Lutowy „edukacyjny” odcinek newsletteru jest poświęcony kolejnym pojęciom, które zostały przez prawodawcę unijnego zdefiniowane w art. 4 RODO. Tym razem przybliżone zostaną definicje „przedsiębiorcy” oraz „grupy przedsiębiorstw”.
DEFINICJA „PRZEDSIĘBIORCY”
Zgodnie z art. 4 pkt. 18 RODO „przedsiębiorca” oznacza „osobę fizyczną lub prawną prowadzącą działalność gospodarczą, niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia prowadzące regularną działalność gospodarczą”. Definicja „przedsiębiorcy” na gruncie przepisów RODO jest zbliżona do obowiązującej w polskiej ustawie Prawo przedsiębiorców.
Z powyższej definicji wynika, że dla przypisania konkretnemu podmiotowi statusu przedsiębiorcy nie ma większego znaczenia forma prawna, natomiast istotny jest fakt regularnego prowadzenia działalności gospodarczej. Na podstawie orzecznictwa Trybunału Sprawiedliwości wskazuje się, że przedsiębiorca to podmiot, który wykonuje w sposób stały i ciągły samodzielną działalność gospodarczą o charakterze zarobkowym.
Wśród podmiotów, które mogą być przedsiębiorcami wątpliwości może budzić „zrzeszenie”. Jak podaje dr Paweł Litwiński „Uwzględniając angielskojęzyczną wersję RODO i przenosząc pojęcie >>zrzeszenia<< na grunt polskich przepisów, należałoby przyjąć, że są nim objęte w szczególności stowarzyszenia” (P. Litwiński [w:] Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, 2021). Jako przykład zrzeszenia, które na podstawie przepisów prawa również jest przedsiębiorcą dr Litwiński podaje organizację rolników, która zgodnie z art. 12 ustawy z dnia 8 października 1982 r. o społeczno-zawodowych organizacjach rolników może prowadzić działalność gospodarczą.
DEFINICJA „GRUPY PRZEDSIĘBIORSTW”
Pojęcie grupy przedsiębiorców ma istotne znaczenie w kontekście możliwości wyznaczenia wspólnego inspektora ochrony danych (art. 37 ust. 2 RODO) oraz korzystania z zatwierdzonych wiążących reguł korporacyjnych przy przekazywaniu danych do państw trzecich (art. 47 RODO). Oba te mechanizmy zostaną opisane w kolejnych newsletterach.
W motywie (48) preambuły RODO, stwierdzono, że „administratorzy, którzy są częścią grupy przedsiębiorstw lub instytucji powiązanych z podmiotem centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników”.
Zgodnie z art. 4 pkt. 18 RODO „grupa przedsiębiorstw” oznacza „przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane”.
GRUPA PRZEDSIĘBIORSTW A GRUPA KAPITAŁOWA
Zgodnie z powyższą definicją może się wydawać, że grupa przedsiębiorstw i grupa kapitałowa są pojęciami tożsamymi. Według dr hab. M. Sakowskiej-Baryła „W przeważającej mierze w grupach przedsiębiorstw mamy do czynienia z powiązaniem o charakterze kapitałowym, ale zgodnie z tym, co wynika z RODO, samo powiązanie powinno być tego rodzaju, że podmiot kontrolujący może wywierać dominujący wpływ na podmioty kontrolowane w zakresie przetwarzania danych osobowych”. (M. Sakowska – Baryła [w:] Ogólne rozporządzenie o ochronie danych osobowych. Komentarz).
W motywie (37) preambuły RODO wyjaśniono, że „przedsiębiorstwo sprawujące kontrolę powinno być przedsiębiorstwem, które może wywierać dominujący wpływ na pozostałe przedsiębiorstwa ze względu na przykład na strukturę właścicielską, udział finansowy lub przepisy regulujące jego działalność, lub też uprawnienia do nakazywania wdrożenia przepisów o ochronie danych osobowych. Za grupę przedsiębiorstw należy uznać przedsiębiorstwo kontrolujące przetwarzanie danych osobowych w przedsiębiorstwach powiązanych z nim, wraz z tymi przedsiębiorstwami”.
Grupa przedsiębiorstw jest więc zorganizowana w taki sposób, iż jedno przedsiębiorstwo sprawuje kontrolę nad przetwarzaniem danych osobowych i wywiera wpływ na pozostałe przedsiębiorstwa. W doktrynie wskazuje się, że procesy przetwarzania danych osobowych w podmiotach powiązanych powinny zapewniać skuteczność tej kontroli. Chodzi więc o to, że podmiot kontrolujący w grupie przedsiębiorstw sprawuje stały nadzór nad procesami przetwarzania danych w podmiocie kontrolowanym. Nie w każdej grupie kapitałowej ma to miejsce, wówczas nie będzie ona grupą przedsiębiorstw w rozumieniu RODO.