GoldenLine
Zaloguj się
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: Kazus całkowicie nietypowy - audyt spółki w USA przez...

Wiadomo, że spółki amerykańskie mają udziały w spółkach polskich i często gęsto przeprowadzają w nich różnego rodzaju audyty. Kłopotów z ochroną danych osobowych przy tym co niemiara.

Ja mam jednak kazus odwrotny - mamy polską spółkę A, która jest właścicielem spółki B z siedzibą w USA. Pracownicy spółki amerykańskiej podejrzani są o jakieś machlojki. Dlatego też polski właściciel (A) chce przeprowadzić audyt w amerykańskiej spółce zależnej (B). W tym celu wynajmie amerykańskiego audytora, który ma zbadać e-maile amerykańskich pracowników.

Czy zgodnie z UODO polska spółka stanie się administratorem danych osobowych przetwarzanych w trakcie takiego audytu? Konsekwencje tego będą poważne. Zaznaczam, że w praktyce żadne dane osobowe nie trafią z USA do Polski, nie powinno być przepływów transgranicznych. Amerykański audytor, na zlecenie polskiej spółki, przeprowadzi audyt w spółce amerykańskiej i polskiej spółce przekaże wynik audytu...

Jakieś pomysły?
Link do wypowiedziLink
Krzysztof W.

Krzysztof W. adiunkt, Uniwersytet
Wrocławski

Temat: Kazus całkowicie nietypowy - audyt spółki w USA przez...

Hmmm - z tego co wyczytałem z Pana opisu to jeśli również prezentacja wyniku audytu nie będzie zawierać danych osobowych to takie przetwarzanie nie spełnia dwu przesłanek pozwalających stosować uodo.
Po pierwsze jeśli nie dojdzie do przetwarzania w zbiorach na terenie Polski to raczej nie zastosujemy art. 2.
"Art. 2.1. Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych
oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane
w zbiorach danych.
2. Ustawę stosuje się do przetwarzania danych osobowych:
1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach
ewidencyjnych,
2) w systemach informatycznych, także w przypadku przetwarzania danych
poza zbiorem danych...." - Tu jak rozumiem te zbiory/systemy będą poza granicami RP.
Po drugie biorąc pod uwagę treść art. 3 "2. Ustawę stosuje się również do:
(...) 2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących
osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z
działalnością zarobkową, zawodową lub dla realizacji celów statutowych
- które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej
Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu
środków technicznych znajdujących się na terytorium Rzeczypospolitej
Polskiej." - można twierdzić, iż jego brzmienie sugeruje, że w odniesieniu do podmiotów z p.pkt 2 które podlegają ustawie, (a tym samym mogą być uważane za ABI) o ile "...przetwarzają [one] dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej...".
W opisywanym przypadku mamy zatem właściciela zbiorów (spółkę w usa), które nie znajdują się pod władztwem RP (wszystko co poza granicami nie podlega polskiemu prawu - wiem trochę upraszczam ale nie pora na wykład o personalnym aspekcie obowiązywania norm prawnych) i spółkę w Polsce, która nie przetwarza tych danych w kraju więc:
a) nie stosuje żadnych "środków technicznych na terytorium RP"
b) nie ma danych w swojej kartotece czy systemie.
Co prowadzi do wniosku, że Polska spółka nie stanie się administratorem danych bo ich po prostu nie ma. O ile rzeczywiście nie dojdzie do przepływu danych na żadnym etapie audytu i nic nie trafi do Polski to całość problematyki przetwarzania danych należy dostosować do stosownych przepisów prawa amerykańskiego a nie polskiego.Krzysztof W. edytował(a) ten post dnia 17.09.12 o godzinie 22:44
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Kazus całkowicie nietypowy - audyt spółki w USA przez...

Według mnie kazus nie do końca nie typowy.

Przede wszystkim w tym przypadku pracownicy amerykańskiej spółki A są pracownikami polskiej spółki B. Zgodnie z uodo pracodawca ma prawo przetwarzać dane pracowników i taki zbiór nie podlega zgłoszeniu ale uwaga podlega ochronie zgodnie z uodo. Czyli de fakto polska spółka jest administratorem danych.

