Dane prezesa spółki objęte obowiązkiem informacyjnym (RODO)

Urząd Ochrony Danych Osobowych opublikował stanowisko, zgodnie z którym członków zarządów spółek należy poinformować o przetwarzaniu ich danych osobowych (art. 13 RODO). Innymi słowy, firma A musi poinformować prezesa spółki B, z którą zawarła umowę, że przetwarza jego dane i na odwrót.

Odpowiadając na pytanie UODO uznał, że należy spełnić obowiązek informacyjny na mocy art. 13 lub 14 RODO, gdy w treści dokumentacji dotyczącej postępowań administracyjnych pojawiają się dane osób upoważnionych do reprezentacji spółek, np. członków zarządu bądź innych osób upoważnionych do składania oświadczeń w imieniu spółki.

Zgodnie z art. 13 i 14 RODO administrator danych osobowych musi spełnić tzw. obowiązek informacyjny. Chodzi o poinformowanie osoby, której dane przetwarza o elementach wymienionych w tych przepisach. Jednakże zgodnie z motywem preambuły 14 RODO jego przepisy nie dotyczą przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych.

UODO wskazał jednak, że danych osób reprezentujących spółki, pełnomocników, tak jak i zwykłych pracowników osób prawnych nie można traktować jak danych osób prawnych. Jak można przeczytać w stanowisku UODO:  Należy przyjąć, że dane osób fizycznych pełniących funkcje członków organów osoby prawnej będą stanowiły dane osobowe, a nie będą zaś mieściły się w zakresie pojęcia danych osoby prawnej w rozumieniu motywu 14 RODO. Podobnie sytuacja wygląda w odniesieniu do danych pełnomocników i pracowników osób prawnych. Zdaniem UODO w takich sytuacjach spełnienie przesłanki idetyfikowalności powinno przesądzić o objęciu zakresem ochronnym RODO. W przypadku osób fizycznych pełniących funkcję członków organów osoby prawnej możliwość ich identyfikacji wynika bowiem w szczególności z faktu, iż dane takich osób ujawnione są w KRS. Oznacza to, że należy odmiennie odnosić się do informacji o osobach prawnych i osobach fizycznych reprezentujących osoby prawne.

Urząd, uzasadniając swoje stanowisko, odwołał się do odpowiedzi Komisji Europejskiej na pytanie szwedzkiego europosła. Pytał on wtedy o adresy e-mail klientów sklepów internetowych oraz służbowe pracowników. W odpowiedzi wyjaśniono, że adres e-mail osoby prawnej, np. firmakontakt@firma.com, nie wchodzi w zakres RODO. Jednak dane osobowe pracowników osoby prawnej, w tym ich profesjonalne adresy e-mail, są już objęte zakresem RODO: np. imienazwisko@firma.pl. UODO odwołał się także do wyroku TS z 9.3.2017 r., w sprawie C-398/15, w którym wyjaśniono, że informacje wpisujące się w ramy działalności zawodowej także mogą mieć charakter danych osobowych.

Definicja danych osobowych odnosi się zatem do osób fizycznych niezależnie od ich roli. Tym samym spółki, które zawierają umowę muszą spełnić stosowne obowiązki informacyjne – co może zostać wykonane zarówno mailem, jak w i formie papierowej.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *