Trzeba informować członków zarządu o przetwarzaniu ich danych

Publikacja: 05.08.2020 09:44

Trzeba informować członków zarządu o przetwarzaniu ich danych

Foto: W ocenie UODO dane członków zarządu, prokurentów czy pełnomocników osób prawnych nie mieszczą się w kategorii danych kontaktowych osoby prawnej. Źródło: Adobe Stock

Według Urzędu Ochrony Danych Osobowych dane reprezentantów osoby prawnej wpisane w umowie (np. imię, nazwisko i funkcja) stanowią dane osobowe osób fizycznych i należy wobec tych osób spełniać obowiązek informacyjny.

30 czerwca 2020 r. Urząd Ochrony Danych Osobowych (dalej: „UODO”) opublikował swoje stanowisko dotyczące spełniania obowiązków informacyjnych przy zawieraniu umów z osobami prawnymi.  W ocenie UODO dane członków zarządu, prokurentów czy pełnomocników osób prawnych nie mieszczą się w kategorii danych kontaktowych osoby prawnej.  Do tej pory wielu ekspertów twierdziło, że są to dane kontaktowe osób prawnych i w związku z tym przepisów RODO nie stosuje się (zgodnie z motywem 14 preambuły, rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej).

CZYTAJ TEŻ: Firmy muszą uważać na RODO

W opozycji do tego poglądu stanął jednak prezes UODO twierdząc, że osoby te należy informować o przetwarzaniu ich danych osobowych poprzez przedstawienie tzw. klauzuli informacyjnej.  Podstawą takiego przekonania ma być odróżnienie danych osoby prawnej od danych osób ją reprezentujących.  W ocenie organu te ostatnie stanowią dane osobowe w rozumieniu RODO, w związku z czym ochronie podlegać będą również np. adresy e-mail zawierające identyfikatory, np. Johnsmith@ikea.sk, ale już nie ogólne adresy e-mail, takie jak ikeacontact@ikea.com (za odpowiedzią  Komisji Europejskiej z 21 lutego 2018 r. na pisemne pytanie członka Parlamentu Europejskiego Richarda Sulika).

Dwie klauzule informacyjne

Konsekwencją takiej interpretacji RODO jest częstokroć obowiązek przedstawiania dwóch (różnych) klauzul informacyjnych przedsiębiorcy, z którym zawieramy umowę. Jednej dla osób podpisujących umowę, a drugiej dla osób wskazanych w umowie jako osoby do kontaktu. Można też sobie łatwo wyobrazić sytuację, gdy załącznikiem do umowy jest odpis z KRS spółki, w której ujawniono trzech członków zarządu i dwóch prokurentów, przy czym tylko dwie osoby wystarczą do skutecznego reprezentowania spółki i tylko dwie osoby podpisały umowę. Czy w takiej sytuacji należy pozostałym osobom przedstawić informację o przetwarzaniu ich danych osobowych?  Praktyczne problemy pojawią się jednak nie tylko przy podpisywaniu umów, ale również w postępowaniach administracyjnych – także organy publiczne będą musiały informować o przetwarzaniu danych osobowych reprezentantów osoby prawnej.

Krytyka stanowiska UODO

Powyższe stanowisko jest dość szeroko krytykowane pośród osób zajmujących się ochroną danych osobowych i istnieje możliwość, że zostanie w przyszłości zmienione. Należy zauważyć, że prezes UODO nie przedstawił żadnych praktycznych wskazówek dotyczących sposobu spełniania takiego obowiązku. Może to prowadzić do kolejnych RODO-absurdów, takich jak np. wymóg złożenia podpisu pod oświadczeniem o zapoznaniu się z informacją o przetwarzaniu danych osobowych.

CZYTAJ TEŻ: Apel o ułatwienie stosowania RODO małym firmom

Krytycy stanowiska UODO powołują się m.in. na uzasadnienie do projektu ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO[1] (Dz.U. 2019 poz. 730), w którym wskazano, że dane osobowe osób fizycznych reprezentujących osoby prawne, w tym ich dane kontaktowe są danymi kontaktowymi osoby prawnej.

Należy jednak zauważyć, że powyższe stanowisko ustawodawcy wyrażono w kontekście zmian do ustawy z 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego, która ma dość wąskie zastosowanie. Wydaje się więc, że interwencja ustawodawcy może okazać się konieczna, np. poprzez zmiany w ustawie o ochronie danych osobowych i wyłączenie danych kontaktowych reprezentantów osób prawnych z rygoru spełniania obowiązku informacyjnego.

[1] Dokładna nazwa: ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

Autorami są Magdalena Patryas, doradca podatkowy oraz Kamil Kozioł, starszy prawnik z Kancelarii Andersen w Polsce. Kancelaria  jest zrzeszona w sieci Kancelarie RP działającej pod patronatem dziennika „Rzeczpospolita”.

Według Urzędu Ochrony Danych Osobowych dane reprezentantów osoby prawnej wpisane w umowie (np. imię, nazwisko i funkcja) stanowią dane osobowe osób fizycznych i należy wobec tych osób spełniać obowiązek informacyjny.

30 czerwca 2020 r. Urząd Ochrony Danych Osobowych (dalej: „UODO”) opublikował swoje stanowisko dotyczące spełniania obowiązków informacyjnych przy zawieraniu umów z osobami prawnymi.  W ocenie UODO dane członków zarządu, prokurentów czy pełnomocników osób prawnych nie mieszczą się w kategorii danych kontaktowych osoby prawnej.  Do tej pory wielu ekspertów twierdziło, że są to dane kontaktowe osób prawnych i w związku z tym przepisów RODO nie stosuje się (zgodnie z motywem 14 preambuły, rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej).

2 / 3
artykułów
Czytaj dalej. Kup teraz
Prawo i Podatki
Segregacja odpadów: będą nowe obowiązki dla firm
Prawo i Podatki
Ważny wyrok NSA w sprawie atomowej broni fiskusa
Prawo i Podatki
Kto płaci karę za jazdę autostradą leasingowym autem bez opłaty? Jest wyrok NSA
Prawo i Podatki
NSA wydał wyrok ws. zwrotu akcyzy przy korekcie faktury
Prawo i Podatki
Nowe przepisy mają zachęcić przedsiębiorców do zawierania ugód