Problem polega na tym, że w chwili obecnej USA nie posiada regulacji analogicznych do naszego uodo czy w ogóle do regulacji europejskich w tym zakresie. Nie dotyczy to jedynie danych medycznych objętych HIPAA (Health Insurance Portability and Accountability Act). Pewne regulacje są również w prawach stanowych ale to już zależy od lokalizacji siedziby firmy B.

Natomiast co do audytu. Ponieważ audyt będzie prowadzony przez firmę amerykańską i raport z audytu na pewno nie będzie zawierał danych osobowych więc nie ma tutaj problemu ani z uodo ani przekazaniem danych. Raport przekaże zapewne tylko i wyłącznie dane dotyczące stany bezpieczeństwa systemu.

Widzę jedynie jeden problem. O ile wiem i nie zmieniło się to przez ostatnie kilka lat to zawartość e-maila w USA podlega prawu pocztowemu. W wyniku tego pracodawca nie ma prawa zaglądać do maili pracowników nawet tych służbowych. Informacja jest z pierwszej ręki od kolegów z USA. Dyskutowaliśmy na ten temat z kolegami ze stanów w momencie wdrażania Lotus Notes. O ile u nas rozróżnia się nawet w przepisach prawa maile prywatne i służbowe to w Stanach niezależnie od statusu treść jest jednakowo chroniona.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Kazus całkowicie nietypowy - audyt spółki w USA przez...

W raporcie z audytu mogą pojawić się dane osobowe użytkowników adresów mail, wraz z zarzucanymi czynami. Może to być podstawa do wszczęcia postępowania nawet karnego za nadużycia, bo typuję, że w drobniejszej sprawie nikt nie ryzykowałby odczytywania maili szczególnie w USA.

Także dane osobowe mogą przepłynąć, choć moim zdaniem nie muszą. Konstrukcja raportu może być tak stworzona, aby zawarte były informacje o charakterze informacyjnymi statystycznym, bez wskazywania KTO i CO. Choć domyślam się, że mimo wszystko nie zawsze uda się to ogarnąć - bo mogą być badani również ci z zarządu.

W tym przypadku zbiór danych osobowych może powstać - zależy od konstrukcji raportu. Trochę mało informacji jednak aby tak sobie dywagować.

Swoją drogą, czy raport MUSI ze wszystkimi informacjami trafiać do Polski? Przecież i tak sankcje będą na podstawie amerykańskiego prawa - więc tutaj chyba do oceny działania spółki i jej mechanizmów starczy wylistowanie problemów, bez identyfikowania osób.
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Kazus całkowicie nietypowy - audyt spółki w USA przez...

Panie Grzegorzu,

Co do zawartości raportu z audytu to z definicji nie powinien on zawierać danych osobowych: "audytu jest to ocena, organizacja, system, proces, przedsiębiorstwa, projektu lub produktu".

Oczywiście zgadzam się, że raport może zawierać informacje które można podciągnąć pod dane osobowe w rozumieniu europejskim. Z tym, że są to dane osobowe pracowników więc nie ma tutaj problemu.

Natomiast zgadzam się z Panem, że konkretne dane a przynajmniej w całości nie muszą być przesłane do Polski ponieważ ewentualna sprawa sądowa będzie prowadzona na terenie Stanów Zjednoczonych i na podstawie lokalnego prawodawstwa (federalnego lub stanowego).

Swoją drogą to ciekawy przypadek ponieważ przekazanie danych osobowych do USA podlega przepisom uodo. Natomiast przekazanie danych z USA do obszaru EU tym przepisom chyba nie podlega natomiast samo przetwarzanie tych danych na obszarze EU tak.
Link do wypowiedziLink

konto usunięte

Temat: Kazus całkowicie nietypowy - audyt spółki w USA przez...

