Od dobrych kilku lat prawdopodobnie każdy już zetknął się ze zdaniem:
Administrator danych osobowych to podmiot, który ustala cele i sposoby przetwarzania danych osobowych.
Jednak kto jest administratorem w sytuacji gdy przetwarzanie odbywa się w ramach paru spółek powiązanych? Na jakie aspekty warto zwrócić uwagę? Który z podmiotów grupy powinien być uznany za administratora?
Zgodnie z motywem 37 RODO: Grupa przedsiębiorstw powinna obejmować przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa kontrolowane, przy czym przedsiębiorstwo sprawujące kontrolę powinno być przedsiębiorstwem, które może wywierać dominujący wpływ na pozostałe przedsiębiorstwa ze względu na przykład na strukturę właścicielską, udział finansowy lub przepisy regulujące jego działalność, lub też uprawnienia do nakazywania wdrożenia przepisów o ochronie danych osobowych.
Czy zawsze to spółka dominująca pełni rolę administratora?
Zgodnie z wytycznymi Europejskiej Rady Ochrony Danych (dalej: EROD; pkt 87 edpb_guidelines_202007_controllerprocessor_en.pdf) wewnątrz grupy spółek mogą występować podmioty będące względem siebie zarówno administratorami jak również podmiotami przetwarzającymi, a nawet stronami trzecimi. Od czego to zależy? Według EROD, o podziale ról w procesie przetwarzania decyduje przede wszystkim faktyczny zakres przetwarzania danych, który może być zmienny w zależności od konkretnego scenariusza. Każda ze spółek z grupy może występować w roli administratora pewnej kategorii danych osobowych w określonej sytuacji, tylko po to aby w odmiennym układzie role się odwróciły. Wobec mnogości potencjalnych scenariuszy, zawieranie licznych umów powierzenia przetwarzania może stać się zadaniem dalece skomplikowanym. Alternatywą może być zawieranie umów współadministrowania danymi (art. 26 RODO) w których spółki określają ramy wspólnego decydowania o celach i sposobach przetwarzania. W przypadku transferu danych osobowych grupa może oprzeć się o wiążące reguły korporacyjne (art. 47 RODO).
Naruszenie RODO przez jedną ze spółek a odpowiedzialność pozostałych spółek
Tym co działa na wyobraźnię w przypadku RODO są kary pieniężne. Podstawą ich naliczania może być procent całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego przedsiębiorstwa (ang. „undertaking”). Powstaje pytanie – czy chodzi o konkretny podmiot z grupy spółek, czy raczej wszystkie podmioty wchodzące w skład danej grupy? TSUE wypowiedział się na ten temat w wyroku C-383/23 (ILVA (Kara pieniężna za naruszenie RODO)), zgodnie z którym, przez przedsiębiorstwo należy rozumieć jednostkę gospodarczą, nawet jeśli z prawnego punktu widzenia jednostka ta składa się z kilku osób fizycznych lub prawnych. Nie oznacza to automatyzmu w obliczaniu wysokości kar finansowych. Mimo to, jak pokazuje praktyka, ryzyko nakładania wysokich kar na spółki-córki, przy uwzględnieniu obrotów całej grupy spółek materializowało się już wielokrotnie, szczególnie w przypadku podmiotów z branży „Big-Tech”.
Użytecznym źródłem wiedzy o sposobie interpretacji RODO są decyzje nakładające administracyjne kary pieniężne jak np. decyzja irlandzkiego Data Privacy Commisionera w sprawie WhatsApp Ireland Ltd (dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf). W przytaczanej decyzji wydanej przez DPC – którego uznaje się za wiodący organ ochrony danych osobowych w Unii Europejskiej – na stronach od 248 do 257 przedstawiono analizę przesłanek która doprowadziła do obliczenia wysokości kary. W skrócie: ze względu na powiązania właścicielskie i organizacyjne między WhatsApp i Facebook Inc, zachodzi domniemanie (wynikające z orzecznictwa TSUE) że Facebook Inc wywiera decydujący wpłwy na WhatsApp, które to domniemanie nie zostało skutecznie obalone przez WhatsApp, a zatem oba podmioty tworzą „przedsiębiorstwo” w rozumieniu RODO. Skutek – wysoka kara administracyjna, pomimo że organ kontrolny ostatecznie uznał WhatsApp Ireland Ltd za administratora przetwarzanych przez niego danych osobowych.
W przypadku pytań lub wątpliwości – zachęcam do kontaktu: piotr.mijal@prawo-it.pl
