Trzeba informować członków zarządu o przetwarzaniu ich danych

W ocenie UODO dane członków zarządu, prokurentów czy pełnomocników osób prawnych nie mieszczą się w kategorii danych kontaktowych osoby prawnej. Źródło: Adobe Stock

Według Urzędu Ochrony Danych Osobowych dane reprezentantów osoby prawnej wpisane w umowie (np. imię, nazwisko i funkcja) stanowią dane osobowe osób fizycznych i należy wobec tych osób spełniać obowiązek informacyjny.

30 czerwca 2020 r. Urząd Ochrony Danych Osobowych (dalej: „UODO”) opublikował swoje stanowisko dotyczące spełniania obowiązków informacyjnych przy zawieraniu umów z osobami prawnymi.  W ocenie UODO dane członków zarządu, prokurentów czy pełnomocników osób prawnych nie mieszczą się w kategorii danych kontaktowych osoby prawnej.  Do tej pory wielu ekspertów twierdziło, że są to dane kontaktowe osób prawnych i w związku z tym przepisów RODO nie stosuje się (zgodnie z motywem 14 preambuły, rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej).

CZYTAJ TEŻ: Firmy muszą uważać na RODO

W opozycji do tego poglądu stanął jednak prezes UODO twierdząc, że osoby te należy informować o przetwarzaniu ich danych osobowych poprzez przedstawienie tzw. klauzuli informacyjnej.  Podstawą takiego przekonania ma być odróżnienie danych osoby prawnej od danych osób ją reprezentujących.  W ocenie organu te ostatnie stanowią dane osobowe w rozumieniu RODO, w związku z czym ochronie podlegać będą również np. adresy e-mail zawierające identyfikatory, np. Johnsmith@ikea.sk, ale już nie ogólne adresy e-mail, takie jak ikeacontact@ikea.com (za odpowiedzią  Komisji Europejskiej z 21 lutego 2018 r. na pisemne pytanie członka Parlamentu Europejskiego Richarda Sulika).

Dwie klauzule informacyjne

Konsekwencją takiej interpretacji RODO jest częstokroć obowiązek przedstawiania dwóch (różnych) klauzul informacyjnych przedsiębiorcy, z którym zawieramy umowę. Jednej dla osób podpisujących umowę, a drugiej dla osób wskazanych w umowie jako osoby do kontaktu. Można też sobie łatwo wyobrazić sytuację, gdy załącznikiem do umowy jest odpis z KRS spółki, w której ujawniono trzech członków zarządu i dwóch prokurentów, przy czym tylko dwie osoby wystarczą do skutecznego reprezentowania spółki i tylko dwie osoby podpisały umowę. Czy w takiej sytuacji należy pozostałym osobom przedstawić informację o przetwarzaniu ich danych osobowych?  Praktyczne problemy pojawią się jednak nie tylko przy podpisywaniu umów, ale również w postępowaniach administracyjnych – także organy publiczne będą musiały informować o przetwarzaniu danych osobowych reprezentantów osoby prawnej.

Krytyka stanowiska UODO

Powyższe stanowisko jest dość szeroko krytykowane pośród osób zajmujących się ochroną danych osobowych i istnieje możliwość, że zostanie w przyszłości zmienione. Należy zauważyć, że prezes UODO nie przedstawił żadnych praktycznych wskazówek dotyczących sposobu spełniania takiego obowiązku. Może to prowadzić do kolejnych RODO-absurdów, takich jak np. wymóg złożenia podpisu pod oświadczeniem o zapoznaniu się z informacją o przetwarzaniu danych osobowych.

CZYTAJ TEŻ: Apel o ułatwienie stosowania RODO małym firmom

Krytycy stanowiska UODO powołują się m.in. na uzasadnienie do projektu ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO[1] (Dz.U. 2019 poz. 730), w którym wskazano, że dane osobowe osób fizycznych reprezentujących osoby prawne, w tym ich dane kontaktowe są danymi kontaktowymi osoby prawnej.

Należy jednak zauważyć, że powyższe stanowisko ustawodawcy wyrażono w kontekście zmian do ustawy z 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego, która ma dość wąskie zastosowanie. Wydaje się więc, że interwencja ustawodawcy może okazać się konieczna, np. poprzez zmiany w ustawie o ochronie danych osobowych i wyłączenie danych kontaktowych reprezentantów osób prawnych z rygoru spełniania obowiązku informacyjnego.

[1] Dokładna nazwa: ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

Autorami są Magdalena Patryas, doradca podatkowy oraz Kamil Kozioł, starszy prawnik z Kancelarii Andersen w Polsce. Kancelaria  jest zrzeszona w sieci Kancelarie RP działającej pod patronatem dziennika „Rzeczpospolita”.

Tagi:

Mogą Ci się również spodobać

Pasje kobiet sukcesu …

Pokonały wiele kryzysów, uznane bizneswoman, wykładowczynie akademickie, odnoszące sukcesy w życiu zawodowym i prywatnym. ...

Co włoski rząd proponuje tamtejszym firmom

Koronawirus z dnia na dzień gwałtownie zmienił los włoskich przedsiębiorstw, zwłaszcza tych małych i ...

Samozatrudniony rozliczy się jak przedsiębiorca

Fiskus zgadza się, że osoba, która przechodzi z etatu na działalność gospodarczą, może rozliczać ...

Masz firmę? Do 13 kwietnia musisz się zgłosić do CRBR

Spółki, które przed 13 października 2019 r. były wpisane do KRS, muszą do 13 ...

200 mld euro na wsparcie włoskiego eksportu po pandemii

Ograniczenia z powodu koronawirusa we Włoszech i krajach będących ich partnerami handlowymi odbiły się ...