Przekazywanie danych w grupach przedsiębiorstw zgodnie z GDPR
Niezależnie od tego, gdzie dane mają zostać przekazane, zawsze stanowi to przetwarzanie danych w rozumieniu GDPR. Następnie musi to być również dozwolone w rozumieniu GDPR. W praktyce może to stwarzać trudne problemy, zwłaszcza dla grup korporacyjnych.
Grupy przedsiębiorstw to grupy przedsiębiorstw, które wszystkie działają pod parasolem grupy, ale są zazwyczaj prawnie niezależne. W naturze rzeczy jest to, że dane mają być tutaj często przekazywane pomiędzy poszczególnymi firmami. W przypadku naruszeń obowiązują tutaj również wysokie kary pieniężne.
Pojawia się pytanie: czy w GDPR są regulacje, które ułatwiają ten proces?
Czy istnieje przywilej grupowy?
Uprzedzając odpowiedź: W przeciwieństwie do innych obszarów prawa, w GDPR nie ma prawdziwego przywileju grupowego.
W tym kontekście grupy przedsiębiorstw mają za zadanie nie tylko przestrzegać ochrony danych w jednym przedsiębiorstwie, ale muszą ją monitorować w kilku przedsiębiorstwach jednocześnie, a także dostosować ją w poszczególnych przedsiębiorstwach do podejścia całej grupy przedsiębiorstw. Wymaga to wiele komunikacji i koordynacji.
Pomaga tu jednak tzw. "przywilej małej grupy" z GDPR. Zgodnie z art. 37 II GDPR, grupa przedsiębiorstw w rozumieniu art. 4 nr 19 GDPR może wyznaczyć centralnego inspektora ochrony danych dla wszystkich przedsiębiorstw w grupie. Oprócz wszystkich innych wymogów GDPR dotyczących inspektora ochrony danych, ten inspektor ochrony danych musi być również łatwo dostępny z oddziałów. Tym samym, z punktu widzenia ustawodawcy, powinien on być w stanie lepiej współpracować z oddziałami, jak również z lokalnymi organami ochrony danych. Szczególnie w przypadku większych korporacji, które mają również oddziały międzynarodowe, jest to jednak wymóg, którego w praktyce nie da się spełnić ze względu na bariery czasowe, przestrzenne i - w razie potrzeby - językowe.
W praktyce korporacyjni inspektorzy ochrony danych są zatem często wspierani przez lokalnych koordynatorów ochrony danych (zwanych również menedżerami ds. prywatności). Znają oni lokalne prawo i język, ale sami nie są wyznaczonymi inspektorami ochrony danych. Pełnią oni jedynie rolę pośredników. Art. 37 II GDPR nie wymaga bowiem, aby korporacyjny inspektor ochrony danych był zawsze dostępny na miejscu, co upraszcza takie rozwiązania. W przeciwnym razie w praktyce nie doszłoby również do możliwości jego zastosowania. Powinno wystarczyć, że można się z nim szybko skontaktować za pomocą środków technicznych i że - przynajmniej na terenie UE - można szybko umówić się na spotkanie na miejscu.
Konflikty międzynarodowe
Zwłaszcza duże korporacje działają w przeważającej mierze na arenie międzynarodowej, nawet poza zakresem GDPR, co stanowi dla nich wyzwanie związane z koniecznością przestrzegania różnych przepisów dotyczących ochrony danych.
Tutaj zasadnicze znaczenie ma wyjaśniona już procedura za pośrednictwem koordynatorów ochrony danych.
Jeśli dane są przekazywane do kraju spoza UE, zawsze należy zapewnić tam poziom ochrony odpowiadający standardowi GDPR. Ponadto proces przekazywania danych musi być również odpowiednio zabezpieczony, aby dane nie mogły dostać się do osób nieuprawnionych.
Zgodność z przepisami GDPR musi być oczywiście również możliwa do zweryfikowania pod kątem rozliczalności. Zaleca się zatem, aby wszystkie procesy przetwarzania danych były w pełni udokumentowane.
Przed wykonaniem procedury należy zawsze skonsultować się z odpowiednim inspektorem ochrony danych w zakresie planowania.