V tomto článku si povieme, čo potrebujete vedieť o skupine podnikov. Skupina podnikov je riadiaci podnik a ním riadené podniky.
Podľa bodu 37 recitálu nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „GDPR“ alebo „Nariadenie“): „Skupinu podnikov by mal zahŕňať riadiaci podnik a ním riadené podniky, pričom riadiaci podnik by mal byť podnikom, ktorý môže vykonávať dominantný vplyv na ostatné podniky napríklad v dôsledku toho, že ich vlastní, v dôsledku finančnej účasti alebo pravidiel upravujúcich činnosť podniku, alebo v dôsledku právomoci presadiť vykonávanie pravidiel ochrany osobných údajov. Podnik, ktorý kontroluje spracúvanie osobných údajov v podnikoch, ktoré sú s ním prepojené, by sa mal spolu s týmito podnikmi považovať za skupinu podnikov.“
Poskytovanie osobných údajov medzi skupinou podnikov (postavenie a právny základ)
Prevádzkovatelia, ktorí sú súčasťou skupiny podnikov alebo inštitúcií, ktoré sú prepojené s ústredným subjektom, môžu mať oprávnený záujem na prenose osobných údajov v rámci skupiny podnikov na vnútorné administratívne účely vrátane spracúvania osobných údajov klientov alebo zamestnancov. Tým nie sú dotknuté všeobecné zásady prenosu osobných údajov v rámci skupiny podnikov podniku nachádzajúcemu sa v tretej krajineBod 48 GDPR.
Z uvedeného ustanovenia je zrejmé, že právnym základom na účely poskytovania osobných údajov medzi skupinou podnikov bude čl. 6 ods. 1 písm. f) GDPR – oprávnený záujem za predpokladu, že boli náležite vykonané testy proporcionality a vyváženosti a priniesli pozitívne výsledky. Inými slovami, prenos osobných údajov v rámci skupiny nemusí nevyhnutne vždy nájsť svoje opodstatnenie v článku 6 ods. 1 písm. f) GDPR, ale odôvodnenie 48 sa môže zohľadniť, najmä v kontexte prvého kroku trojstupňového posúdeniaAby bolo spracovanie založené na právnom základe oprávneného záujmu, musia byť splnené tri kumulatívne podmienky: - po prvé sledovanie oprávneného záujmu zo strany prevádzkovateľa alebo tretej strany; - po druhé potreba spracúvať osobné údaje na účely sledovaného oprávneného záujmu (oprávnených záujmov) (t. j. spracúvanie osobných údajov musí byť „nevyhnutné“ na tieto účely) a - po tretie záujmy alebo základné slobody a práva dotknutých osôb nemajú prednosť pred oprávnenými záujmami prevádzkovateľa alebo tretej strany. podľa článku 6 ods. 1 písm. f) GDPR.
To, či sa subjekty, ktoré chcú zasielať osobné údaje v rámci skupiny, kvalifikujú ako prevádzkovatelia, by sa malo posudzovať individuálne, keďže nie všetky podniky v skupine by sa nevyhnutne kvalifikovali ako prevádzkovatelia.https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2024/guidelines-12024-processing-personal-data-based_sk Bez ohľadu na právny základ prenosu osobných údajov v rámci skupiny by zamestnávatelia mali vždy zabezpečiť, aby splnili svoju povinnosť poskytnúť zamestnancom požadované informácie o spracovateľských činnostiach týkajúcich sa ich osobných údajov v súlade s článkami 12, 13 a 14 GDPR. Zamestnanci by preto mali dostať primerané informácie o prenose ich osobných údajov v rámci skupiny vrátane právneho základu takéhoto spracúvania, ako sa vyžaduje v článku 13 ods. 1 písm. c) a článku 14 ods. 1 písm. c) GDPR.
| Príklad:
V záujme zlepšenia služieb v rámci svojej podnikovej skupiny sa ústredie takejto skupiny rozhodne vypracovať štatistiku o tom, ako dlho sú klienti ich dcérskych spoločností skutočne klientmi, či počas tohto obdobia podali sťažnosť na dcérsku spoločnosť atď. To má skupine umožniť posúdiť, či je potrebné vykonať organizačné zmeny na lepšie udržanie klientov v budúcnosti. Aby to bolo možné, dcérske spoločnosti poskytujú ústrediu skupiny určité informácie o klientoch. Keďže toto spracúvanie ústredím spoločnosti priamo nesúvisí so zmluvným vzťahom s klientmi, takéto spracúvanie osobných údajov môže byť založené – v závislosti od konkrétnych okolností a pri dodržaní ostatných ustanovení GDPR – na článku 6 ods. 1 písm. f) GDPR.
Skutočnosť, že do rovnakého spracúvania je zapojených niekoľko subjektov, neznamená, že nevyhnutne vystupujú ako spoloční prevádzkovatelia takéhoto spracúvania. Nie všetky druhy partnerstiev, spolupráce vyžadujú kvalifikáciu spoločných prevádzkovateľov, pretože takáto kvalifikácia si vyžaduje analýzu z prípadu na prípad každého príslušného spracúvania a presnú úlohu každého subjektu vo vzťahu ku každému spracúvaniu.
Napríklad výmena rovnakých údajov alebo súboru údajov medzi dvoma subjektmi bez spoločne stanovených účelov alebo spoločne určených spôsobov spracúvania by sa mala považovať za prenos údajov medzi samostatnými prevádzkovateľmi.
Príklad:
Marketingové operácie v skupine spoločností využívajúcich zdieľanú databázu:
Skupina spoločností používa rovnakú databázu na správu klientov a potenciálnych zákazníkov. Takáto databáza je umiestnená na serveroch materskej spoločnosti, ktorá je teda sprostredkovateľom, pokiaľ ide o ukladanie údajov. Každý subjekt v skupine zadáva údaje o svojich vlastných klientoch a potenciálnych zákazníkoch a spracúva ich iba na vlastné účely. Každý subjekt taktiež nezávisle rozhoduje o prístupe, dobách uchovávania, o oprave alebo vymazaní údajov svojich klientov a potenciálnych zákazníkov. Nemôžu navzájom pristupovať k údajom ani ich používať. Samotná skutočnosť, že tieto spoločnosti používajú databázu zdieľaných skupín, ako taká neznamená spoločnú kontrolu. Za týchto okolností je teda každá spoločnosť samostatným prevádzkovateľom.
Dve základné podmienky kvalifikácie pre sprostredkovateľa sú:
- byť samostatným subjektom vo vzťahu k prevádzkovateľovi a
- spracúvanie osobných údajov v mene prevádzkovateľa.
Samostatný subjekt znamená, že sa prevádzkovateľ rozhodne delegovať všetky činnosti spracúvania alebo ich časť na externú organizáciu. V rámci skupiny spoločností môže byť jedna spoločnosť sprostredkovateľom druhej spoločnosti pôsobiacej ako prevádzkovateľ, pretože obe spoločnosti sú samostatnými prevádzkovateľmi.
Tretia strana sa vzťahuje na niekoho, kto v konkrétnej situácii nie je dotknutou osobou, prevádzkovateľom, sprostredkovateľom alebo zamestnancom. Prevádzkovateľ môže napríklad najať sprostredkovateľa a dať mu pokyn na prenos osobných údajov tretej strane. Táto tretia strana bude potom považovaná za vlastného prevádzkovateľa spracúvania, ktoré vykonáva na vlastné účely. Je potrebné poznamenať, že v rámci skupiny spoločností je iná spoločnosť ako prevádzkovateľ alebo sprostredkovateľ treťou stranou, aj keď patrí do tej istej skupiny ako spoločnosť, ktorá vystupuje ako prevádzkovateľ alebo sprostredkovateľ.
Príklad:
Skupiny spoločností – materská spoločnosť a dcérske spoločnosti
Spoločnosti X a Y sú súčasťou skupiny Z. Spoločnosti X a Y spracúvajú údaje o svojich príslušných zamestnancoch na účely správy zamestnancov. V jednom momente sa materská spoločnosť ZZ rozhodne vyžiadať si údaje o zamestnancoch od všetkých dcérskych spoločností, aby vytvorila celoskupinovú štatistiku. Pri prenose údajov od spoločností X a Y do ZZ sa má táto považovať za tretiu stranu bez ohľadu na skutočnosť, že všetky spoločnosti sú súčasťou tej istej skupiny. Spoločnosť ZZ bude považovaná za prevádzkovateľa spracúvania údajov na štatistické účely.https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_sk.pdf
|
Zodpovedná osoba v rámci skupiny podnikov
Podľa cl. 37 ods. 2 GDPR: „Skupina podnikov môže určiť jednu zodpovednú osobu, ak je zodpovedná osoba ľahko dostupná z každej prevádzkarne.“ Podľa článku 37 ods. 2 GDPR môže skupina podnikov určiť jednu zodpovednú osobu za predpokladu, že je „ľahko dostupná z každej prevádzkarne“. Pojem dostupnosť sa týka...
Autor: JUDr. Marcela Macová, PhD.
Súvisiace právne predpisy ZZ SR
Súhlas s použitím cookies
Vlastné nastavenie cookies