Koncernové zpracování údajů

Většina nadnárodních skupin dnes čelí paradoxu: evropské směrnice vyžadují nové typy reportingu a transparentnosti, zatímco praktické podmínky pro přeshraniční sdílení osobních údajů zaměstnanců zůstávají nejasné. Pokud se připravujete na plnění požadavků CSRD, CSDDD nebo směrnice o transparentnosti odměňování, je zásadní vědět, kdy lze osobní údaje zaměstnanců v koncernu sdílet, kdo je za jejich zpracování odpovědný a jak minimalizovat riziko právních postihů.

V současné praxi se často setkáváme s tím, že lokální společnosti poskytují vybrané osobní údaje zaměstnanců mateřské nebo sesterské společnosti za účelem centralizace administrativy. Typicky se jedná o jméno a příjmení, datum narození, pracovní e-mail a telefonní kontakt, případně interní identifikační číslo. Tyto údaje jsou potřebné například pro sestavování konsolidovaných zpráv o udržitelnosti či pro vykazování údajů o odměňování podle pohlaví.

Z právního hlediska je základním vodítkem GDPR, konkrétně jeho definice „skupiny podniků“ a recitály, které připouštějí sdílení osobních údajů v rámci skupiny pro interní administrativní účely. Toto je takzvané „malé koncernové privilegium“. Umožňuje, aby byla určena jedna společnost, která vykonává správu zpracování osobních údajů zaměstnanců celé skupiny, a ostatní společnosti se na tomto procesu podílejí jako společnÍ správci. Jde však o restriktivní institut: privilegium se vztahuje výhradně na interní administrativní účely a nesmí být zneužito pro jiné typy zpracování.

V praxi je možné využít „malé koncernové privilegium“ pouze za splnění několika podmínek. Účelem zpracování musí být vnitro-koncernová personální administrativa, mezi společnostmi musí být jasně stanovena dohoda o zajištění této činnosti jednou určenou společností a musí být vymezeny povinnosti společných správců vůči zaměstnancům včetně poskytování informací o zpracování údajů. Výjimku tvoří jednoduché případy sdílení omezených údajů, jako jsou jméno, pracovní pozice či kontaktní informace v interních seznamech, kde formální dokumentace není nutná.

Novou výzvou se stává situace, kdy je účelem zpracování „společné plnění“ požadavků CSRD, CSDDD nebo směrnice o transparentnosti odměňování. Tyto povinnosti se sice vztahují na všechny podniky se sídlem či provozovnou v EU, ale lokální transpoziční právní úprava často chybí. Přesto je cílem koncernu centralizace shromažďování a vykazování údajů o zaměstnancích jednou určenou společností, aby byla zajištěna konzistence konsolidovaných reportů.

V takovém nastavení je nezbytné, aby centrální zpracování vycházelo z principu společného správcovství. Účel zpracování se definuje jako shromažďování a vykazování údajů pro podávání zpráv a právní základ tvoří plnění povinností správce podle GDPR (čl. 6 odst. 1 písm. c) a případně oprávněný zájem správce podle písm. f)). Každý ze společných správců musí plnit informační povinnosti vůči zaměstnancům a zajišťovat, aby rozsah zpracovaných údajů byl přiměřený a odůvodněný s ohledem na povinnosti vyplývající z evropských směrnic.

Praktickým krokem pro každou skupinu je vypracování „koncernového opatření“ nebo „mezipodnikové dohody“, která stanoví, kdo zajišťuje centrální administrativu, jaké údaje jsou zpracovávány, kdo je společným správcem a jak jsou plněny povinnosti vůči zaměstnancům. Důležitá je konkrétní dokumentace rozsahu údajů – ne postačí obecné formulace. Význam má i definice kategorií osobních údajů, např. zda se zahrnuje jen základní identifikace nebo i citlivější údaje související s odměňováním a diverzitou.

Pro malé a střední podniky, které jsou součástí nadnárodních koncernů, je klíčové: zhodnotit, které údaje lze sdílet v rámci „malého koncernového privilegia“, a kde je nutné zavést společné správcovství s jasně stanoveným účelem a právním základem. Nedodržení principů GDPR může vést k pokutám a poškození důvěry zaměstnanců. Současně dobře nastavené centrální koncernové zpracování umožňuje efektivní plnění povinností vyplývajících z CSRD, CSDDD a směrnice o transparentnosti odměňování a snižuje administrativní náklady lokálních společností.

V praxi to znamená, že každá lokální společnost by měla nejprve vymezit, které údaje jsou skutečně potřebné pro centrální reporting, jaké právní základy se na ně vztahují a jaké dohody mezi společnostmi jsou nezbytné. Na tomto základě lze vytvořit bezpečné, transparentní a efektivní koncernové řešení zpracování osobních údajů, které splňuje nové evropské požadavky, aniž by ohrozilo práva zaměstnanců nebo vystavilo společnost riziku pokut.

Správně nastavené koncernové procesy tak nejsou jen otázkou souladu s právními předpisy, ale představují i nástroj pro konsolidaci dat, zefektivnění personální administrativy a dlouhodobou strategickou přípravu na rostoucí nároky evropské legislativy.