A ja tam sobie myślę, że administrator danych to nie jest podmiot posiadający dane, ale decydujący o celach i środkach ich przetwarzania. Więc polska spółka będzie administratorem danych przetwarzanych przez siebie (samodzielnie lub za pomocą podwykonawcy) w trakcie audytu.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Kazus całkowicie nietypowy - audyt spółki w USA przez...

Panie Romanie - w przypadku audytu jako systemowego - zgodzę się. natomiast tutaj mam wrażenie, że celem nie jest ocena systemu jako takiego, a kontrola - co mi pokazuje zdanie w temacie kontroli maili i stwierdzenie o machlojach. ;-)))

Więc system tak, ale domyślam się, że jako, że potencjalne nadużycia- mogą się dane pojawić w celu dalszego postępowania.

Swoją drogą w przypadku protokołu niezgodności, jaki ja wystawiam do działania niezgodne z (polityką, uodo etc) znajdują tam się wskazane osoby, które owo działanie niezgodne podjęły. Nie da się tego uniknąć, bo za tym idzie działanie korekcyjne ale i korygujące, które może być np dodatkowym szkoleniem.
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Kazus całkowicie nietypowy - audyt spółki w USA przez...

Panie Grzegorzu,

Stara prawda teoria to jedno praktyka drugie.

Zgadzam się z Panem, że w naszym kraju raporty z audytów mogą zawierać dane osobowe. Tak jest i trudno to zmienić a i jak sam Pan wspomniał może to wskazać w jakich obszarach po prostu jest potrzebna pomoc (w formie szkolenie lub innej) użytkownikowi. Jednak w przypadku Amerykanów raczej się to nie zdarza. Tak przynajmniej był w przypadku raportów z audytów z którymi miałem do czynienia. Zamiast nazwisk używają nazw stanowisk, funkcji. Wszelkich wskazań imiennych unikają jak ognia. Oczywiście można powiedzieć i tak jest, że da się powiązać stanowisko z nazwiskiem ale na papierze danych nie ma i to jest dla nich istotne.

Sądzę, że w tym przypadku tak jest również. Audyt jest potrzebny po to by wskazać potencjalne zagrożenia. Kolejnym etapem na podstawie audytu będzie prawdopodobnie wewnętrzne dochodzenie prowadzone nie przez audytora lecz lokalny pion ochrony firmy lub zewnętrzną lokalną firmę.

Panie Pawle,

Pozwolę się tutaj z Panem nie zgodzić. Znam sytuację odwrotną (amerykańska spółka właścicielem polskiej) więc przez analogię. Spółka amerykańska powstała na podstawie amerykańskiego prawa. Więc działa w oparciu o to prawo, a właściwie prawa ponieważ mamy tutaj przepisy federalne i stanowe, które mogą się nieco różnić (dokładnie prawo stanowe może zawierać regulacje których brak w federalnym lub być ostrzejsze). Stąd właściciel - czyli spółka polska nie ma pełnej możliwości decydowania o celach i środkach przetwarzania. Ograniczona jest przepisami lokalnymi i może to robić wyłącznie w granicach lokalnych przepisów. Czyli nie ma pełnej władzy nad tymi danymi to znaczy nie może w granicach obowiązującego w Polsce prawa decydować o celach i środkach przetwarzania danych. Przykład chociażby możliwość zaglądania do służbowego maila.

Z autopsji. Koledzy ze Stanów czasami chcieli lub nie coś zrobić. W odpowiedzi otrzymywali od nas informację że nie mogą lub muszą ponieważ takie są przepisy polskiego lub europejskiego prawa.

Oczywiście uodo definiuje to w sposób przez Pana przedstawiony i na terenie EU tak jest. Jeżeli jednak wychodzimy za granicę EU to chyba jednak jest to pewien problem szczególnie jeżeli w danym kraju nie ma przepisów analogicznych do regulacji unijnych w zakresie ochrony danych osobowych. Jeżeli dołożymy do tego różnicę w systemach prawnych to już mamy niezły "pasztet" (w tym przypadku z indyka).
Link do wypowiedziLink
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: Kazus całkowicie nietypowy - audyt spółki w USA przez...

