Zamknij
Wiedza PR - PR i prawo

Ochrona danych osobowych w grupie kapitałowej

Maciej Kaczmarski, 2013-11-18 00:53:33

Jedna firma może być właścicielem innej firmy w części lub całości, ale nie oznacza to, że jest właścicielem danych osobowych, które ona przetwarza. Jednak nic nie stoi na przeszkodzie, aby ochroną danych osobowych we wszystkich podmiotach zajmowała się ta sama osoba albo ten sam zespół.

Grupa kapitałowa to co najmniej dwa przedsiębiorstwa, które pozostają ze sobą w związku kapitałowym. Składa się z jednostki dominującej i jednostek zależnych (kontrolowanych przez jednostkę dominującą) albo stowarzyszonych. Jednostką dominującą może być spółka akcyjna, spółka z o.o. lub inna spółka kapitałowa (jawna lub komandytowa), która ma jedną bądź więcej spółek zależnych (stowarzyszonych).

Obowiązujące prawo precyzuje obowiązki grupy kapitałowej w rozdziale 6 ustawy o rachunkowości. Natomiast ustawa o ochronie danych w ogóle nie zauważa istnienia grup kapitałowych. Oznacza to, że jedna firma może być właścicielem innej firmy w części lub całości (powiązania kapitałowe), ale nie będzie właścicielem (lub współwłaścicielem) danych osobowych przetwarzanych przez podmiot zależny. W świetle ustawy o ochronie danych osobowych każda firma w grupie kapitałowej jest w rozumieniu art. 7 pkt 4 ustawy o ochronie danych osobowych samodzielnym administratorem danych osobowych, czyli w dużym uproszczeniu „właścicielem” zebranych i przetwarzanych danych osobowych. Oznacza to, że w praktyce wymiana danych osobowych w grupie kapitałowej odbywa się tak, jakby to były zupełnie obce sobie podmioty.

Zarządzanie ochroną danych osobowych w grupie kapitałowej

Dzisiaj, gdy systemy informatyczne umożliwiają gromadzenie ogromnych ilości informacji, nadzór nad bezpieczeństwem danych jest szczególnie potrzebny w przedsiębiorstwach. Zabezpieczenia należy nie tylko stosować, ale regularnie je sprawdzać. Ustawodawca, uznając wagę danych osobowych, nakazuje pełnić nad nimi nadzór każdemu, kto przetwarza dane osobowe. Obowiązek ten wynika z treści art. 36 ust. 3 ustawy o ochronie danych osobowych, w którym stwierdza się, że administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.

Wspomniane „zasady ochrony” to środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, czyli wszystko, co służy zabezpieczeniom danych osobowych. Dane bowiem należy zabezpieczyć w szczególności przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Nadzór ma pełnić przedsiębiorca, ale niekiedy nawet powinien powołać osobę, która będzie go pełnić w jego imieniu. Osoba, ta to tzw. administrator bezpieczeństwa informacji określany w jako ABI. Z konstrukcji zapisu ustawowego można wywnioskować, że przede wszystkim należy powołać administratora bezpieczeństwa informacji, a zrezygnować z tego można jeśli administrator danych zdecyduje się pełnić nadzór samodzielnie.

Leszek Kępa, autor wielu publikacji na temat ochrony danych osobowych mówi — Trzeba pamiętać, że wyznaczenie administratora bezpieczeństwa informacji nie zdejmuje z przedsiębiorcy odpowiedzialności za całokształt stosowania zabezpieczeń. ABI wykonuje nadzór w imieniu firmy, w przypadku, gdy nie wywiązuje się ze swoich zadań, nie pełni skutecznego nadzoru, to wobec prawa odpowiedzialność za to ponosi przedsiębiorca (administrator danych). Dlatego przedsiębiorca powinien umożliwić mu efektywnie pełnić swoje zadania.

