Czy oddział spółki jest administratorem danych osobowych?

Utworzenie oddziału spółki lub innego podmiotu prawnego (w tym wpisie dla uproszczenia omówmy problematykę oddziału spółki) zwykle ma doniosłe znaczenie z uwagi na rozwój prowadzonej działalności. Sama konstrukcja oddziału nie jest jednak bez znaczenia dla przepisów RODO. Najistotniejszą kwestią jest ustalenie czy oddział spółki jest administratorem danych osobowych. Ma to ważne znaczenie pod kątem ustalenia statusu oddziału na gruncie RODO, w szczególności oceny czy oddział wraz ze spółką będą współadministratorami danych osobowych.

RODO przewiduje definicję administratora danych osobowych w art. 4 pkt 7: „administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania”. Na gruncie tej – niezwykle istotnej – definicji pojawia się wątpliwość, czy oddział spółki może zostać uznany za administratora danych osobowych. Z jednej strony oddział bowiem nie ma własnej osobowości prawnej, ale z drugiej strony – np. zgodnie z art. 3 Kodeksu pracy – może być pracodawcą. Pojawia się zatem kontrowersja odnośnie przyznania oddziałowi statusu administratora danych osobowych.

Oddział spółki jest powiązany z przedsiębiorcą, jednak nie jest wykluczone podejmowanie w ramach oddziału decyzji w zakresie ustalania celów i środków przetwarzania danych (tak np. w: P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Warszawa 2018). O ile zatem na pierwszy rzut oka mogłoby się wydawać, że oddział spółki z uwagi na swoją niesamodzielność pod kątem osobowości prawnej – nie może być administratorem danych osobowych, to o wszystkim decydować będzie konkretna sytuacja związana z przepływem danych osobowych oraz ich przetwarzaniem. Można zatem wyróżnić dwa rozwiązania:

1. przetwarzanie danych osobowych ma charakter scentralizowany, tj. wszystkie dane osobowe są przetwarzane finalnie przez spółkę i trafiają do spółki bezpośrednio lub pośrednio – wtedy można uznać, że oddział nie posiada pod tym względem samodzielności i ani samodzielnie ani razem ze spółką nie ustala celów i sposobów przetwarzania danych osobowych. W takiej sytuacji można przyjąć, że nie dochodzi do powstania stosunku współadministrowania między spółką a jej oddziałem,

2. przetwarzanie danych osobowych nie ma charakteru scentralizowanego w tym sensie, że oddział posiada również pewne dane osobowe (np. pracowników oddziału, bazę klientów, bazę kontrahentów), które jednocześnie „nie docierają” do spółki, tj. oddział samodzielnie przetwarza dane osobowe lub ewentualnie razem ze spółką decyduje o celach i sposobach przetwarzania danych, a zatem przejawia pewną samodzielność. W takiej sytuacji należałoby uznać, że oddział jest administratorem danych osobowych i zapewne dojdzie do powstania współadministrowania między spółką a oddziałem.

Wybór odpowiedniego rozwiązania, a co z tym idzie – wymagań z tym związanych – będzie zależał od przyjętej koncepcji dotyczącej samodzielności (lub braku samodzielności) oddziału pod kątem przetwarzania danych osobowych.

Jeden komentarz Dodaj własny

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s