W ramach naszej witryny stosujemy pliki cookies w celu świadczenia Państwu usług na najwyższym poziomie, w tym w sposób dostosowany do indywidualnych potrzeb. Korzystanie z witryny bez zmiany ustawień dotyczących cookies oznacza, że będą one zamieszczane w Państwa urządzeniu końcowym. Możecie Państwo dokonać w każdym czasie zmiany ustawień dotyczących cookies. Korzystając z naszej strony akceptujesz zasady Polityki Cookie.
  • Dane członków organów spółek muszą być chronione – nowe stanowisko UODO
Artykuł:

Dane członków organów spółek muszą być chronione – nowe stanowisko UODO

29 lipca 2020

Urząd Ochrony Danych Osobowych (UODO) zajął w ostatnim czasie stanowisko, w którym poruszył problematykę dopełniania obowiązku informacyjnego wynikającego z treści Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej „RODO”. Stanowisko to odnosi się do sytuacji przetwarzania danych osób uprawnionych do składania oświadczeń w imieniu spółek (członków organów oraz pełnomocników).

Wątpliwość, jaka do tej pory zarysowywała się w świetle obowiązujących przepisów wynikała z brzmienia preambuły RODO, zgodnie z którym przepisy tego rozporządzenia nie mają zastosowania do przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi. Nieprecyzyjne sformułowanie tekstu prawnego budziło wątpliwości, czy wyłączenie to rozciąga się także na osoby fizyczne występujące w charakterze przedstawicieli osób prawnych.

W opisywanym stanowisku UODO wskazuje, że osoby pełniące funkcje w organach spółek należy traktować w odmienny sposób niż same podmioty które one reprezentują, zwłaszcza że możliwość identyfikacji tych osób wynika z obowiązku ujawnienia ich danych w rejestrze przedsiębiorców Krajowego Rejestru Sądowego. Spełniona jest zatem wskazana w RODO przesłanka identyfikowalności, której wystąpienie powoduje, że dane osób fizycznych będących członkami organów należy uznać za dane osobowe podlegające ochronie zgodnie z przepisami rozporządzenia.

Ponadto, w stanowisku tym wskazane zostało, że obowiązek ochrony danych osobowych rozciąga się również na pełnomocników i pracowników osób prawnych, w przypadku których nie ma obowiązku ujawniania danych w rejestrze przedsiębiorców. W tym miejscu UODO powołał się na odpowiedź Komisji Europejskiej z dnia 21 lutego 2018 r., która została udzielona na pytanie skierowane przez członka Parlamentu Europejskiego, w której Komisja wyjaśniła, że wprawdzie RODO nie ma zastosowania do danych osoby prawnej, jednak dane osobowe pracowników osoby prawnej, w tym ich profesjonalne, zindywidualizowane adresy e-mail są objęte zakresem rozporządzenia.

Stanowisko Urzędu wydaje się być oparte na literalnej wykładni przepisów RODO. Stosowanie wynikających z niego zasad w przypadku członków organów lub pełnomocników spółek handlowych wiąże się jednak z praktycznymi uciążliwościami, wyrażającymi się w szczególności w obowiązkach informacyjnych administratorów (w szczególności kontrahentów spółek) wobec tych osób w związku z przetwarzaniem ich danych (najczęściej z uwagi na zawarcie umowy, w której wskazane są osoby reprezentujące obie strony).

Zgodnie z literalną wykładnią przepisów zaprezentowaną przez Urząd, każdy przedstawiciel spółki, zawierający w imieniu spółki jakąkolwiek umowę z podmiotem trzecim musi co do zasady zostać poinformowany przez ten podmiot o podstawach i celach przetwarzania danych osobowych przez ten podmiot, a także o prawach związanych z przetwarzaniem danych.  

O ile tak szeroka ochrona w przypadku zwykłych pracowników osób prawnych może być uzasadniona, to celowość stosowania tego rodzaju zasad jest mocno wątpliwa w przypadku osób, których dane osobowe i tak są już ujawnione w publicznie dostępnym rejestrze przedsiębiorców Krajowego Rejestru Sądowego i które jako osoby profesjonalnie zajmujące się sprawami podmiotu występującego w obrocie gospodarczym doskonale zdają sobie sprawę z regulacji dotyczących ochrony danych osobowych, w tym świadome są swych praw wynikających z przepisów RODO.

Stanowisko UODO ma praktyczne znaczenie dla szerokiego grona podmiotów gospodarczych, które muszą pamiętać, że mogą nabyć status administratora danych osobowych również w przypadku otrzymania danych członków organów, pełnomocników, czy innych osób pełniących funkcje „kontaktowe” w imieniu kontrahentów.

O ile kontrowersje budzić może traktowanie członków zarządów czy prokurentów ujawnionych w KRS na równi z „szeregowymi” pracownikami danego podmiotu, w praktyce w związku z zawieraniem różnego rodzaju kontraktów kontrahentom przekazywane są nie tylko dane osób ujawnionych w publicznym rejestrze, lecz również osób niepełniących formalnych funkcji w spółkach, wyznaczonych do kontaktu z kontrahentem np. jako koordynatorzy czy kierownicy danego projektu. Nie ulga wątpliwości, że przetwarzanie danych osobowych tych osób powinno spełniać wymogi określone przepisami RODO.

 

Źródło:

https://uodo.gov.pl/pl/225/1577#xd_co_f=M2MzYmMyZTktZmY5My00OTE2LTgwOWQtNWRkMTFhNjM2ZjE1~