Autor: A. K.
Pytanie dotyczące powierzenia przetwarzania danych osobowych w ramach grupy kapitałowej przy powierzeniu jednej ze spółek z grupy obsługi przyjmowania zgłoszeń wewnętrznych:
Zgodnie z art. 28 ust. 8 ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów „Podmioty prywatne należące do grupy kapitałowej w rozumieniu art. 4 pkt 14 ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz. U. z 2024 r. poz. 594) mogą ustalić wspólną procedurę zgłoszeń wewnętrznych, pod warunkiem zapewnienia zgodności wykonywanych czynności z ustawą.”
Czy w sytuacji, gdy jednej ze spółek z grupy kapitałowej zostanie powierzona na podstawie umowy obsługa przyjmowania zgłoszeń wewnętrznych, potwierdzania przyjęcia zgłoszenia, przekazywania informacji zwrotnej (na wzór umowy, o której mowa w ust. 1 art. 28 ustawy, dotyczącej podmiotu zewnętrznego), wymaga to powierzenia tej spółce przetwarzania danych osobowych pozostałych spółek, zgodnie z postanowieniami art. 28 ust. 3 RODO?
Czy też, w ślad za Poradnikiem PUODO dotyczącym zatrudnienia (pkt 4.2.5 Przekazywanie informacji o pracownikach pomiędzy spółkami grupy przedsiębiorstw) mamy tutaj do czynienia z udostępnianiem danych między administratorami w ramach prawnie uzasadnionego interesu administratorów wchodzących w skład grupy kapitałowej i wówczas można tą relację uregulować w umowie dotyczącej obsługi zgłoszeń wewnętrznych, oczywiście z zastosowaniem rozwiązań technicznych i organizacyjnych zapewniających zgodność z RODO?