Według Urzędu Ochrony Danych Osobowych dane reprezentantów osoby prawnej wpisane w umowie (np. imię, nazwisko i funkcja) stanowią dane osobowe osób fizycznych i należy wobec tych osób spełniać obowiązek informacyjny.
30 czerwca 2020 r. Urząd Ochrony Danych Osobowych (dalej: „UODO”) opublikował swoje stanowisko dotyczące spełniania obowiązków informacyjnych przy zawieraniu umów z osobami prawnymi. W ocenie UODO dane członków zarządu, prokurentów czy pełnomocników osób prawnych nie mieszczą się w kategorii danych kontaktowych osoby prawnej. Do tej pory wielu ekspertów twierdziło, że są to dane kontaktowe osób prawnych i w związku z tym przepisów RODO nie stosuje się (zgodnie z motywem 14 preambuły, rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej).
CZYTAJ TEŻ: Firmy muszą uważać na RODO
W opozycji do tego poglądu stanął jednak prezes UODO twierdząc, że osoby te należy informować o przetwarzaniu ich danych osobowych poprzez przedstawienie tzw. klauzuli informacyjnej. Podstawą takiego przekonania ma być odróżnienie danych osoby prawnej od danych osób ją reprezentujących. W ocenie organu te ostatnie stanowią dane osobowe w rozumieniu RODO, w związku z czym ochronie podlegać będą również np. adresy e-mail zawierające identyfikatory, np. Johnsmith@ikea.sk, ale już nie ogólne adresy e-mail, takie jak ikeacontact@ikea.com (za odpowiedzią Komisji Europejskiej z 21 lutego 2018 r. na pisemne pytanie członka Parlamentu Europejskiego Richarda Sulika).
Dwie klauzule informacyjne
Konsekwencją takiej interpretacji RODO jest częstokroć obowiązek przedstawiania dwóch (różnych) klauzul informacyjnych przedsiębiorcy, z którym zawieramy umowę. Jednej dla osób podpisujących umowę, a drugiej dla osób wskazanych w umowie jako osoby do kontaktu. Można też sobie łatwo wyobrazić sytuację, gdy załącznikiem do umowy jest odpis z KRS spółki, w której ujawniono trzech członków zarządu i dwóch prokurentów, przy czym tylko dwie osoby wystarczą do skutecznego reprezentowania spółki i tylko dwie osoby podpisały umowę. Czy w takiej sytuacji należy pozostałym osobom przedstawić informację o przetwarzaniu ich danych osobowych? Praktyczne problemy pojawią się jednak nie tylko przy podpisywaniu umów, ale również w postępowaniach administracyjnych – także organy publiczne będą musiały informować o przetwarzaniu danych osobowych reprezentantów osoby prawnej.