Paweł Litwiński:
A ja tam sobie myślę, że administrator danych to nie jest podmiot posiadający dane, ale decydujący o celach i środkach ich przetwarzania. Więc polska spółka będzie administratorem danych przetwarzanych przez siebie (samodzielnie lub za pomocą podwykonawcy) w trakcie audytu.

Właśnie tego się obawiam. Do uznania polskiej spółki za administratora wcale nie trzeba przetwarzać danych na terenie Polski. Wystarczy siedziba.

I oczywiście pracowników z USA nie sposób uznać za pracowników polskiej spółki. Niby na jakiej podstawie...

Zastanawiam się jeszcze nad podstawą prawną przetwarzania. Tu może być kolejny problem...
Link do wypowiedziLink

konto usunięte

Temat: Kazus całkowicie nietypowy - audyt spółki w USA przez...

Umowa powierzenia? ;-)

Edit: Ok, chyba chodziło jednak o podstawę prawną przetwarzania, a nie przetwarzania przez audytora (początkowo zrozumiałem to opatrznie).
W takim razie na razie nie będę kontynuował wypowiedzi.

Pozdrowienia,

o.

Daniel Wieszczycki:
Paweł Litwiński:
Zastanawiam się jeszcze nad podstawą prawną przetwarzania. Tu może być kolejny problem...Olgierd Kańczugowski edytował(a) ten post dnia 18.09.12 o godzinie 10:59
Link do wypowiedziLink
Krzysztof W.

Krzysztof W. adiunkt, Uniwersytet
Wrocławski

Temat: Kazus całkowicie nietypowy - audyt spółki w USA przez...

Panowie Pawle i Danielu - co do zasady zgoda - to administrator o tym decyduje tyle, że jak to się ma do prezentowanego kazusu? Tu mamy do czynienia z niezależną osobą prawną w usa ... Spółka to spółka i tyle - ona (osoba prawna) jest jedynym administratorem danych swoich pracowników, przyczyny dla których owa spółka podejmuje audyt to ich sprawa - spółkę reprezentuje zarząd i to on podejmuje decyzje (to, że zasiadający tam ludzie boją się o swoje stołki bo właściciele maja jakieś uwagi nie ma wpływu na ocenę z punktu widzenia uodo) - przynajmniej w tym wypadku tak to oceniam
a) ktoś zatrudnia audytora w stanach (nie wiem czy s.p. A czy s.p. B prawdopodobnie zrobi to jednak formalnie s.p. B za zgodą czy wskazaniem osoby przez A ) niemniej to s.p. B pozwala na przeprowadzenie audytu na swoim terenie.
b) to s.p. B zdecyduje kto i za co odpowie na podstawie danych z audytu.
c) gdyby do tego podejśc inaczej to wszystkie s.p. polskie których włascicielami są s.p. zagraniczne nagle przestały by być administratorami danych a na to się raczej nie zanosi ...
Wszystko to oczywiście pod warunkiem braku danych osobowych przesyłanych do Polski.
Co do warunku siedziby bez konieczności przetwarzania w Polsce jest kilka problemów - wskazać można choćby taki: jak ma postąpić taki "polski administrator" jeśli przepisy kraju, w którym rzeczywiście przetwarza dane stoją w sprzecznosci z naszymi i czy GIODO może mu nakazać dostosowanie przetwarzania do prawa polskiego ;)). Nie popadajmy w paranoję w USA obowiązują zasady prawa USA a nie polskiego - i jeśli polski podmiot nie ma fizycznie danych w naszym kraju to fakt że wpływa on na decyzja co do konieczności podjęcia działań w tamtym kraju nie czyni zeń administratora danych tamtego podmiotu. Krzysztof W. edytował(a) ten post dnia 18.09.12 o godzinie 11:32
Link do wypowiedziLink
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: Kazus całkowicie nietypowy - audyt spółki w USA przez...

