarzania ma być dostosowany do realiów przetwarzania danych osobowych przez konkretnego administratora. Oznacza to, że polska spółka przetwarzająca dane lokalnie powinna, co do zasady, wypełnić ten rejestr samodzielnie.
Ad 3.
Jeżeli polska spółka korzysta z usług własnych podmiotów przetwarzających (np. lokalnego biura księgowo-rachunkowego, firmy informatycznej lub archiwizacyjnej), ma obowiązek zawarcia z nimi umów powierzenia przetwarzania danych osobowych zgodnie z wymogami RODO.
Ad 4.
Okresy przechowywania danych osobowych mogą wynikać z przepisów krajowych, np. w zakresie dokumentacji księgowej lub pracowniczej. Bardzo prawdopodobne, że wdrożenie RODO na poziomie globalnym nie uwzględnia polskich przepisów dotyczących retencji danych.
Ad 5.
Grupa kapitałowa może wyznaczyć inspektora ochrony danych (IOD) dla kilku spółek, ale osoba pełniąca tę ważną funkcję powinna znać kontekst i specyfikę przetwarzania danych osobowych przez polską spółkę oraz orientować się w praktyce polskiego organu nadzorczego. W innym przypadku wyznaczenie globalnego IOD do pełnienia funkcji IOD także w polskiej spółce może mieć charakter czysto formalny i nie spełniać wymogów RODO.
Aby zminimalizować powyższe ryzyka niezgodności z RODO polska spółka wchodząca w skład międzynarodowej grupy kapitałowej powinna co najmniej zweryfikować i uzupełnić wprowadzoną na poziomie grupy dokumentację ochrony danych osobowych, biorąc pod uwagę specyfikę swojej działalności i lokalny kontekst przetwarzania danych. Takie działanie może ją uchronić przed nałożeniem dotkliwej kary pieniężnej.
Autorem artykułu jest adw. Michał Kalata, który został opublikowany w tygodniku Poland Weekly w dn. 10 sierpnia 2022 r.
Powrót do bloga