Wyślij zapytanie

RODO w grupie kapitałowej – Przepływ danych między spółkami z grupy

Prowadzisz grupę spółek i zastanawiasz się, czy możesz swobodnie wymieniać dane między podmiotami? Prawda jest taka, że choć psychologicznie to "jeden biznes", prawnie każda spółka to oddzielny administrator danych z własnymi obowiązkami.

Spis treści

Skalowanie biznesu przez tworzenie nowych spółek to naturalna ścieżka rozwoju. Dzisiaj masz jedną firmę, jutro otwierasz drugą pod nowy projekt, a za rok zarządzasz już całą grupą. Problem pojawia się, gdy Twoi pracownicy mają dostępy do systemów wszystkich spółek, dane klientów wędrują swobodnie między podmiotami, a Ty traktujesz to jak jeden organizm. Z perspektywy RODO każda spółka to osobny byt z własnymi obowiązkami i potencjalnymi karami za ich niedopełnienie.

📋 W skrócie: Każda spółka w grupie kapitałowej to odrębny administrator danych. Transfer danych między spółkami wymaga podstawy prawnej, umowy powierzenia i odpowiednich zabezpieczeń. Kary za naruszenia sięgają 20 mln euro.

Potrzebujesz szybkiego audytu? Umów się na bezpłatną 15-minutową konsultację strategiczną dotyczącą przetwarzania danych w ramach grupy spółek. Sprawdzimy, gdzie są największe ryzyka w Twojej grupie i podpowiemy, od czego zacząć. Kliknij i umów konsultację.

Czym jest grupa kapitałowa w kontekście RODO?

💡 Grupa kapitałowa to powiązane kapitałowo lub osobowo spółki, które w świetle RODO są odrębnymi administratorami danych. Oznacza to, że każda spółka samodzielnie odpowiada za zgodność z przepisami o ochronie danych osobowych.

RODO nie definiuje wprost pojęcia grupy kapitałowej. W rozumieniu przepisów każda spółka, niezależnie od powiązań właścicielskich, jest odrębnym podmiotem prawnym. To fundamentalna różnica między postrzeganiem biznesowym a prawnym – gdzie Ty widzisz synergię i wspólne cele, RODO widzi osobnych administratorów z własnymi obowiązkami.

Praktyczne konsekwencje są znaczące. Przedsiębiorstwo sprawujące kontrolę nad innymi spółkami nie może automatycznie zakładać, że ma prawo do wszystkich danych przetwarzanych przez przedsiębiorstwa przez nie kontrolowane. Każdy transfer informacji między podmiotami w grupie wymaga podstawy prawnej, dokumentacji i zabezpieczeń.

Pro tip: Sporządź mapę swojej grupy przedsiębiorstw z perspektywy przepływu danych. Zaznacz, które spółki są administratorami jakich kategorii danych i gdzie następują transfery. To podstawa do dalszego uporządkowania relacji.

Jakie dane osobowe najczęściej przepływają między podmiotami w grupie?

💡 W grupach kapitałowych najczęściej przepływają dane pracowników, klientów, kontrahentów oraz informacje strategiczne. To nie tylko imiona i nazwiska, ale kompleksowe bazy danych niezbędne do prowadzenia działalności.

Zatrzymaj się na chwilę i pomyśl – jakie informacje faktycznie wędrują między Twoimi spółkami każdego dnia? Prawdopodobnie znacznie więcej, niż zakładasz. Wspólny CRM, w którym wszystkie spółki widzą historię kontaktów z klientem. Pliki Excel z danymi kadrowymi krążące między działami HR. Raporty sprzedażowe udostępniane na wspólnym dysku. To codzienność w grupach kapitałowych, która z perspektywy RODO może być tykającą bombą.