Krzysztof W.:
Panowie Pawle i Danielu - co do zasady zgoda - to administrator o tym decyduje tyle, że jak to się ma do prezentowanego kazusu? Tu mamy do czynienia z niezależną osobą prawną w usa ... Spółka to spółka i tyle - ona (osoba prawna) jest jedynym administratorem danych swoich pracowników, przyczyny dla których owa spółka podejmuje audyt to ich sprawa - spółkę reprezentuje zarząd i to on podejmuje decyzje (to, że zasiadający tam ludzie boją się o swoje stołki bo właściciele maja jakieś uwagi nie ma wpływu na ocenę z punktu widzenia uodo) - przynajmniej w tym wypadku tak to oceniam
a) ktoś zatrudnia audytora w stanach (nie wiem czy s.p. A czy s.p. B prawdopodobnie zrobi to jednak formalnie s.p. B za zgodą czy wskazaniem osoby przez A ) niemniej to s.p. B pozwala na przeprowadzenie audytu na swoim terenie.
b) to s.p. B zdecyduje kto i za co odpowie na podstawie danych z audytu.
c) gdyby do tego podejśc inaczej to wszystkie s.p. polskie których włascicielami są s.p. zagraniczne nagle przestały by być administratorami danych a na to się raczej nie zanosi ...
Wszystko to oczywiście pod warunkiem braku danych osobowych przesyłanych do Polski

Och, gdyby to było tak proste, to nie pisałbym na forum :)
Audytora zatrudnia spółka polska.
Audyt przeprowadzany jest na żądanie polskiej spółki w ramach nadzoru właścicielskiego.
Zarząd spółki amerykańskiej nie ma nic do gadania, dzieje się to jakby poza nim - dostanie od właściciela ścisłe instrukcje jak postępować, komu i jakie dane ma udostępnić. Taka jest praktyka.
Odbiega ona od prawa. Prawo mówi, ze administratorem jest spółka z USA, a w rzeczywistości to jednak polska spółka zadecyduje w praktyce, co ma się stać z danymi i komu je udostępnić.
Nie popadajmy w paranoję w USA obowiązują zasady prawa USA a nie polskiego - i jeśli polski podmiot nie ma fizycznie danych w naszym kraju to fakt że wpływa on na decyzja co do konieczności podjęcia działań w tamtym kraju nie czyni zeń administratora danych tamtego podmiotu.

Ja stawiam się zawsze na pozycji adwokata diabła i przed rozwiązaniem jakiegoś zagadnienia staram się rozpatrzyć wszystkie negatywne scenariusze i podejść do sprawy od strony ewentualnego przeciwnika. I tu mi niestety wychodzi więcej argumentów za uznaniem polskiej spółki za administratora. Sprzeciwia się temu tylko zdrowy rozsądek...
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Kazus całkowicie nietypowy - audyt spółki w USA przez...

Panie Danielu,

Mam takie samo podejście jak Pan. Lepiej dwa razy sprawdzić i przewidzieć wszelkie przypadki również te najmniej korzystne niż raz się sparzyć.

Spróbujmy przeanalizować problem po kolei.

Najpierw struktura własności. Polska spółka A jest wyłącznym właścicielem amerykańskiej spółki B.
Czyli w sposób pośredni pracownicy spółki B są pracownikami spółki A. Brzmi to paradoksalnie a jednak tak jest we wszystkich holdingach i firmach międzynarodowych. Umowy z pracownikami spółki B podpisuje pełnomocnik wyznaczony przez spółkę A, która jest właścicielem spółki B. Czyli de fakto umowa jest podpisana między pracownikiem spółki B a spółką A. Spółka B jest tutaj jedynie pośrednikiem wprowadzonym z powodu regulacji prawnych.

Niezależnie od kraju pracodawca ma prawo przetwarzać dane pracownika w określonym w danym kraju zakresie. Czyli spółka A jako w sposób pośredni pracodawca pracownika spółki B ma prawo przetwarzać jego dane w zakresie wymaganym i dopuszczalnym w kraju siedzibie spółki B.

