RODO w grupie kapitałowej – jak zarządzać ochroną danych w wielu podmiotach

kwi 8, 2026 | Poradniki o RODO i iGDPR dla praktyków i początkujących

RODO w grupie kapitałowej to jedno z najtrudniejszych wyzwań organizacyjnych w obszarze ochrony danych. Każda spółka w grupie jest odrębnym podmiotem prawnym — a co za tym idzie, co do zasady odrębnym administratorem danych osobowych. Nie można zarządzać RODO centralnie tak, jakby cała grupa była jednym organizmem, ale jednocześnie koszty i nakład pracy związane z obsługą każdej spółki z osobna bywają nie do udźwignięcia.

W praktyce pytania, które najczęściej zadają sobie osoby odpowiedzialne za RODO w strukturach wielopodmiotowych, są następujące:

  • Czy każda spółka musi mieć odrębny rejestr czynności przetwarzania?
  • Kiedy spółki w grupie są wobec siebie administratorami, a kiedy podmiotami przetwarzającymi?
  • Czy można wyznaczyć jednego IOD dla całej grupy?
  • Jak zarządzać dokumentacją RODO w kilku lub kilkunastu podmiotach jednocześnie?

W tym artykule odpowiadamy na te pytania praktycznie.

Każda spółka to odrębny administrator — co to oznacza w praktyce

Podstawowa zasada jest prosta: każda osoba prawna w grupie kapitałowej jest odrębnym administratorem danych osobowych w rozumieniu art. 4 RODO. Oznacza to, że każda spółka samodzielnie decyduje o celach i sposobach przetwarzania danych — i samodzielnie odpowiada za ich zgodność z RODO.

W praktyce oznacza to między innymi:

  • każda spółka prowadzi własny rejestr czynności przetwarzania,
  • każda spółka spełnia odrębne obowiązki informacyjne wobec osób, których dane przetwarza,
  • każda spółka odpowiada za naruszenia ochrony danych we własnym zakresie,
  • kary UODO mogą być nałożone na każdą ze spółek osobno.

Błędem jest zakładanie, że wystarczy jedno wdrożenie RODO na poziomie spółki matki, które „obejmuje” całą grupę. Takie podejście nie spełnia wymogów rozporządzenia.

Przepływy danych wewnątrz grupy — administrator czy podmiot przetwarzający

Jednym z najczęstszych problemów praktycznych w grupach kapitałowych jest określenie, na jakiej podstawie i w jakim charakterze spółki wymieniają między sobą dane osobowe.

Możliwe są trzy scenariusze:

Scenariusz 1 — Spółka A jako podmiot przetwarzający dla spółki B. Jeśli jedna spółka przetwarza dane w imieniu i na polecenie drugiej, działa jako podmiot przetwarzający. Wymaga to zawarcia umowy powierzenia przetwarzania danych zgodnie z art. 28 RODO. Typowy przykład: centrala grupy obsługuje kadrowo i płacowo spółki zależne.

Scenariusz 2 — Współadministrowanie. Jeśli dwie lub więcej spółek wspólnie ustala cele i sposoby przetwarzania tych samych danych, stają się współadministratorami w rozumieniu art. 26 RODO. Wymaga to zawarcia umowy o współadministrowaniu i poinformowania o niej osób, których dane dotyczą. Typowy przykład: wspólna baza klientów grupy, wspólna platforma CRM.

Scenariusz 3 — Odrębne, niezależne przetwarzanie. Jeśli dwie spółki przetwarzają dane niezależnie w różnych celach, każda jest samodzielnym administratorem bez dodatkowych umów między nimi — o ile transfer danych między nimi odbywa się na odpowiedniej podstawie prawnej.

Kluczowe jest, aby dla każdego przepływu danych wewnątrz grupy jasno ustalić, który scenariusz ma zastosowanie, i udokumentować to w rejestrze czynności przetwarzania każdej ze spółek.

Jeden IOD dla całej grupy — czy to możliwe

Tak — RODO wprost dopuszcza wyznaczenie jednego Inspektora Ochrony Danych dla grupy przedsiębiorstw, pod warunkiem że jest on łatwo dostępny dla każdej z jednostek (art. 37 ust. 2 RODO).

W praktyce oznacza to, że IOD może pełnić swoją funkcję centralnie dla całej grupy, ale musi:

  • być dostępny dla pracowników i podmiotów danych we wszystkich spółkach,
  • monitorować zgodność z RODO w każdej ze spółek odrębnie,
  • prowadzić dokumentację uwzględniającą specyfikę poszczególnych podmiotów,
  • być wyznaczony formalnie przez każdą ze spółek zobowiązanych do posiadania IOD.