W praktyce przepływ danych w grupie przedsiębiorstw obejmuje kilka kluczowych kategorii:

  • dane osobowe pracowników – od podstawowych informacji kadrowych po wrażliwe dane zdrowotne,
  • dane klientów i kontrahentów – historie transakcji, preferencje zakupowe, dane kontaktowe,
  • informacje o współpracownikach i podwykonawcach – umowy, rozliczenia, oceny,
  • dane strategiczne zawierające informacje osobowe – raporty z nazwiskami, analizy personalne,
  • zgody marketingowe i bazy mailingowe współdzielone między spółkami.

Praktyczna wskazówka: Przeprowadź mapowanie danych w swojej grupie. Wystarczy prosty arkusz Excel, w którym wypiszesz: jakie dane, skąd dokąd płyną, w jakim celu i jak często. To pierwszy krok do uporządkowania przepływu danych osobowych pomiędzy spółkami.

Jakie kary grożą za nieprawidłowe udostępnianie danych między spółkami?

💡 Każdy transfer danych między spółkami bez odpowiedniej podstawy prawnej to potencjalne naruszenie RODO przez spółkę będącą częścią grupy przedsiębiorstw, które może skutkować karami do 20 mln euro lub 4% rocznego obrotu. Nie ma przy tym znaczenia czy dochodzi do elektronicznego przekazywania danych czy dzieje się to w innej formie. 

Największym problemem jest myślenie kategoriami „to przecież moje spółki”. Organy ochrony danych osobowych patrzą na to zupełnie inaczej. Dla UODO nie ma znaczenia, że jesteś właścicielem wszystkich podmiotów – liczy się tylko to, czy transfer danych ma podstawę prawną i czy jest odpowiednio udokumentowany.

Konsekwencje braku właściwego zabezpieczenia mogą być dotkliwe:

  • kontrole UODO i wysokie kary finansowe,
  • roszczenia osób, których dane nieprawidłowo przekazano,
  • utrata zaufania klientów i kontrahentów,
  • paraliż operacyjny przy konieczności nagłego wstrzymania przepływów,
  • problemy w relacjach z dużymi klientami wymagającymi compliance.

Przykład: Grupa IT składająca się z software house’u i spółki konsultingowej współdzieliła bazę CV kandydatów. Podczas kontroli UODO okazało się, że brak umowy powierzenia i jasnych procedur to naruszenie przepisów. Kara? 50 000 zł i konieczność przeprojektowania całego systemu rekrutacji.

Kiedy możesz legalnie przekazywać dane osobowe pomiędzy spółkami?

💡 Legalne przekazywanie danych wymaga oparcia się na jednej z podstaw prawnych z art. 6 RODO – najczęściej jest to uzasadniony interes, wykonanie umowy lub zgoda osoby, której dane dotyczą.

RODO przewiduje kilka podstaw prawnych, które możesz wykorzystać. Kluczem jest wybór właściwej podstawy i jej udokumentowanie:

  1. Zgoda (art. 6 ust. 1 lit. a RODO) – osoba wyraża zgodę na przekazywanie jej danych między spółkami grupy. To najprostsza opcja, ale ma wadę – zgodę można wycofać w każdej chwili. Sprawdza się przy danych marketingowych, mniej przy operacyjnych.
  2. Wykonanie umowy (art. 6 ust. 1 lit. b RODO) – gdy różne spółki realizują elementy tej samej usługi dla klienta. Przykład: spółka A sprzedaje produkt, spółka B realizuje dostawę, spółka C prowadzi serwis.
  3. Uzasadniony interes (art. 6 ust. 1 lit. f RODO) – najbardziej elastyczna podstawa, ale wymaga udokumentowania. Musisz wykazać, że interes w przesyłaniu danych osobowych w ramach grupy przeważa nad prawami osób, których dane dotyczą. W ramach tej podstawy możliwe jest przekazywanie danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów (np. w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych).

Kluczowa zasada: Każda podstawa prawna wymaga spełnienia dodatkowych warunków. Przy uzasadnionym interesie konieczny jest test równowagi, przy zgodzie – możliwość łatwego wycofania, przy umowie – rzeczywista konieczność transferu do jej wykonania.

Jak legalnie udostępniać dane między spółkami w grupie?

