Grupa przedsiębiorstw
Art. 4 pkt 19 RODO
„Grupa przedsiębiorstw” oznacza przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane.
Kiedy możemy mówić, że mamy do czynienia z grupą przedsiębiorstw?
Warunek I.
Musimy mieć do czynienia z co najmniej dwoma przedsiębiorstwami
Warunek II.
Jedno przedsiębiorstwo musi kontrolować pozostałe.
Jak widzimy chodzi o dominację. Chodzi o dominację w aspekcie kontroli nad przetwarzaniem danych osobowych.
Warto zaznaczyć, że pojęcie grupa przedsiębiorstw nie jest równoznaczna z pojęciem grupa kapitałowa. Co to oznacza? Pojęcie grupa przedsiębiorstw jest pojęciem szerszym.
Motyw 37 RODO
Grupa przedsiębiorstw powinna obejmować przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa kontrolowane, przy czym przedsiębiorstwo sprawujące kontrolę powinno być przedsiębiorstwem, które może wywierać dominujący wpływ na pozostałe przedsiębiorstwa ze względu na przykład na strukturę właścicielską, udział finansowy lub przepisy regulujące jego działalność, lub też uprawnienia do nakazywania wdrożenia przepisów o ochronie danych osobowych. Za grupę przedsiębiorstw należy uznać przedsiębiorstwo kontrolujące przetwarzanie danych osobowych w przedsiębiorstwach powiązanych z nim, wraz z tymi przedsiębiorstwami.
Wspólny Inspektor Ochrony Danych Osobowych
Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Uprawnienie to jest podyktowane wzajemnymi powiązaniami tych przedsiębiorstw, wspólnymi regulacjami wewnętrznymi, podobnymi zasadami i sposobami postępowania z danymi osobowymi.
Motyw 110 RODO
Grupa przedsiębiorstw lub grupa przedsiębiorców prowadzących wspólną działalność gospodarczą powinna móc korzystać z zatwierdzonych wiążących reguł korporacyjnych przy międzynarodowym przekazywaniu danych z Unii do organizacji w tej samej grupie przedsiębiorstw lub w grupie przedsiębiorców prowadzących wspólną działalność gospodarczą, pod warunkiem, że w takich regułach korporacyjnych są ujęte wszystkie podstawowe zasady i egzekwowalne prawa zapewniające odpowiednie zabezpieczenia na potrzeby przekazywania danych osobowych lub na potrzeby określonych kategorii przekazań danych osobowych.
Źródła:
- Litwiński, komentarz do art. 4 pkt 19 RODO [w:] Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, pod red. P. Litwiński, Barta, M. Kawecki, Warszawa 2018, Legalis.
- Sakowska-Baryła, komentarz do art. 4 pkt 19 [w:] Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, pod red. Sakowska-Baryła, Warszawa 2018, Legalis
- Czy różni przedsiębiorcy niewchodzący w skład tej samej grupy przedsiębiorstw mogą powołać jednego IOD?, stanowisko z dnia 22.05.2018 r., https://uodo.gov.pl/pl/122/203 [dostęp: 15.12.2020 r.]
- Grupa Robocza Art. 29, Wytyczne dotyczące ustalania wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego, https://www.uodo.gov.pl/pl/file/13 [dostęp: 15.12.2020 r.].