W niektórych sytuacjach RODO łagodzi swoje rygorystyczne wymogi, kierując się zasadą celowości. Jednym z bardziej jaskrawych przykładów tego typu zabiegu legislacyjnego jest wprowadzenie pojęcia grupy przedsiębiorstw.

Jak wynika z krótkiej definicji przedstawionej w art. 4 pkt 19, grupę przedsiębiorstw tworzą przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane. Zrezygnowano jednocześnie ze zdefiniowania pojęcia kontroli, w związku z tym trzeba będzie oceniać ją odrębnie dla każdego przypadku.

Pomoc interpretacyjną w tym przedmiocie stanowi motyw 37 preambuły, według którego przedsiębiorstwo sprawujące kontrolę powinno być przedsiębiorstwem, które może wywierać dominujący wpływ na pozostałe przedsiębiorstwa ze względu na przykład na strukturę właścicielską, udział finansowy lub przepisy regulujące jego działalność, lub też uprawnienia do nakazywania wdrożenia przepisów o ochronie danych osobowych. Za grupę przedsiębiorstw należy uznać przedsiębiorstwo kontrolujące przetwarzanie danych osobowych w przedsiębiorstwach powiązanych z nim, wraz z tymi przedsiębiorstwami.

Zaliczenie do grupy przedsiębiorstw skutkuje osiągnięciem określonych korzyści, takich jak:

  1. możliwość przesyłania między sobą danych osobowych na prostszych zasadach;
  2. możliwość wyznaczenia wspólnego inspektora ochrony danych;
  3. możliwość korzystania z wiążących reguł korporacyjnych.

W przypadku pierwszej z zaprezentowanych korzyści zwrócić należy uwagę na motyw 48 preambuły – administratorzy, którzy są częścią grupy przedsiębiorstw lub instytucji powiązanych z podmiotem centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników. Pozostaje to bez wpływu na ogólne zasady przekazywania danych osobowych w ramach grupy przedsiębiorstw przedsiębiorstwu mieszczącemu się w państwie trzecim.

Michał Wysocki

Bibliografia:

  1. E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
  2. A. Dmochowska, M. Zadrożny, Unijna reforma ochrony danych osobowych. Analiza zmian, C.H. Beck, 2016;
  3. M. Krzysztofek, Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, C.H. Beck, 2016;
  4. P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018