💡 Organizacja przetwarzania danych w grupie kapitałowej wymaga wyboru modelu współpracy – najczęściej powierzenia przetwarzania lub współadministrowania, wraz z odpowiednią dokumentacją.

Wybór właściwego modelu to kluczowa decyzja strategiczna. Determinuje ona nie tylko dokumentację, ale przede wszystkim podział odpowiedzialności między spółkami:

  1. Model powierzenia przetwarzania sprawdza się, gdy jedna spółka przetwarza dane na zlecenie drugiej. Klasyczny przykład to wspólne centrum usług (HR, IT, księgowość) obsługujące całą grupę. Spółka-matka pozostaje administratorem, spółka usługowa staje się procesorem.
  2. Model współadministrowania jest właściwy, gdy spółki wspólnie ustalają cele i sposoby przetwarzania. Przykład: wspólna baza klientów wykorzystywana przez wszystkie spółki do własnych celów biznesowych. Za administratora zawsze – nawet w ramach grupy – należy uznać przedsiębiorstwo kontrolujące przetwarzanie danych osobowych (sprawujące kontrolę nad przetwarzaniem danych). 

Niezależnie od wybranego modelu, konieczne jest:

  • jasne określenie ról i odpowiedzialności,
  • przygotowanie odpowiednich umów,
  • wdrożenie procedur bezpieczeństwa,
  • zapewnienie praw osób, których dane dotyczą,
  • dokumentowanie wszystkich przepływów.

Wskazówka praktyczna: Zacznij od najprostszych relacji. Jeśli masz wspólną księgowość lub HR, uporządkuj najpierw te obszary przez umowy powierzenia. To da Ci doświadczenie potrzebne do trackowania bardziej złożonych przepływów.

Kiedy potrzebujesz umowy powierzenia między spółkami?

💡 Umowa powierzenia to kontrakt regulujący zasady przetwarzania danych przez jedną spółkę na zlecenie drugiej, wymagany przez art. 28 RODO zawsze, gdy podmiot zewnętrzny przetwarza dane w imieniu administratora.

Umowa powierzenia przetwarzania danych to nie biurokratyczny wymysł, ale praktyczne narzędzie porządkujące relacje. Określa dokładnie kto, co, jak i w jakim celu może robić z danymi. To instrukcja obsługi dla Twoich danych w rękach innej spółki.

Kluczowe elementy, które musi zawierać umowa powierzenia:

  • przedmiot i czas trwania przetwarzania,
  • charakter i cel przetwarzania,
  • rodzaj danych osobowych i kategorie osób,
  • obowiązki i prawa administratora,
  • gwarancje wdrożenia odpowiednich środków bezpieczeństwa,
  • warunki korzystania z dalszych procesorów,
  • zasady audytu i kontroli.

📌 Dowiedz się więcej! Przeczytaj artykuł: Umowa powierzenia przetwarzania danych

Przykład z życia: Spółka-matka zatrudnia 200 osób, jej spółka-córka prowadzi dla niej kompletną obsługę kadrowo-płacową. Bez umowy powierzenia to nielegalne przetwarzanie setek tysięcy wrażliwych danych. Z umową – profesjonalna organizacja procesów.

Jak stworzyć politykę przepływu danych w grupie przedsiębiorstw?

💡 Skuteczna polityka przepływu danych to dokument mapujący wszystkie transfery, określający ich podstawy prawne, zasady bezpieczeństwa oraz role i odpowiedzialności poszczególnych podmiotów.

Polityka ochrony danych osobowych stosowana w grupie to Twoja mapa drogowa. Nie musi być skomplikowana – musi być praktyczna i zrozumiała dla wszystkich, którzy będą z niej korzystać.

