Udostępnianie danych pracownika w grupie kapitałowej – ryzyka i zasady
Funkcjonowanie w ramach grupy kapitałowej w naturalny sposób rodzi potrzebę przepływu informacji pomiędzy spółkami. Dotyczy to również danych pracowników – zarówno na etapie rekrutacji, jak i w trakcie zatrudnienia czy przy zmianach organizacyjnych. W praktyce bardzo często przyjmuje się założenie, że skoro spółki należą do jednej grupy, to udostępnianie danych osobowych pracowników jest czymś oczywistym i nie wymaga szczególnych analiz. To założenie jest jednym z najczęstszych i jednocześnie najbardziej ryzykownych błędów popełnianych w obszarze HR i compliance.
Grupa kapitałowa nie jest jednym pracodawcą, a przynależność do niej nie tworzy automatycznie „wspólnej przestrzeni danych”. Każda spółka jest odrębnym administratorem danych osobowych i ponosi samodzielną odpowiedzialność za legalność ich przetwarzania. Udostępnianie danych pracownika pomiędzy spółkami grupy zawsze wymaga konkretnej podstawy prawnej, jasno określonego celu oraz kontroli zakresu przekazywanych informacji.
Celem tego artykułu jest uporządkowanie zasad udostępniania danych pracowników w grupach kapitałowych, wskazanie najczęstszych ryzyk oraz pokazanie, jak takie procesy oceniać w audycie HR i RODO.
Grupa kapitałowa a status administratora danych
Podstawowym punktem wyjścia jest zrozumienie, że spółki wchodzące w skład grupy kapitałowej są co do zasady odrębnymi administratorami danych osobowych. Oznacza to, że każda z nich samodzielnie decyduje o celach i sposobach przetwarzania danych swoich pracowników oraz ponosi odpowiedzialność za zgodność tych działań z przepisami.
Fakt posiadania wspólnego właściciela, zarządu czy działów centralnych nie zmienia automatycznie tej kwalifikacji. W praktyce bardzo często spotyka się błędne podejście, zgodnie z którym „centrala” ma prawo do pełnego wglądu w dane pracowników wszystkich spółek zależnych. Takie założenie nie znajduje oparcia w przepisach o ochronie danych osobowych.
Każde przekazanie danych pomiędzy spółkami należy traktować jak udostępnienie danych innemu administratorowi, które musi spełniać wszystkie wymogi legalności.
Najczęstsze sytuacje udostępniania danych w grupach kapitałowych
Udostępnianie danych pracowników w grupach kapitałowych występuje w wielu obszarach, często zupełnie nieformalnie. Do najczęstszych sytuacji należą:
– centralne prowadzenie kadr lub płac dla kilku spółek,
– raportowanie personalne do spółki matki,
– planowanie restrukturyzacji lub transferów pracowników,
– wewnętrzne rekrutacje pomiędzy spółkami,
– zarządzanie benefitami grupowymi,
– obsługa wspólnych systemów HR i IT.
Każda z tych sytuacji może być legalna, ale żadna nie jest legalna „automatycznie”. Kluczowe znaczenie ma to, jakie dane są przekazywane, w jakim celu i na jakiej podstawie.
Cel przetwarzania jako fundament legalności
Jedną z podstawowych zasad ochrony danych osobowych jest zasada celowości. Dane osobowe mogą być przetwarzane wyłącznie w konkretnych, jasno określonych i prawnie uzasadnionych celach. W kontekście grup kapitałowych oznacza to, że nie można udostępniać danych „na zapas” ani „bo mogą się przydać”.
Każda spółka, która chce otrzymać dane pracownika innej spółki z grupy, musi być w stanie odpowiedzieć na pytanie, w jakim celu te dane są jej potrzebne i czy cel ten jest zgodny z przepisami prawa. Co istotne, cele właścicielskie, controllingowe czy „zarządcze” nie zawsze będą wystarczające.