W obecnych trudnych czasach przedsiębiorcy szacują dokładnie koszty i coraz częściej myśli się między innymi o tym, aby rolę ABI dla wielu spółek grupy kapitałowej pełniła jedna i ta sama osoba. I nic nie stoi na przeszkodzie, aby tak było. Warto jednak zadbać, aby powołanie administratora bezpieczeństwa informacji było udokumentowane – bo jest to sprawdzane przez kontrolę GIODO.

W spółkach akcyjnych czy spółkach z ograniczoną odpowiedzialnością najlepiej powołać go uchwałą zarządu – odrębną dla każdej spółki. Dobrze też mieć uregulowany „stosunek prawny” - a więc ABI może mieć podzielony etat pomiędzy spółki albo wykonywać swoje zadania w ramach umowy zlecenia.

„Możliwy jest też outsourcing funkcji ABI tj. zlecenie jego zadań firmie zewnętrznej. W tym przypadku ABI mimo kontraktu z innym podmiotem gospodarczym powinien zostać określony z imienia i nazwiska.” — mówi Maciej Kaczmarski, prezes zarządu ODO 24 sp. z o.o. — i podkreśla, że „w taki sposób można pozwolić sobie na większą elastyczność, bo ABI może mieć zastępców – prawo tego nie zabrania — w konsekwencji rolę tę może pełnić kilka osób z firmy zewnętrznej”.

Dokumentacja wymagana przez prawo

Na podstawie ustawy o ochronie danych osobowych (art. 39a) oraz aktów wykonawczych do niej administratorzy danych (czyli poszczególne spółki grupy kapitałowej) zobowiązani są prowadzić dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. Na tę dokumentację powinny składać się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Oprócz tego należy — a w niektórych przypadkach najzwyczajniej w świecie warto — jeszcze prowadzić dodatkową dokumentację, np. wykazy nadanych upoważnień, wykaz przeszkolonych pracowników z zasad ochrony danych osobowych, wykaz zebranych oświadczeń o zapoznaniu się z dokumentacją i zobowiązaniu do stosowania się do jej zapisów, oraz oświadczenia pracowników o zachowaniu w poufności danych.

Polityka i instrukcja jest taką jakby wewnętrzną ustawą i rozporządzeniem, mają one służyć służyć podniesieniu bezpieczeństwa informacji w spółkach grupy kapitałowej, tworzy się je po to, aby je przestrzegać. Nie powinno być tworzone dla pozoru np. jedynie na potrzeby ewentualnej kontroli GIODO. Opracowanie dokumentacji, podobnie jak wdrożenie zabezpieczeń, wymagać będzie wiedzy informatycznej, tym bardziej, że pewna część dokumentacji stanowić ma opis zastosowanych środków zabezpieczeń.

Strona 1 z 2 1 2 »

Oceń artykuł:

Dotychczasowe komentarze
0
komentarzy
Dodaj komentarz jako pierwszy.
Twój komentarzAby skomentować ten artykuł musisz być członkiem społeczności Epr.pl. Zarejestruj się lub zaloguj się tutaj, a następnie wróć do tego artykułu.


Maciej Kaczmarski

Prezes zarządu ODO 24 Sp. z o.o. specjalizującej się w kompleksowej Ochronie Danych Osobowych. Doświadczenie zawodowe zdobył pełniąc funkcję Administratora Bezpieczeństwa Informacji w grupie kapitałowej notowanej ...

Patricia Kazadi twarzą AVON Mark

Patricia Kazadi – osobowość telewizyjna, piosenkarka i aktorka została ambasadorką nowej linii kosmetyków do makijażu – ...

Cukiernia Sowa nowym klientem Mint Media

Cukiernia Sowa nowym klientem Mint Media

Od stycznia bieżącego roku agencja interaktywna Mint Media kompleksowo obsługuje profil marki na Facebooku. 

Jestem lekko… no właśnie jaka? Rusza wyjątkowa akcja marki Żywiec Zdrój

Kobiecy nastrój bywa zmienny a natura przewrotna. Raz jesteśmy pełne energii do działania, a już za ...