Elementy dobrej polityki przepływu danych:

  • w pierwszej kolejności należy przeprowadzić mapowanie danych osobowych i ich przepływów – kto, komu, co przekazuje w ramach grupy kapitałowej, jak wyglądają procesy przetwarzania danych osobowych pracowników etc.,
  • podstawy prawne dla każdego typu transferu,
  • procedury bezpieczeństwa przy przekazywaniu,
  • wzory dokumentów i formularzy związanych z ochroną danych osobowych,
  • osoby odpowiedzialne i punkty kontaktowe,
  • zidentyfikowanie, gdzie występuje stosunek powierzenia przetwarzania danych osobowych, 
  • procedury reagowania na incydenty (w tym, gdy grupa przedsiębiorstw w rozumieniu RODO oraz jej członkowie przetwarzają dane wspólnie),
  • harmonogram przeglądów i aktualizacji.

Kluczem do sukcesu jest zaangażowanie wszystkich spółek w tworzenie polityki. To nie może być dokument narzucony z góry – musi odpowiadać realnym potrzebom i możliwościom organizacyjnym każdego podmiotu.

Praktyczny tip: Stwórz prostą matrycę w Excelu: w wierszach spółki przekazujące dane, w kolumnach spółki otrzymujące, w komórkach typ danych i podstawa prawna. To wizualna mapa Twoich przepływów.

Jakie są najczęstsze błędy przy wymianie danych między spółkami z grupy?

💡 Najczęstsze błędy to brak dokumentacji transferów, nieograniczony dostęp do systemów wszystkich spółek, brak szkoleń pracowników oraz traktowanie grupy jak jednego administratora.

Z naszego doświadczenia wynika, że większość grup kapitałowych popełnia podobne błędy. Poznaj top 5 z nich:

  1. „To przecież nasza grupa” mindset – największy grzech pierworodny. Założenie, że skoro to Twoje spółki, to dane mogą swobodnie krążyć. UODO tego nie kupuje.
  2. Brak jakiejkolwiek dokumentacji uzasadniającej przekazywanie danych osobowych pomiędzy członkami grupy – transfery odbywają się na zasadzie „jak zawsze było”. Podczas kontroli nie masz jak udowodnić legalności działań.
  3. Uniwersalne dostępy – księgowa ma dostęp do systemów wszystkich spółek, bo „tak wygodniej”. To naruszenie zasady minimalizacji.
  4. Ignorowanie praw osób – klient chce usunięcia danych, ale nikt nie wie, w ilu spółkach one są i jak je skutecznie usunąć.
  5. Brak przeszkolenia zespołu – pracownicy nie wiedzą, że wysyłając excela z danymi klientów do kolegi z siostrzanej spółki, naruszają RODO.

Jak uniknąć tych błędów? Zacznij od podstaw: udokumentuj obecny stan, wprowadź proste procedury, przeszkol kluczowe osoby. Nie musisz robić rewolucji – ewolucja krok po kroku da lepsze efekty.

Co grozi za nieprawidłowe przetwarzanie danych osobowych w grupie kapitałowej?

💡 Konsekwencje obejmują kary UODO do 20 mln euro, odpowiedzialność cywilną wobec osób poszkodowanych, utratę zaufania biznesowego oraz paraliż operacyjny.

Kary finansowe to tylko wierzchołek góry lodowej. Owszem, UODO może nałożyć karę do 20 mln euro lub 4% rocznego światowego obrotu – w zależności co jest wyższe. Ale często bardziej bolesne są konsekwencje biznesowe.

Realne zagrożenia, z którymi spotkały się firmy:

  • wstrzymanie kluczowych procesów biznesowych do czasu uporządkowania tworzących grupę przedsiębiorstw,
  • konieczność renegocjacji umów z klientami enterprise,
  • utrata certyfikatów i możliwości startowania w przetargach,
  • roszczenia pracowników o naruszenie ich prywatności na gruncie RODO,
  • kryzys wizerunkowy po wycieku informacji o karze.

Perspektywa pozytywna: Dobrze zorganizowany przepływ danych to nie tylko uniknięcie kar – to realna przewaga konkurencyjna. Duzi klienci coraz częściej weryfikują compliance swoich dostawców. Porządek w grupie kapitałowej to atut w negocjacjach. Dobrze zorganizowane przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa od niego zależne działające w spójny sposób to potężny kapitał.

