W ramach Grant Thornton International Ltd (GTIL) funkcjonują firmy członkowskie, które działają pod skrzydłami międzynarodowej firmy Grant Thornton i świadczą usługi biegłych rewidentów, podatkowe, doradcze czy konsultingowe dla swoich klientów. Organizacje członkowskie są obecne w ponad 130 krajach i zatrudniają ok 58 000 pracowników.

GTIL jest międzynarodowym podmiotem patronackim zorganizowanym jako prywatna spółka z ograniczoną odpowiedzialnością zarejestrowana w Anglii i Walii. GTIL nie świadczy usług we własnym imieniu ani nie świadczy usług w ogóle. Każda firma członkowska jest odrębnym podmiotem prawnym, który świadczy usługi i ponosi odpowiedzialność za swoje działania i zaniechania.

Z perspektywy ochrony danych osobowych oznacza to, że może dochodzić do udostępnienia i powierzenia danych między organizacjami członkowskimi, a także między organizacją członkowską a Grant Thornton International. Każde udostępnienie, powierzenie, transfer danych jest analizowany pod kątem legalności zarówno w zakresie przepisów krajowych właściwych danej organizacji członkowskiej, jak i przepisów międzynarodowych.

Polskie organizacje członkowskie, które świadczą usługi pod nazwą Grant Thornton to:

  • Grant Thornton Polska P.S.A.
  • Grant Thornton Frąckowiak P.S.A.
  • Grant Thornton Legal Maślanko sp. K

Pod parasolem marki Grant Thornton w Polsce działają jeszcze:

  • Edisonda sp. z o.o. sp. k. – świadcząca usługi transformacji cyfrowej
  • Immusec sp. z o.o. – świadcząca usługi w zakresie cyberbezpieczeństwa

W zakresie transferu danych poza Europejski Obszar Gospodarczy, czyli do podmiotów z grupy GTIL, transfer danych dotyczy udostępnienia ich między niezależnymi administratorami danych osobowych (najczęściej w przypadku wymiany danych pracowników organizacji w związku z bieżącą komunikacją).

Dotyczy również powierzenia podmiotom przetwarzającym i podprzetwarzającym, na mocy zawartych umów powierzenia z zawarciem standardowych klauzul umownych, które gwarantują bezpieczeństwo transferu zgodnie z Decyzją Wykonawczej Komisji UE 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679.

Dodatkowo transfer danych do kraju trzeciego podlega systematycznej ocenie pod kątem ryzyka transferu i zapewnienia technicznych środków zabezpieczających transfer.

W przypadku polskich spółek również dochodzi zarówno do udostępnienia, jak i do powierzenia danych osobowych.

Udostępnienie może odbywać się na podstawie wewnętrznych celów administracyjnych, na zgodzie pozyskiwanej od podmiotu danych na takie udostępnienie oraz na podstawie przepisów prawa (np. ustawa o biegłych rewidentach). Zgodnie bowiem z motywem 48 RODO, administratorzy, którzy są częścią grupy przedsiębiorstw lub instytucji powiązanych z podmiotem centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników. Za „cele administracyjne” uważa się np. sprawozdawczość wewnątrz grupy.

W kontekście danych osobowych pracowników Prezes UODO wskazuje, że wewnętrzne cele administracyjne mogą dotyczyć głównie czynności związanych ze stosunkiem pracy (delegowanie, rekrutacja, statystyki). Przyjmuje się, że poprzez cele administracyjne należy rozumieć wszelkie czynności bezpośrednio związane ze stosunkiem pracy, np. przekazanie pracownika do innego miejsca, w tym delegowanie go na jakiś czas do pracy w innej spółce w ramach grupy, działania związane z rozwojem pracownika – organizacja szkoleń, zatwierdzania wysokości wynagrodzenia, czy też prowadzenia statystyk dotyczących zatrudnienia w grupie, jak również rekrutację pracowników. Ograniczeniem są zawsze sytuacje, w których nadrzędny charakter wobec prawnie uzasadnionego interesu pracodawcy mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.

Spółki świadczą wobec siebie wzajemnie usługi polegające między innymi na:

  • podnajmie powierzchni biurowych i utrzymania biura;
  • wsparciu prawnym i compliance w tym w zakresie ochrony danych osobowych;
  • prowadzeniu rekrutacji i zatrudnienia i płac;
  • przeglądzie i badaniu sprawozdań finansowych;
  • wsparciu marketingowym związanym z promocją podmiotów Grant Thornton;
  • świadczeniu najmu sprzętu;
  • świadczeniu usług z zakresu IT.

Oznacza to, że dane naszych klientów i/lub pracowników mogą być przekazywane (powierzane lub udostępniane) pomiędzy ww. spółkami w celu obsługi umów na świadczenie ww. usług.

Transparentnie informujemy o podstawach przetwarzania danych osobowych w naszych klauzulach informacyjnych. Ponadto zawsze możesz zwrócić się bezpośrednio do naszego Inspektora Ochrony Danych mailowo: iod@gt.pl.com z pytaniem o to w jakim zakresie przetwarzamy i udostępniamy lub powierzamy Twoje dane osobowe.

Skontaktuj się

Marcin Troszak

Inspektor ochrony danych (IOD)