Wyznaczenie jednego IOD dla grupy nie oznacza, że dokumentacja RODO może być zunifikowana w jednym dokumencie — każda spółka nadal wymaga odrębnego rejestru, odrębnych klauzul informacyjnych i odrębnej oceny ryzyka.

Wiążące reguły korporacyjne (BCR) — dla kogo i kiedy

Jeśli grupa kapitałowa działa w kilku państwach i transferuje dane osobowe między podmiotami spoza Europejskiego Obszaru Gospodarczego, jednym z mechanizmów zapewniających legalność tych transferów są wiążące reguły korporacyjne (BCR — Binding Corporate Rules).

BCR to wewnętrzna polityka ochrony danych zatwierdzona przez organ nadzorczy, która obowiązuje wszystkie podmioty w grupie. To rozwiązanie kompleksowe, ale wymagające — proces zatwierdzania przez UODO lub inny organ wiodący jest wieloetapowy i czasochłonny. BCR mają zastosowanie przede wszystkim w dużych, międzynarodowych grupach.

Dla grup działających wyłącznie w EOG transfery wewnętrzne między spółkami nie wymagają BCR — wystarczy prawidłowe określenie podstawy prawnej i odpowiednie umowy między podmiotami.

Jak zarządzać dokumentacją RODO w wielu podmiotach jednocześnie

To największe wyzwanie operacyjne w grupach kapitałowych. Zarządzanie RODO w kilku spółkach przy użyciu arkuszy Excel lub oddzielnych plików dla każdego podmiotu jest nieefektywne, podatne na błędy i trudne do utrzymania w czasie.

Kluczowe obszary, które wymagają skoordynowanego zarządzania:

Rejestry czynności przetwarzania — każda spółka prowadzi własny rejestr, ale wiele czynności przetwarzania ma podobną strukturę (np. obsługa kadr, kontrahenci, monitoring). Standaryzacja szablonów i słowników znacznie przyspiesza pracę.

Umowy powierzenia i współadministrowania — liczba umów rośnie proporcjonalnie do liczby podmiotów i ich wzajemnych relacji. Bez centralnej ewidencji trudno kontrolować terminy ważności i zakres umów.

Upoważnienia do przetwarzania danych — pracownicy różnych spółek mogą mieć dostęp do systemów współdzielonych. Zarządzanie upoważnieniami bez centralnego narzędzia staje się chaosem.

Oceny ryzyka — każda spółka powinna mieć przeprowadzoną analizę ryzyka dla swoich procesów. W grupie kapitałowej wiele procesów jest podobnych — możliwa jest standaryzacja metodyki oceny.

Naruszenia ochrony danych — każda spółka ma odrębny obowiązek zgłaszania naruszeń. Centralny rejestr incydentów pozwala zachować spójność i terminowość.

RODO w grupie kapitałowej a outsourcing IOD

Wiele grup kapitałowych — szczególnie tych, w których spółki zależne są stosunkowo niewielkie — decyduje się na outsourcing funkcji IOD do zewnętrznego podmiotu. Kancelarie prawne, firmy doradcze i wyspecjalizowane podmioty obsługujące RODO mogą pełnić funkcję IOD dla wielu spółek jednocześnie.

W takim modelu podmiot zewnętrzny obsługuje kilka lub kilkanaście administratorów danych równolegle — co stawia przed nim wymóg sprawnego zarządzania dokumentacją wielu podmiotów w jednym miejscu.

Podsumowanie

RODO w grupie kapitałowej wymaga podejścia, które łączy centralną koordynację z poszanowaniem odrębności prawnej każdego podmiotu. Nie ma jednego dokumentu RODO dla całej grupy — ale możliwa i wskazana jest standaryzacja metodyki, szablonów i narzędzi.

Kluczowe zasady:

  • każda spółka jest odrębnym administratorem i prowadzi własny rejestr czynności przetwarzania,
  • przepływy danych wewnątrz grupy wymagają umów powierzenia lub współadministrowania,
  • jeden IOD może obsługiwać całą grupę, ale musi być dostępny dla każdego podmiotu,
  • zarządzanie dokumentacją wielu podmiotów jednocześnie wymaga narzędzia, które obsługuje wielu administratorów w jednym systemie,
  • BCR są opcją dla grup z transferami poza EOG — dla grup europejskich wystarczą prawidłowe umowy.

Zarządzaj RODO w wielu podmiotach jednocześnie — w jednym systemie

iGDPR umożliwia obsługę wielu administratorów danych w jednym miejscu. Każdy podmiot ma własny rejestr, dokumentację i oceny ryzyka — a Ty zarządzasz nimi wszystkimi z jednego panelu. Rozliczenie zależy wyłącznie od liczby administratorów, nie od funkcji. Sprawdź, jak działa w praktyce.

TESTUJ TERAZ — 21 dni bezpłatnie

Filtry

Polecane treści