Najczęściej zadawane pytania (FAQ)

Czy mogę mieć wspólny CRM dla wszystkich spółek w grupie?

Tak, ale każda spółka musi mieć dostęp tylko do danych, które są jej potrzebne. Wymagana jest umowa powierzenia lub współadministrowania oraz jasne określenie, kto i do jakich danych ma dostęp.

Czy księgowa może mieć dostęp do danych wszystkich spółek?

Tylko jeśli jest to uzasadnione zakresem jej obowiązków i istnieje odpowiednia podstawa prawna. Najlepiej zatrudnić ją w spółce świadczącej usługi dla grupy i podpisać umowy powierzenia z pozostałymi podmiotami. W ten sposób przetwarzanie danych osobowych w przedsiębiorstwach będzie zgodne z wymogami RODO (i zapewni wdrożenie przepisów o ochronie danych globalnie). 

Jak długo trwa wdrożenie procedur RODO w grupie kapitałowej?

Podstawowe procedury można wdrożyć w 2-4 tygodnie. Pełne uporządkowanie przepływów, podpisanie wszystkich umów i przeszkolenie zespołu zajmuje zwykle 2-3 miesiące.

Czy muszę informować klientów o przekazywaniu danych między spółkami?

Tak, zasada transparentności wymaga poinformowania osób, których dane dotyczą. Informacja powinna znaleźć się w klauzuli informacyjnej lub polityce prywatności.

Czy mogę mieć jednego IOD (inspektora ochrony danych) dla całej grupy?

Tak, ale inspektor ochrony danych musi być formalnie powołany w każdej spółce osobno. Może to być ta sama osoba lub firma zewnętrzna, ale wymaga odrębnych umów/powołań. To dodatkowo usankcjonuje przetwarzanie danych osobowych pomiędzy podmiotami (i zapewni przygotowanie dokumentacji np. wyjaśniającej uzasadniony interes w przesyłaniu danych pomiędzy spółkami).

Podsumowanie – najważniejsze kroki do wdrożenia

Uporządkowanie przepływu danych w grupie kapitałowej nie musi być rewolucją. Oto Twoja lista kontrolna:

  1. Zmapuj obecne przepływy – dowiedz się, jakie dane wędrują między spółkami, zmapuj dane osobowe pochodzące z poszczególnych spółek, zakres pozyskanych od nich danych.
  2. Określ podstawy prawne – dla każdego transferu znajdź właściwą podstawę z RODO (może któraś ze spółek jest jedynie podmiotem przetwarzającym dane?).
  3. Wybierz model współpracy – powierzenie lub współadministrowanie.
  4. Przygotuj dokumentację – umowy, polityki, procedury, podejmij decyzję w sprawie ewentualnego wspólnego inspektora ochrony danych.
  5. Ogranicz dostępy – tylko niezbędne osoby do niezbędnych danych, jak wskazują przepisy RODO.
  6. Przeszkol zespół wchodzący w skład grupy przedsiębiorstw – świadomość to połowa sukcesu.
  7. Wdrażaj stopniowo – zacznij od najbardziej krytycznych obszarów w ramach grupy przedsiębiorstw (na pierwszy rzut najczęściej pójdzie przedsiębiorstwo kontrolujące przetwarzanie danych osobowych, koordynujące procesy wymiany danych osobowych).
  8. Regularnie przeglądaj procesy przetwarzania danych osobowych w przedsiębiorstwach powiązanych – Twój biznes się zmienia, procedury też powinny (nawet jeśli np. nadal macie tylko jednego inspektora ochrony danych).

Pamiętaj: cel to nie perfekcyjna dokumentacja, ale realnie działający system ochrony danych osobowych w przedsiębiorstwach powiążanych, który wspiera Twój biznes, a nie go blokuje. I dotyczy to wszystkich spółek wchodzących w skład grupy.

Szukasz kompleksowego wsparcia? Zapytaj o nasz audyt przepływu danych w grupie kapitałowej. Zmapujemy przepływy, wskażemy ryzyka i przygotujemy plan działania dopasowany do Twojej organizacji. Kliknij i umów się na bezpłatną konsultację.

