Obowiązek informacyjny wobec członków zarządu osób prawnych
07/07/2020
Urząd Ochrony Danych Osobowych zajął stanowisko w sprawie przetwarzania danych osobowych członków zarządów i pełnomocników osób prawnych: administrator jest zobligowany do wypełnienia w stosunku do takich osób obowiązku informacyjnego określonego w art. 13 lub 14 RODO, o ile nie zachodzi jedna z przesłanek zwalniających go z tego obowiązku
Przepisy art. 13 i 14 RODO obowiązują administratora danych osobowych spełnić tzw. obowiązek informacyjny. Art. 13 dotyczy sytuacji, gdy dane pochodzą bezpośrednio od osoby, której dotyczą, zaś art. 14 – w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą.
Motyw 14 RODO wyjaśnia natomiast, że RODO nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. W związku z czym RODO chroni dane osobowe możliwych do zidentyfikowania osób fizycznych i wyklucza spod tej ochrony dane dotyczące osób prawnych.
UODO uznał jednak, że w rozumieniu przywołanego wyżej motywu dane osób fizycznych pełniących funkcje członków organów osoby prawnej stanowią dane osobowe, a nie są danymi osoby prawnej.
Osoby reprezentujące spółki, pełnomocnicy, podobnie jak pracownicy osób prawnych zatem nie mogą być traktowane jako osoby prawne. Zdaniem urzędu w przypadku osób fizycznych pełniących funkcję członków organów osoby prawnej możliwość ich identyfikacji wynika w szczególności z faktu, iż dane takich osób ujawniane są w KRS, co w rozumieniu UODO oznacza odmienne traktowanie informacji o osobach prawnych i osobach fizycznych reprezentujących osoby prawne.
W swoim stanowisku Urząd powołuje się na odpowiedź Komisji Europejskiej z dnia 21 lutego 2018 r. na pytanie członka Parlamentu Europejskiego Richarda Sulika, w którym KE wskazała, że motyw 14 RODO wyjaśnia, że rozporządzenie nie ma zastosowania do przetwarzania danych osobowych, które dotyczą osób prawnych, w tym nazwy i formy osoby prawnej oraz danych kontaktowych osoby prawnej. Komisja wyjaśniła, że adres e-mail osoby prawnej, taki jak ikeacontact@ikea.com, nie wchodzi w zakres rozporządzenia, jednak dane osobowe pracowników osoby prawnej, w tym ich profesjonalne adresy e-mail, byłyby objęte zakresem rozporządzenia (np.Johnsmith@ikea.sk).
UODO przywołał również wyrok Trybunału Sprawiedliwości UE z 9 marca 2017 r. w sprawie C-398/15, z którego wynika, że okoliczność, iż informacje wpisują się ramy działalności zawodowej, nie oznacza, że nie można ich scharakteryzować jako dane osobowe.
Konsekwencją powyższego stanowiska Prezesa UODO i powołanej przez niego odpowiedzi Komisji Europejskiej oraz wyroku Trybunały Sprawiedliwości UE jest to, że dane członków zarządu reprezentujących osobę prawną, dane pełnomocników osób prawnych, a także dane pracowników, którzy są osobami kontaktowymi osoby prawnej, będących możliwymi do zidentyfikowania osobami fizycznymi, będą danymi osobowymi podlegającymi ochronie RODO.
Zatem, wobec takich osób trzeba wypełnić obowiązek informacyjny z art. 13 lub 14 RODO, chyba że zachodzi jedna z przesłanek zwalniających z tego obowiązku, np. gdy osoba, której dane dotyczą, dysponuje już tymi informacjami.
Oznacza to, że realizacja obowiązku wobec wszystkich członków zarządów wszystkich kontrahentów organizacji wymaga dużo pracy oraz może wiązać się z ogromnymi kosztami. Mimo to, że prawnicy zgodnie podkreślają, że stanowisko UODO w sprawie realizowania obowiązku informacyjnego względem członków zarządu osób prawnych jest bardzo ważne i kluczowe, nie zgadzają się oni z nim.
Olga Sklyarova, specjalista ds. ochrony danych, audytor JDS Consulting