Jeżeli chodzi o podejście od strony danych osobowych to spółka A będzie administratorem danych osobowych swoich pracowników również tych zatrudnionych w spółce B. Spółka B będzie również administratorem danych ale jedynie pracowników spółki B. Natomiast zakres przetwarzania tych danych musi być adekwatny do miejsca zatrudnienia pracownika. Będzie on inny w Polsce i USA.

Podsumowując zbiór danych przetwarzany przez spółkę amerykańską będzie podzbiorem zbioru przetwarzanego przez spółkę Polską. Oczywiście spółka Polska nie musi przetwarzać wszystkich danych przetwarzanych przez spółkę amerykańską.

Co do audytu to właściciel ma takie prawo i nikt mu nie może tego zabronić. Jest tylko problem co do definicji audyt i zawartości raportu. Osobiście uważam, że raport z audytu powinien wskazać właścicielowi czyli spółce polskiej czy nastąpiło naruszenie systemu bezpieczeństwa, gdzie i w jakim zakresie. Jeżeli tak to powinien powstać drugi dokument na potrzeby właściciela spółki amerykańskiej czyli spółki polskiej mówiący kto personalnie tego dokonał. Wystarczy tutaj podanie jedynie stanowiska, imienia i nazwiska.

Podsumowując cały proces przetwarzania danych odbywa się w spółce B na podstawie lokalnego prawodawstwa. Spółka A de fakto w czasie audytu nie przetwarza danych. Ona jedynie otrzymuje wynik audytu i informację kto złamał prawo lub wewnętrzne regulacje firmy i podejmuje decyzję co z tym zrobić. Szczególnie jeżeli nastąpiło to na poziomie kierownictwa spółki B, za jego wiedzą lub przyzwoleniem.
Link do wypowiedziLink
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: Kazus całkowicie nietypowy - audyt spółki w USA przez...

Roman Janas:
Najpierw struktura własności. Polska spółka A jest wyłącznym właścicielem amerykańskiej spółki B.
Czyli w sposób pośredni pracownicy spółki B są pracownikami spółki A. Brzmi to paradoksalnie a jednak tak jest we wszystkich holdingach i firmach międzynarodowych. Umowy z pracownikami spółki B podpisuje pełnomocnik wyznaczony przez spółkę A, która jest właścicielem spółki B.

Umowy o prace podpisuje amerykański zarząd spółki B. Zapewne powołany przez spółkę A, ale funkcjonujący de facto odrębnie.

Czyli de fakto umowa jest
podpisana między pracownikiem spółki B a spółką A. Spółka B jest tutaj jedynie pośrednikiem wprowadzonym z powodu regulacji prawnych.

No niestety, nie wyobrażam sobie tego, żeby to spółka polska A była pracodawcą amerykańskich pracowników. Nie przemawia do mnie ta koncepcja. Amerykańscy pracownicy są pracownikami amerykańskiej spółki. Przecież w odwrotnej sytuacji, jeżeli spółka amerykańska ma swoja spółkę córkę w Polsce, to polscy pracownicy nie są zatrudnieni przez amerykańską spółkę matkę. Owszem, pewnie może mieć ona wpływ na wybór kandydatów na kluczowe stanowiska, ale pracodawca będzie spółka polska.
Niezależnie od kraju pracodawca ma prawo przetwarzać dane pracownika w określonym w danym kraju zakresie. Czyli spółka A jako w sposób pośredni pracodawca pracownika spółki B ma prawo przetwarzać jego dane w zakresie wymaganym i dopuszczalnym w kraju siedzibie spółki B.

No i tu własnie się mi Pana koncepcja rozpada - mimo, że bardzo bym chciał z niej skorzystać :)
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Kazus całkowicie nietypowy - audyt spółki w USA przez...

Panie Danielu,

Dziękuję za uznanie ale to nie moja koncepcja lecz stan faktyczny w niejednej polskiej firmie której właścicielem jest firma amerykańska. I proszę mi wierzyć zarówno amerykanie jak i koledzy z Europy Zachodniej nie mają tutaj z tym problemu.