Bibliografia:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)
  • Wytyczne EROD dotyczące pojęcia administratora i podmiotu przetwarzającego
  • Komunikat Urzędu Ochrony Danych Osobowych w sprawie stosowania RODO w grupach kapitałowych (przetwarzania danych osobowych w ramach grupy przedsiębiorstw).

Image by Mario Aranda from Pixabay

Picture of Arkadiusz Szczudło

Arkadiusz Szczudło

Jestem adwokatem i CEO w kancelarii Creativa Legal, mentorem i twórcą internetowym. Specjalizuję się w bezproblemowej obsłudze prawnej klientów z sektora technologicznego m.in. startupy, SaaS, spółki technologiczne, agencje marketingowe, czy e-commerce B2C/B2B. Jako prawnik, jak i przedsiębiorca, koncentruję się na wyznaczonym celu, starając się przewidzieć potencjalne zagrożenia w jego osiągnięciu. To z kolei sprawia, że trudno jest mnie zaskoczyć – a co za tym idzie – moich klientów. Poznaj autora.

Newsletter, który pomoże Ci się rozwijać!

Dołącz do społeczności właścicieli, kadry zarządzającej i managerskiej w firmach takich jak Twoja!

Zaufało nam już ponad 7000 osób :)

Raz w miesiącu otrzymasz od nas wiadomość edukacyjną w ramach Twojej branży, case study prawne i biznesowe, czy masę innych wartościowych informacji. 

Po zapisaniu się odbierz od nas maila z potwierdzeniem. W razie problemów, napisz do nas. Sprawdź folder spam/oferty.

Aktywując przycisk pod formularzem, akceptujesz nasz Regulamin (w zakresie dotyczącym Newslettera) oraz wyrażasz zgodę na otrzymywanie treści edukacyjnych, informacji o produktach i usługach kancelarii Creativa Legal Korol Szczudło adwokaci sp.p., np. o nowych artykułach, kursach on-line, czy zniżkach. Zapoznaj się z naszą Polityką prywatności.

Przeczytaj także inne artykuły

Body leasing IT - czym jest i jak uregulować? Poradnik prawnika
Body leasing IT - czym jest i jak uregulować? Poradnik prawnika
Rozporządzenie DORA - kompleksowy przewodnik - czym jest i jak zapewnić zgodność z DORA?
Rozporządzenie DORA - kompleksowy przewodnik - czym jest i jak zapewnić zgodność z DORA?
RODO dla SaaS - Kompletny przewodnik wdrożenia w 2025 roku
RODO dla SaaS - Kompletny przewodnik wdrożenia w 2025 roku

Skonsultuj rozwiązania prawne dla Twojego biznesu

Uzupełnij formularz, a my skontaktujemy się z Tobą i przedstawimy rozwiązania dopasowane do Twojej konkretnej sytuacji – lub napisz do nas na office@creativa.legal

Skontaktuj się z nami, jeśli:

  • szukasz rozwiązania swojego problemu,
  • chcesz poznać sposoby na zabezpieczenie swojego biznesu,
  • chcesz wiedzieć, jak przebiega współpraca z nami,
  • chcesz poznać terminy i koszty,
  • chcesz nas sprawdzić i poczuć, czy będziemy się dogadywać i mamy wspólną energię 🙂

Skontaktujemy się z Tobą w ciągu 24h w celu ustalenia Twoich potrzeb i kolejnych kroków.

Arkadiusz Szczudło

Adwokat, CEO w kancelarii Creativa Legal

Sprawdź nas podczas bezpłatnej konsultacji

Przed wysłaniem wiadomości zapoznaj się z naszą Polityką prywatności.

CREATIVA LEGAL Szczudło spółka komandytowa (dawniej – CREATIVA LEGAL Korol Szczudło adwokaci spółka partnerska)
ul. Zajęcza 15, 00-351 Warszawa
KRS 0001149210, NIP 5252890409, REGON 520855199

Główne informacje

Komu pomagamy

Baza wiedzy