Prawnie uzasadniony interes w grupie kapitałowej. Jak ma się to do przetwarzania danych osobowych?

 

pexels photo 990819

Przedsiębiorcy przetwarzają dane osobowe w różnych celach (np. marketingowych), głównie jednak dla realizacji zadań związanych z prowadzoną przez siebie działalnością gospodarczą. Przetwarzanie danych osobowych w niektórych, określonych celach, nie zawsze można uzasadnić uzyskaną zgodą, przepisami prawa czy spełnieniem zobowiązań umownych. W takiej sytuacji RODO przewiduje możliwość przetwarzania danych osobowych, gdy jest to  niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Wyjątek stanowi sytuacja, w której nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych (w szczególności gdy osoba, której dane dotyczą, jest dzieckiem).

Należy także wykonać obowiązki informacyjne wobec osoby, której dane dotyczą, w momencie zbierania danych. Zasada ta nie obowiązuje jednak definitywnie, gdy dany podmiot należy do grupy kapitałowej.

Grupa kapitałowa – grupa przedsiębiorstw

RODO nie definiuje pojęcia grupy kapitałowej (można je znaleźć w ustawie o rachunkowości), wprowadza natomiast pojęcie „grupa przedsiębiorstw”, którą definiuje jako „przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane”. Z preambuły RODO wynika nadto, że za grupę przedsiębiorstw „należy uznać przedsiębiorstwo kontrolujące przetwarzanie danych osobowych w przedsiębiorstwach powiązanych z nim, wraz z tymi przedsiębiorstwami”. Kryterium uznania za spółkę dominującą stanowi więc na gruncie RODO nie sam fakt dominacji kapitałowej czy udziałowej, ale to, która spółka posiada kontrolę nad przetwarzaniem danych.

W zależności od danego stanu faktycznego każda ze spółek uczestniczących w grupie może w odniesieniu do niektórych danych być administratorem, a co do niektórych pełnić jedynie funkcję procesora. Kryterium świadczącym o roli administratora jest decyzyjność w zakresie ustalania celów i sposobów przetwarzania danych osobowych. W praktyce spółki w ramach ustalania ładu korporacyjnego często przyjmują, że administratorem danych osobowych przetwarzanych w grupie będzie określona spółka (przeważnie spółka-matka). Takie ustalenia mają sens jedynie w przypadku, gdy dane osobowe w grupie są centralnie zarządzane tylko przez jedną spółkę. Może się to okazać jednak utrudnione chociażby w przypadku administrowania danymi osobowymi pracowników, których administratorem każdorazowo jest pracodawca.

Ponadto, przepisy RODO wskazują, że grupa przedsiębiorców prowadzących wspólną działalność gospodarczą powinna mieć możliwość skorzystania z „wiążących reguł korporacyjnych” przy międzynarodowym przekazywaniu danych z Unii Europejskiej do organizacji w tej samej grupie przedsiębiorstw lub w grupie przedsiębiorców prowadzących wspólną działalność gospodarczą. RODO definiuje pojęcie „wiążące reguły korporacyjne” jako „polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą”. Tym samym, warunkiem do skorzystania z tego uprawnienia jest wymóg, aby w regułach korporacyjnych były zawarte wszystkie podstawowe zasady i egzekwowalne prawa, które odpowiednio zabezpieczą interesy osób fizycznych na potrzeby przekazywania danych osobowych.

Prawnie uzasadniony interes

Administrator danych może powołać się na uzasadniony interes, jako podstawę przetwarzania danych osobowych, gdy jest ono „niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią” (art. 6 ust. 1 lit. f RODO). Tym samym administrator jest obowiązany wykazać posiadanie podstawy prawnej przetwarzania danych osobowych w przypadku wypełniania interesu strony trzeciej. Przepisy RODO nie wyjaśniają, co należy rozumieć pod pojęciem „prawnie uzasadnionego interesu”. Wywnioskować zatem należy, że pojęcie to powinno mieć charakter stricte niedookreślony, w celu jego dostosowania do określonej sytuacji. Prawnie uzasadniony interes został szczegółowo omówiony w motywie 47 RODO, gdzie wskazano, że może on dotyczyć nie tylko administratora, który dane przetwarza, ale także administratora, któremu dane mogą zostać ujawnione lub strony trzeciej. Warunkiem jest, aby w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne były interesy lub podstawowe prawa i wolności osoby fizycznej, której dane dotyczą. Z wyżej wspomnianego motywu wynika również, że prawnie uzasadniony interes może występować w przypadkach, gdy istnieje specjalna więź między osobą, której przetwarzane dane dotyczą, a administratorem, który je przetwarza, np. gdy osoba jest klientem administratora lub na podstawie zawartej umowy działa na jego rzecz i w jego imieniu.