Jeżeli chodzi o zatrudnienie to o ile wiem cały problem wynika z tego, że poza UE, w której można powołać rezydenturę istnieje konieczność powołania lokalnego podmiotu gospodarczego jeżeli chce się by między innymi pracownicy otrzymywali świadczenia zgodnie z lokalnym prawodawstwem. Prosty przykład jeżeli świadczy Pan pracę na rzecz pracodawcy amerykańskiego w oparciu o umowę zawartą w Stanach to chcąc się leczyć w Polsce gdzie Pan wykonuje pracę musi Pan za wszystko płacić z własnej kieszeni. Równocześnie jeżeli ten sam pracodawca powoła do życia polską spółkę i zawrze z Panem umowę na tą samą prace z tym podmiotem to koszty leczenia (przynajmniej w teorii) pokrywa ZUS.

Oczywiście przyczyn i powodów jest więcej ale to inny wątek.

Poza tym proszę zauważyć że w firmach międzynarodowych, szczególnie w związku z powszechną globalizacją podmioty powiązane są po prostu zmuszone do wzajemnego przetwarzania danych swoich pracowników. Oczywiście europejskie przepisy o ochronie danych osobowych spowodowały konieczność uregulowania wielu kwestii i nieco to utrudniła ale niezależnie od tego zawsze i wszędzie pracodawca ma prawo przetwarzać dane osobowe pracowników. Problemem jest wyłącznie zakres tego przetwarzania różny w różnych krajach a nawet w EU. A w Pana przypadku czy ktoś w Stanach chce czy nie to pracodawcą jest właściciel firmy a nie firma sama w sobie, czyli firma Polska.

Oczywiście nie odmawiam Panu własnego punktu widzenia. Przede wszystkim dlatego, że ewentualne konsekwencje decyzji podjętej w oparciu Pańską opinię poniesie Pan a nie ja.

W każdym razie niezależnie od ostatecznej decyzji będę wdzięczny za informację o efektach ponieważ sprawa z punktu widzenia ochrony danych osobowych jest ciekawa a przypadek rzadki.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Kazus całkowicie nietypowy - audyt spółki w USA przez...

Mi się wydaje, że pracodawcą jest ten, z kim zawiera się umowę o pracę, a nie ten, kto jest właścicielem czy udziałowcem spółki, w której osoba jest zatrudniana. I podobnie jest z danymi osobowymi. Jeden podmiot może być właścicielem bądź udziałowcem innego podmiotu, ale to nie czyni go administratorem danych, które ten podmiot przetwarza.
Link do wypowiedziLink
Krzysztof W.

Krzysztof W. adiunkt, Uniwersytet
Wrocławski

Temat: Kazus całkowicie nietypowy - audyt spółki w USA przez...

