Powiązania splątane jak gordyjski węzeł.
Istniejące spółki, które łączy nie tylko skład osobowy zarządu lecz nierzadko także wspólne działania marketingowe czy strategie biznesowe, poprzez podejmowane czynności, które okazują się być często niezgodne z przepisami obowiązującego prawa w zakresie ochrony danych osobowych, narażają się na odpowiedzialność. Przykładowo, władzom spółki trudno zrozumieć, że nie mogą korzystać z bazy danych zgromadzonej przez inną, powiązaną spółkę, bowiem należy je traktować jak odrębne podmioty.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
W tym zakresie pojawiają się także praktyczne problemy innego rodzaju. Zdarza się, iż duże grupy kapitałowe zbudowane są w sposób niejednolity i pracownicy poszczególnych spółek grupy wykonują czynności na rzecz pozostałych podmiotów z grupy w różnorodnym zakresie i bez ustalonego schematu i porządku, a mnogość takich sytuacji powoduje, że w praktyce niemożliwe jest uporządkowanie tego zakresu koniecznymi umowami powierzenia. Trudność szczególna wynika często właśnie z wyżej wspomnianej wielości omawianych sytuacji, dotyczy to bowiem każdego lub znaczącej większości z setek pracowników.
Spróbujmy wyobrazić sobie sytuację, gdzie pracownicy wykonują swoje obowiązki na rzecz różnych spółek z grupy, przy czym każda z tych osób wykonuje swoje czynności na co najmniej dwóch odmiennych podstawach prawnych równolegle (lub w ogóle kwestia ta jest nieuregulowana), a każda z umów stanowiących podstawę współpracy jest zawarta przez inną ze wskazanych 30 spółek. Sytuacja staje się jeszcze bardziej skomplikowana, gdy utrudnimy przedstawiony przykład wskazując, iż osoby, których zakresy obowiązków pokrywają się choćby w pewnym stopniu, mają swoje stałe miejsca pracy w różnych miastach w kraju i dokumentacja firmowa przechowywana jest także w różnych, często bliżej nieokreślonych i trudnych do ustalenia miejscach. Gdy podczas przeprowadzania audytu okazuje się, że wszystkie działy firm wchodzących w skład grupy są w ten sposób zorganizowane można dojść do wniosku, iż pełnienie funkcji administratora bezpieczeństwa informacji w takim podmiocie, choćby z uwagi na konieczność uporządkowania kwestii związanych z powierzeniem danych, to praca w zasadzie syzyfowa. Zwłaszcza gdy dochodzi to tego jeszcze brak woli zarządów na dokonywanie jakikolwiek zmian, a w szczególności na uporządkowanie zaistniałej sytuacji.
Źródłem wyżej opisanego stanu rzeczy jest właśnie traktowanie wszystkich powiązanych spółek jak jednego organizmu i nie dostrzeganie, iż każda z nich, z punktu widzenia ustawy o ochronie danych osobowych, powinna być traktowana jak całkowicie odrębny podmiot. Jeżeli natomiast pracownicy czy współpracownicy poszczególnych podmiotów wykonują czynności na rzecz innych spółek z grupy powinno być to zorganizowane w sposób, który pozwalałby nad tym zapanować i utrzymać ład w stopniu chociaż podstawowym. Zwłaszcza mając na uwadze, iż obowiązująca ustawa wymaga zawarcia w formie pisemnej zapisów dotyczących powierzenia wskazujących jego zakres i cel, a w tym przypadku powierzenie na pewno wystąpi.
