Trzeba informować członków zarządu o przetwarzaniu ich danych

W ocenie UODO dane członków zarządu, prokurentów czy pełnomocników osób prawnych nie mieszczą się w kategorii danych kontaktowych osoby prawnej. Źródło: Adobe Stock

Według Urzędu Ochrony Danych Osobowych dane reprezentantów osoby prawnej wpisane w umowie (np. imię, nazwisko i funkcja) stanowią dane osobowe osób fizycznych i należy wobec tych osób spełniać obowiązek informacyjny.

30 czerwca 2020 r. Urząd Ochrony Danych Osobowych (dalej: „UODO”) opublikował swoje stanowisko dotyczące spełniania obowiązków informacyjnych przy zawieraniu umów z osobami prawnymi.  W ocenie UODO dane członków zarządu, prokurentów czy pełnomocników osób prawnych nie mieszczą się w kategorii danych kontaktowych osoby prawnej.  Do tej pory wielu ekspertów twierdziło, że są to dane kontaktowe osób prawnych i w związku z tym przepisów RODO nie stosuje się (zgodnie z motywem 14 preambuły, rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej).

CZYTAJ TEŻ: Firmy muszą uważać na RODO

W opozycji do tego poglądu stanął jednak prezes UODO twierdząc, że osoby te należy informować o przetwarzaniu ich danych osobowych poprzez przedstawienie tzw. klauzuli informacyjnej.  Podstawą takiego przekonania ma być odróżnienie danych osoby prawnej od danych osób ją reprezentujących.  W ocenie organu te ostatnie stanowią dane osobowe w rozumieniu RODO, w związku z czym ochronie podlegać będą również np. adresy e-mail zawierające identyfikatory, np. Johnsmith@ikea.sk, ale już nie ogólne adresy e-mail, takie jak ikeacontact@ikea.com (za odpowiedzią  Komisji Europejskiej z 21 lutego 2018 r. na pisemne pytanie członka Parlamentu Europejskiego Richarda Sulika).

Dwie klauzule informacyjne

Konsekwencją takiej interpretacji RODO jest częstokroć obowiązek przedstawiania dwóch (różnych) klauzul informacyjnych przedsiębiorcy, z którym zawieramy umowę. Jednej dla osób podpisujących umowę, a drugiej dla osób wskazanych w umowie jako osoby do kontaktu. Można też sobie łatwo wyobrazić sytuację, gdy załącznikiem do umowy jest odpis z KRS spółki, w której ujawniono trzech członków zarządu i dwóch prokurentów, przy czym tylko dwie osoby wystarczą do skutecznego reprezentowania spółki i tylko dwie osoby podpisały umowę. Czy w takiej sytuacji należy pozostałym osobom przedstawić informację o przetwarzaniu ich danych osobowych?  Praktyczne problemy pojawią się jednak nie tylko przy podpisywaniu umów, ale również w postępowaniach administracyjnych – także organy publiczne będą musiały informować o przetwarzaniu danych osobowych reprezentantów osoby prawnej.

Krytyka stanowiska UODO

Powyższe stanowisko jest dość szeroko krytykowane pośród osób zajmujących się ochroną danych osobowych i istnieje możliwość, że zostanie w przyszłości zmienione. Należy zauważyć, że prezes UODO nie przedstawił żadnych praktycznych wskazówek dotyczących sposobu spełniania takiego obowiązku. Może to prowadzić do kolejnych RODO-absurdów, takich jak np. wymóg złożenia podpisu pod oświadczeniem o zapoznaniu się z informacją o przetwarzaniu danych osobowych.

CZYTAJ TEŻ: Apel o ułatwienie stosowania RODO małym firmom

Krytycy stanowiska UODO powołują się m.in. na uzasadnienie do projektu ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO[1] (Dz.U. 2019 poz. 730), w którym wskazano, że dane osobowe osób fizycznych reprezentujących osoby prawne, w tym ich dane kontaktowe są danymi kontaktowymi osoby prawnej.

Należy jednak zauważyć, że powyższe stanowisko ustawodawcy wyrażono w kontekście zmian do ustawy z 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego, która ma dość wąskie zastosowanie. Wydaje się więc, że interwencja ustawodawcy może okazać się konieczna, np. poprzez zmiany w ustawie o ochronie danych osobowych i wyłączenie danych kontaktowych reprezentantów osób prawnych z rygoru spełniania obowiązku informacyjnego.

[1] Dokładna nazwa: ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

Autorami są Magdalena Patryas, doradca podatkowy oraz Kamil Kozioł, starszy prawnik z Kancelarii Andersen w Polsce. Kancelaria  jest zrzeszona w sieci Kancelarie RP działającej pod patronatem dziennika „Rzeczpospolita”.

Tagi:

Mogą Ci się również spodobać

80 mln zł na innowacje dla MŚP

Polska Agencja Rozwoju Przedsiębiorczości (PARP) prowadzi w tym roku cztery konkursy „Bony na innowacje ...

Tarcza antykryzysowa przyjęta. Ma pomóc firmom

Sejm uchwalił projekt specustawy, która ma być ratunkiem dla pracodawców i pracowników przed skutkami ...

Jarosińska-Jedynak: Chcemy rozszerzyć definicję MŚP

Podejmujemy działania na rzecz rozszerzenia definicji MŚP w kontekście nowej perspektywy finansowej UE – ...

Ruszyła czwarta edycja Programu Handlu Zagranicznego

Przedsiębiorcy z sektora małych i średnich firm, ale też przedstawiciele większych przedsiębiorstw tzw. mid-caps ...

Koronawirus a biznes, pytania i odpowiedzi: pracownik nie chce nosić maseczki, co wtedy?

Co pracodawca może zrobić z pracownikiem odmawiającym stosowania środków ochrony osobistej – wyjaśnia radca ...

Walkę z COVID-19 można ująć w rozliczeniach z fiskusem

Firmy, które opracują produkty niezbędne do walki z koronawirusem, mają prawo ująć ten fakt ...