Przykładowo: raportowanie kosztów zatrudnienia do spółki matki może uzasadniać przekazywanie danych zagregowanych lub zanonimizowanych, ale niekoniecznie pełnych danych osobowych poszczególnych pracowników.
Podstawy prawne udostępniania danych pracowników
Udostępnianie danych pracowników pomiędzy spółkami grupy kapitałowej musi opierać się na jednej z podstaw prawnych przetwarzania danych. W praktyce najczęściej rozważa się kilka możliwości.
Pierwszą z nich jest realizacja obowiązku prawnego. Dotyczy to jednak wyłącznie sytuacji, w których konkretny przepis prawa nakłada obowiązek przekazania danych, co w relacjach wewnątrz grupy zdarza się stosunkowo rzadko.
Drugą podstawą jest wykonanie umowy, której stroną jest pracownik. Ta podstawa może mieć zastosowanie np. przy czasowym oddelegowaniu do innej spółki, ale nie uzasadnia przekazywania danych „na przyszłość”.
Trzecią, często nadużywaną podstawą, jest prawnie uzasadniony interes administratora. Choć bywa on wykorzystywany w strukturach grupowych, wymaga każdorazowo przeprowadzenia testu równowagi interesów i udokumentowania, że interes spółki nie narusza praw i wolności pracownika.
Zgoda pracownika, choć teoretycznie możliwa, w relacjach pracowniczych powinna być traktowana z dużą ostrożnością. Ze względu na nierównowagę stron jej dobrowolność bywa kwestionowana.
Zakres danych a zasada minimalizacji
Nawet jeżeli istnieje podstawa prawna do udostępnienia danych, kolejnym kluczowym ograniczeniem jest zasada minimalizacji. Oznacza ona, że przekazywane mogą być wyłącznie te dane, które są niezbędne do realizacji określonego celu.
W praktyce audytowej jednym z najczęstszych problemów jest przekazywanie „pełnych teczek” lub całych zestawów danych, mimo że spółce odbiorcy potrzebna jest jedynie niewielka ich część. Takie działanie znacząco zwiększa ryzyko naruszeń.
Przykładowo, przy planowaniu transferu pracownika do innej spółki grupy uzasadnione może być przekazanie informacji o kwalifikacjach i doświadczeniu zawodowym, ale niekoniecznie danych o absencjach chorobowych czy sytuacji rodzinnej.
Centralne działy HR i payroll w grupach kapitałowych
Szczególną kategorią są sytuacje, w których w grupie kapitałowej funkcjonują centralne działy HR lub payroll obsługujące kilka spółek jednocześnie. Wbrew pozorom nie oznacza to automatycznie, że centrala staje się administratorem danych wszystkich pracowników grupy.
Kluczowe znaczenie ma tu model współpracy. Jeżeli centralny dział działa na rzecz poszczególnych spółek i przetwarza dane wyłącznie na ich polecenie, może pełnić rolę podmiotu przetwarzającego. W takim przypadku konieczne jest zawarcie odpowiednich umów regulujących zasady przetwarzania danych.
Jeżeli natomiast centrala samodzielnie decyduje o celach i sposobach przetwarzania danych, staje się odrębnym administratorem, co rodzi zupełnie inne obowiązki i ryzyka.
Współadministracja danych w grupie kapitałowej
W niektórych strukturach grupowych możliwy jest model współadministracji danych. Oznacza to, że dwie lub więcej spółek wspólnie ustalają cele i sposoby przetwarzania danych osobowych pracowników.
Współadministracja nie powstaje jednak „milcząco”. Wymaga świadomej decyzji, jasnego podziału odpowiedzialności oraz zawarcia odpowiednich uzgodnień określających role poszczególnych podmiotów. Brak takich ustaleń powoduje, że każda spółka ponosi pełną odpowiedzialność za całość przetwarzania.
W praktyce HR współadministracja bywa stosowana np. przy wspólnych systemach rekrutacyjnych lub benefitowych, ale zawsze wymaga precyzyjnej analizy.
Ryzyka związane z nieformalnym udostępnianiem danych
Jednym z największych zagrożeń w grupach kapitałowych jest nieformalne udostępnianie danych. Przekazywanie list pracowników mailem, udostępnianie dostępów do systemów HR czy swobodny wgląd kadry zarządzającej w dane osobowe to praktyki spotykane bardzo często.
Takie działania są szczególnie niebezpieczne, ponieważ:
– trudno je wykazać i udokumentować,
– brak w nich kontroli zakresu danych,
– nie są objęte analizą ryzyka,
– mogą prowadzić do naruszeń poufności.
W razie kontroli lub incydentu bezpieczeństwa pracodawca musi być w stanie wykazać, na jakiej podstawie i w jakim celu dane były udostępniane. Nieformalne praktyki praktycznie uniemożliwiają taką obronę.
Udostępnianie danych a transfery międzynarodowe
W grupach kapitałowych bardzo często dochodzi do udostępniania danych pracowników do spółek zagranicznych. Taka sytuacja rodzi dodatkowe ryzyka, zwłaszcza gdy dane trafiają poza Unię Europejską lub Europejski Obszar Gospodarczy.
Transfery międzynarodowe wymagają spełnienia dodatkowych warunków, niezależnie od tego, że odbiorcą danych jest spółka z tej samej grupy. Brak odpowiednich zabezpieczeń może skutkować poważnymi sankcjami finansowymi.
Audyt powinien zawsze weryfikować, czy dane pracowników nie są przekazywane poza UE w sposób niekontrolowany, np. poprzez dostęp do globalnych systemów HR.
Obowiązki informacyjne wobec pracowników
Pracownik powinien wiedzieć, komu i w jakim celu jego dane są udostępniane. Udostępnianie danych w ramach grupy kapitałowej musi być uwzględnione w obowiązkach informacyjnych, realizowanych przy zatrudnieniu lub przy zmianie celu przetwarzania.
Brak transparentności w tym zakresie zwiększa ryzyko skarg i utraty zaufania. W praktyce bardzo często informacje o przekazywaniu danych do innych spółek są zbyt ogólne lub całkowicie pomijane.
Audyt udostępniania danych w grupie kapitałowej
Audyt HR i RODO w obszarze grup kapitałowych powinien obejmować kilka kluczowych elementów. Przede wszystkim należy zidentyfikować wszystkie sytuacje, w których dochodzi do przepływu danych pracowników pomiędzy spółkami.
Następnie konieczna jest ocena:
– celu udostępniania danych,
– podstawy prawnej,
– zakresu przekazywanych informacji,
– zabezpieczeń technicznych i organizacyjnych,
– dokumentacji regulującej współpracę.
Dopiero taka analiza pozwala ocenić realne ryzyka i zaplanować działania naprawcze.
Działania naprawcze i dobre praktyki
Wyniki audytu bardzo często pokazują, że problemem nie jest sam fakt udostępniania danych, lecz brak zasad i dokumentacji. Działania naprawcze mogą obejmować m.in.:
– uporządkowanie ról administratorów i procesorów,
– ograniczenie zakresu przekazywanych danych,
– wdrożenie procedur udostępniania danych,
– aktualizację klauzul informacyjnych,
– szkolenia dla HR i kadry zarządzającej.
Kluczowe jest, aby udostępnianie danych było procesem kontrolowanym, a nie efektem przyzwyczajeń organizacyjnych.
Podsumowanie
Udostępnianie danych pracowników w grupie kapitałowej jest obszarem o podwyższonym ryzyku prawnym. Fakt przynależności do jednej grupy nie zwalnia z obowiązku przestrzegania zasad ochrony danych osobowych, a wręcz przeciwnie – zwiększa skalę potencjalnych naruszeń.
Bezpieczne udostępnianie danych wymaga jasnego określenia celów, podstaw prawnych, zakresu informacji oraz odpowiedniej dokumentacji. Audyt HR i RODO jest jednym z najskuteczniejszych narzędzi pozwalających uporządkować te procesy i ograniczyć ryzyka, zanim staną się realnym problemem dla pracodawcy.