Omawiana sytuacja związana ze skomplikowanym stanem faktycznym, istniejącym pomiędzy podmiotami ma także wymierne skutki podczas tworzenia dokumentacji. Dokumentacja ochrony danych osobowych opisuje bowiem stan aktualnie obowiązujący u administratora danych, podczas gdy stan ten jest, jak wyżej wskazano, nierzadko tak skomplikowany, iż rzetelne stworzenie dokumentacji jest w zasadzie niemożliwe. Zdecydowanie łatwiejszym rozwiązaniem byłoby narzucenie wszystkim podmiotom z grupy jednej dokumentacji i dopasowanie sposobu działania spółek do zawartych tam zasad, niż opisywanie stanu aktualnie zastanego, który wymaga daleko idącego uporządkowania wszystkich spółek z grupy, co w praktyce zajmuje znaczącą ilość czasu, jeśli w ogóle jest możliwe. Niemniej, należy wyraźnie zaznaczyć, iż obecnie ustawa nie przewiduje możliwości zastosowania takiego rozwiązania.
Praca dobrymi narzędziami RODO to nie praca!
Follow the sun, czyli o tym, jak praca podąża za słońcem.
Inna kwestią, ważką i wartą poruszenia, jest wykorzystywany w międzynarodowych korporacjach sposób wykonywania pracy zwany follow the sun. Ten rodzaj organizowania wykonywanych zadań opiera się na tym, iż praca trwa non stop, a jednocześnie nikt nie pracuje ponad ustaloną z pracodawcą ilość godzin. Praca, która jest do wykonania trafia bowiem do kraju, w którym aktualnie jest dzień. i godziny pracy, gdy w danym miejscu dzień i wyznaczone godziny pracy upływają, zadanie kontynuują osoby zatrudnione w innym kraju, w którym godziny pracy właśnie się rozpoczynają. Taki sposób procedowania nieuchronnie może wiązać się z przekazywaniem danych osobowych w celu umożliwienia wykonywania obowiązków przez osoby znajdujące się w różnych częściach świata. Praktyka pokazuje, że model ten wykorzystywany jest w różnych organizacjach dla różnych celów. Będą to w szczególności zadania informatyczne, związane z systemami komputerowymi, zadania organizacyjne, czy szeroko pojęta obsługa klienta. Wykonywanie zadań w tym modelu nie musi, ale może wiązać się z przekazywaniem danych do państw trzecich i tak też się najczęściej dzieje. W praktyce sprowadza się to do tego, że dane osobowe przekraczają granicę Europejskiego Obszaru Gospodarczego, co generuje odpowiednie obowiązki z zakresu ustawy. Występowanie takich zagadnień prawnych w sposób znaczący może skomplikować zadanie wykonywane przez wyznaczonego administratora bezpieczeństwa informacji, którego jednym z obowiązków będzie dopilnowanie, aby spełnione zostały wszystkie wymagane przesłanki ustawowe czyniące korzystanie z follow the sun legalnym. Zadanie z pewnością nie będzie proste, zwłaszcza jeżeli powiązania pomiędzy spółkami z grupy międzynarodowej okażą się być w sposób znaczący skomplikowane, co jak wyżej wskazano, nie jest rzadkością. Problem w tym zakresie mogłyby rozwiązać wdrożone wiążące reguły korporacyjne, jednak niewiele podmiotów je posiada, bo ich wdrożenie utrudnia właśnie nieuporządkowana struktura i inne występujące powiązania pomiędzy podmiotami należącymi do grupy. Nie ulega wątpliwości, że zadanie przygotowania wiążących reguł korporacyjnych wymaga wiedzy z zakresu ochrony danych osobowych oraz biegłości w sporządzaniu odpowiednich dokumentów.
Wyżej opisane zagadnienia stanowią jedynie wybrane przykłady tego, co każdy administrator bezpieczeństwa informacji może zastać, gdy będzie pełnił swoją funkcję we wszystkich lub niektórych spółkach, powiązanych ze sobą i tworzących grupę kapitałową. Z uwagi na to należy z pełnym przekonaniem rekomendować, aby administrator bezpieczeństwa informacji w dużych podmiotach miał odpowiednie warunki i możliwości do rzetelnego wykonywania swojej funkcji. Nie ulega także wątpliwości, iż aby należycie poprowadzić grupę kapitałową przez meandry prawa z zakresu ochrony danych osobowych i szeroko pojętego bezpieczeństwa informacji, należy biegle orientować się w tej dziedzinie.