Przy ustalaniu prawnie uzasadnionego interesu rozważyć i ocenić należy interesy określonej osoby, której dane są przetwarzane, w stosunku do interesów innego podmiotu czy osoby trzeciej. Rozstrzygnięcia konkretnych przypadków zawsze będą wymagały analizy i decyzji w zależności od zaistniałego stanu faktycznego. Należy w każdym przypadku przeprowadzić szczegółową ocenę, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w określonym celu.

W motywie 47 RODO został także  zawarty nieenumeratywny katalog sytuacji, które można uznać za racjonalne w przypadku przetwarzania danych, powołując się na prawnie uzasadniony interes administratora, którego określona sprawa dotyczy. Są to: przetwarzanie danych osobowych do celów marketingu bezpośredniego oraz przetwarzanie danych osobowych bezwzględnie niezbędne do zapobiegania oszustwom.

Warto zwrócić uwagę na konieczność szerszej realizacji obowiązków informacyjnych – w przypadku zbierania danych osobowych należy podać prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią (art. 13 ust. 1 lit d i art. 14 ust. 2 RODO). Tym samym, gdy podstawą przetwarzania danych jest „prawnie uzasadniony interes” powinien on być podany do wiadomości osobom, których dane dotyczą.

Prawnie uzasadniony interes jako legalizacja przetwarzania danych

W doktrynie reprezentowane jest stanowisko, zgodnie z którym za przesłankę legalizującą przekazywanie danych osobowych w grupie przedsiębiorstw uznaje prawnie uzasadniony interes.

Zgodnie z motywem 37 RODO grupa przedsiębiorstw powinna obejmować przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa kontrolowane, przy czym przedsiębiorstwo sprawujące kontrolę powinno być przedsiębiorstwem, które może wywierać dominujący wpływ na pozostałe przedsiębiorstwa ze względu na przykład na strukturę właścicielską, udział finansowy lub przepisy regulujące jego działalność, lub też uprawnienia do nakazywania wdrożenia przepisów o ochronie danych osobowych”. W myśl ww. motywu, za grupę przedsiębiorstw należy również uznać przedsiębiorstwo kontrolujące przetwarzanie danych osobowych w przedsiębiorstwach powiązanych z nim, wraz z tymi przedsiębiorstwami.

Nie można też pomijać motywu 48 RODO, zgodnie z którym administratorzy, którzy są częścią grupy przedsiębiorstw lub instytucji powiązanych z podmiotem centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników. Pozostaje to bez wpływu na ogólne zasady przekazywania danych osobowych w ramach grupy przedsiębiorstw przedsiębiorstwu mieszczącemu się w państwie trzecim.

Uznanie legalizacji przekazywania danych na podstawie prawnie uzasadnionego interesu ma słuszność z kilku powodów. Po pierwsze jest to ułatwienie dla prowadzonej działalności gospodarczej przez przedsiębiorców z grupy, którzy np. przy wykorzystaniu danych osobowych dla celów marketingowych nie muszą każdorazowo uzyskiwać zgód od tych osób. Drugim powodem jest możliwość wyznaczenia jednego inspektora ochrony danych dla całej grupy przedsiębiorstw, który będzie dbał o prawidłowe przetwarzanie danych osobowych w grupie i interweniował w przypadku wystąpienia naruszeń.

Wskazać jednak należy, że przymiot „prawnie uzasadnionego interesu” nie może być uznany za swoistą normę ius cogentis i obowiązywać w każdej sytuacji. Przekazywanie danych na jego podstawie powinno zostać ustalone w oparciu o wiążące grupę przedsiębiorców „reguły korporacyjne”, regulujące zasady przekazywania danych i prawa osób, których dane są przekazywane, w sposób odpowiednio zabezpieczający ich interesy.

Przy ustalaniu prawnie uzasadnionego interesu, legalizującego w myśl motywu 46 w zw. z 48 i 37 RODO przekazywanie danych osobowych podmiotom w grupie przedsiębiorstw (jeśli nie znajduje on zastosowania z mocy prawa, także w grupie kapitałowej), należy rozważyć i ocenić interesy określonej osoby, której dane są przetwarzane, w stosunku do interesów innego podmiotu z grupy, bądź osób trzecich. Rozstrzygnięcia konkretnych przypadków zawsze będą wymagały analizy i decyzji w zależności od zaistniałego stanu faktycznego. Powstałe w grupach przedsiębiorstw wiążące reguły korporacyjne służyć powinny za zbiór zasad i ograniczeń stosowanych przy przekazywaniu danych osobowych, który ma zapewnić bezpieczeństwo i zgodność z prawem tego procesu.

 

Autor: Adrian Cop