Przewiń niżej

KONTROWERSYJNE STANOWISKO PREZESA UODO W SPRAWIE DANYCH CZŁONKÓW ZARZĄDÓW SPÓŁEK

Agata Majewska

Prezes Urzędu Ochrony Danych Osobowych wydał kolejne rodzące szerokie dyskusje stanowisko. Tym razem dotyczy ono zasad przetwarzania danych osobowych m. in. członków zarządów osób prawnych.

Zgodnie ze stanowiskiem polskiego organu nadzoru z 30 czerwca 2020 r.[1] - jeśli w treści dokumentacji dotyczącej postępowań administracyjnych pojawiają się dane osób upoważnionych do reprezentacji określonego podmiotu lub osób uprawnionych do składania oświadczeń w jego imieniu, konieczne jest wypełnienie w stosunku do takich osób obowiązku informacyjnego wynikającego z art. 13 lub 14 RODO, o ile nie zachodzi jedna z przesłanek wyłączających jego realizację.

Oznacza to, że zdaniem Prezesa UODO – osoba prawna (m. in. spółka, stowarzyszenie, fundacja, związek zawodowy) powinna informować o celu, podstawie prawnej, okresie oraz sposobach przetwarzania osób reprezentujących ją, ale także przedstawicieli innej osoby prawnej, których dane przetwarza. Co istotne, przepisy RODO nakazują realizację tego obowiązku w taki sposób, by osoba, której dane dotyczą miała faktyczną możliwość zapoznania się z klauzulą informacyjną.

W praktyce oznacza to, że jeśli np. dwie spółki nawiązują współpracę i podpisują umowę wskazując w niej osoby reprezentujące każdą ze stron, każdy z podmiotów jako administrator danych wskazanych przez drugą stronę musi zrealizować wobec tych osób obowiązek informacyjny.

 

Wobec kogo zdaniem PUODO należy zrealizować obowiązek informacyjny?

Prezes UODO wskazuje, że w wyżej opisanych okolicznościach mamy do czynienia z danymi osobowymi w szczególności następujących grup osób:

  • członków organów (zarządu, rady nadzorczej itp.) będących osobami fizycznymi;
  • pełnomocników;
  • prokurentów;
  • pracowników osób prawnych.

Należy przy tym zaznaczyć, że RODO reguluje jedynie materię informacji dotyczących osób fizycznych. Nie dotyczy zaś przetwarzania danych dotyczących osób prawnych, w szczególności przedsiębiorców, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. 

Prezes UODO uznał więc, że osób reprezentujących osoby prawne, nie można utożsamiać jako tychże osób prawnych, w imieniu których występują ich reprezentanci. Co za tym idzie, o objęciu zakresem regulacji RODO przesądzać powinno każdorazowo spełnienie przesłanki identyfikowalności danej osoby fizycznej. Jeśli chodzi o członków organów spółek – przesłanka ta aktywuje się w szczególności poprze publikację ich danych osobowych w KRS.

Do wyjątków wyłączających realizacją obowiązku informacyjnego należą sytuacje, w których:

  • podmiot danych dysponuje już tymi informacjami;
  • udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku – co stanowi jednak przesłankę wysoce ocenną i wymagającą wykazania tychże okoliczności;
  • pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy podmiotu danych;
  • dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy (art. 14 ust.5 RODO).

 

Kontrowersje wokół stanowiska PUODO

Teza Prezesa UODO budzi szereg wątpliwości co do jej przystawania do obowiązujących przepisów o ochronie danych osobowych.

Już na etapie wdrożenia przepisów RODO spotkać można było opinie, że dane osobowe osób wskazanych do kontaktu ze strony danego podmiotu to de facto „dane kontaktowe osób prawnych”, gdyż żaden z tego typu podmiotów nie może przecież działać samodzielnie. Zasadne więc – zwłaszcza pod kątem funkcjonalnym - wydaje się ujęcie, że przynajmniej jeśli chodzi o osoby powołane do reprezentacji, stanowią one dane kontaktowe osoby prawnej, a tym samym w tym kontekście nie podlegają RODO.

Warto zaznaczyć, że Prezes UODO w swoim stanowisku oparł się na odpowiedzi Komisji Europejskiej 21 lutego 2018 r. na pisemne pytanie członka Parlamentu Europejskiego Richarda Sulika[2] oraz orzecznictwie TSUE[3]. Te jednak odnosiły się do odmiennych niż podejmowane przez niego zagadnień. Dotyczyły mianowicie rozróżnienia danych kontaktowych firm oraz służbowych adresów mailowych zawierających imię i nazwisko osoby fizycznej, co pozwala na jej zidentyfikowanie.

Wreszcie należy zauważyć, że opinia Prezesa UODO rozbiega się również z uzasadnieniem do ustawy z 10 maja 2018 r. o ochronie danych osobowych, gdzie stwierdzono, że: „Pojęcie danych o firmie i formie prawnej oraz danych kontaktowych powinno obejmować dane konieczne do oznaczania osoby prawnej w obrocie gospodarczym, przy czym nie jest możliwym uznanie, że są to wszystkie dane zawarte przykładowo w Krajowym Rejestrze Sądowym”.

 

[1] https://uodo.gov.pl/pl/225/1577#xd_co_f=NWE5ZGNlNDQtNGJkZC00ZWVmLTlhZTEtNDU2OWFmZGEyNDYx~

[2] https://www.europarl.europa.eu/doceo/document/E-8-2017-007174-ASW_EN.html

[3] wyrok Trybunału Sprawiedliwości UE z 9 marca 2017 r. w sprawie C-398/15.

Kategoria: Ochrona danych osobowych

Szukaj
w Strefie Wiedzy

IP Blog Spółki z Górnej Półki Procesowy.pl

 

W celu poprawienia jakości świadczonych usług na naszej stronie wykorzystujemy pliki cookies. To całkowicie bezpieczne dla Ciebie i Twoich danych. Jeśli nie wyrażasz na to zgody, prosimy, zmień ustawienia swojej przeglądarki.

Zamknij