Panie Danielu z tego co Pan napisał wynika, że to jednak nie jest takie skomplikowane ...
Po pierwsze nieprawdą jest aby była jakakolwiek możliwość uznania, iż z spółce mającej osobowość prawną pracodawcą w stosunku do wszystkich (być może z pewnymi odstępstwami odnoście człoków zarządu - nie znam zasad panujących w tym konkretnym stanie) pracowników jest ktokolwiek inny niż sama spółka - nie jest przy tym istotne: kto czy co decyduje o zatrudnieniu, ani jakimi się kieruje przesłankami, bez znaczenia jest również kto w imieniu spółki zawiera taką umowę - byle był stosownie do obowiązującego lokalnie prawa umocowany do dokonania tej czynności.
Po drugie ze stwierdzenia "Audyt przeprowadzany jest na żądanie polskiej spółki w ramach nadzoru właścicielskiego. Zarząd spółki amerykańskiej nie ma nic do gadania, dzieje się to jakby poza nim - dostanie od właściciela ścisłe instrukcje jak postępować, komu i jakie dane ma udostępnić. Taka jest praktyka." wnoszę, że formalnie jednak to spółka amerykańska podejmuje decyzje czy, co i komu udostępnić (to, że de facto stoją pod ścianą i nie mają nic do powiedzenia nie ma wpływu na ocenę sprawy z punktu widzenia prawa) nawet jesli trzymają się ścisłej instrukcji (jak wpominałem nie są istotne przesłanki decyzji jakie podejmuję zarząd). Poza tym zawsze mogą powiedzieć, że nic nie dadzą i audyt będzie możliwy dopiero po zmianie zarządu ;)). Są pewne procedury, które obowiązują w takich podmiotach jak spółki i trzeba ich przestzegać ... nawet jak dochodzi do wrogiego przejęcia firmy to zanim nowy właściciel podejmie jakieś konkretne działania trzeba odwłoać zarząd i powołać nowy. Taki już urok osób prawnych, że ich byt przejawia się w realizowanych procedurach i działaniach organów a nie konkretnych ludzi (nawet właściciele muszą tych zasad przestrzegać).
Po trzecie moje wypowiedzi opierałem na założeniu, że konkretne dane osobowe do Polski nie trafią, a będą tu tylko przesyłane informacje bezosobowe, nawet w raportach - jeśli się jednak takowe pojawią to oczywiście mamy żabę do zjedzenia... Wówczas, biorąc pod uwagę opisany przez Pana stopień ręcznego sterowania procedurą adytu rzeczywiście rodzą się wątpliwości co do tego czy spółka polska nie może zostać uznana za administratora tych danych .... Proszę więc o odpowiedź co konkretnie trafi do Polski - pojawią się tu dane osobowe czy nie.Krzysztof W. edytował(a) ten post dnia 23.09.12 o godzinie 21:25
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Kazus całkowicie nietypowy - audyt spółki w USA przez...

Panie Leszku,

W kwestii pracodawcy proponuję zapoznanie się z wyrokiem SN z 22.08.2003 r. IPK 284/02.

Zgodzę się z Panem w kwestii administrowania danymi osobowymi przetwarzanymi przez dany podmiot. Ale nie jest tak do końca w przypadku danych osobowych pracowników. Proszę zauważyć, że w tym przypadku w sposób nie jawny i pośredni właściciel czy współwłaściciel może stać się administratorem danych osobowych pracowników.

Chciałbym jednak podkreślić jeszcze raz że dotyczy to tylko i wyłącznie zbioru danych pracowników i to w ograniczonym zakresie.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Kazus całkowicie nietypowy - audyt spółki w USA przez...

Roman Janas:
W kwestii pracodawcy proponuję zapoznanie się z wyrokiem SN z 22.08.2003 r. IPK 284/02.

W wyroku jest: Pracodawcą (art. 3 k.p.) jest przedsiębiorca, który jako osoba fizyczna prowadzi działalność na podstawie wpisu do ewidencji działalności gospodarczej, nie zaś prowadzone przez niego przedsiębiorstwo jako zorganizowany zespół składników materialnych i niematerialnych przeznaczonych do prowa dzenia działalności gospodarczej (art. 551 k.c.). a dalej można przeczytać niewątpliwie pracodawcą powódki był Paweł C. właściciel Przedsiębiorstwa Handlowo-Usługowego R. w R., nie zaś samo to przedsiębiorstwo jako pozbawione podmiotowości i zdolności prawnej.

Nie znajduję tutaj związku z kwestią grup kapitałowych w świetle ustawy o ochronie danych osobowych czyli kto jest (i kto może być ;) administratorem danych osobowych pracownika gdy właścicielem lub głównym udziałowcem spółki jest inna spółka.
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Kazus całkowicie nietypowy - audyt spółki w USA przez...

Panie Leszku,

Zgadza się.

Natomiast w przypadku gdy właścicielem jest spółka można domniemywać, że administratorem są właściciel / właściciele tej spółki. Niestety nie znalazłem orzecznictwa w tej sprawie. Ale moim zdaniem jest to logiczne.

Jak Pan sam widzi uodo wielu kwestii nie rozstrzyga ponieważ rozstrzygają je inne przepisy. W przypadku pracowników na pewno trzeba wziąć pod uwagę prawo pracy i kodeks cywilny.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj