Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Obowiązek informacyjny wobec członków zarządu osób prawnych

07/07/2020

Obowiązek Informacyjny, Obowiązek Administratora, Dane Osobowe, Urząd Ochrony Danych Osobowych,

Urząd Ochrony Danych Osobowych zajął stanowisko w sprawie przetwarzania danych osobowych członków zarządów i pełnomocników osób prawnych: administrator jest zobligowany do wypełnienia w stosunku do takich osób obowiązku informacyjnego określonego w art. 13 lub 14 RODO, o ile nie zachodzi jedna z przesłanek zwalniających go z tego obowiązku


Przepisy art. 13 i 14 RODO obowiązują administratora danych osobowych spełnić tzw. obowiązek informacyjny. Art. 13 dotyczy sytuacji, gdy dane pochodzą bezpośrednio od osoby, której dotyczą, zaś art. 14 – w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą.

 

Motyw 14 RODO wyjaśnia natomiast,  że RODO nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. W  związku z czym RODO  chroni dane osobowe możliwych do zidentyfikowania osób fizycznych i wyklucza spod tej ochrony dane dotyczące osób prawnych.

 

UODO uznał jednak, że w rozumieniu przywołanego wyżej motywu  dane osób fizycznych pełniących funkcje członków organów osoby prawnej stanowią dane osobowe, a nie są danymi osoby prawnej.

Osoby reprezentujące spółki, pełnomocnicy, podobnie jak pracownicy osób prawnych zatem nie mogą być  traktowane jako osoby prawne. Zdaniem urzędu w przypadku osób fizycznych pełniących funkcję członków organów osoby prawnej możliwość ich identyfikacji wynika w szczególności z faktu, iż dane takich osób ujawniane są w KRS, co w rozumieniu UODO oznacza odmienne traktowanie informacji o osobach prawnych i osobach fizycznych reprezentujących osoby prawne.

 

W swoim stanowisku Urząd  powołuje się  na odpowiedź Komisji Europejskiej z dnia  21 lutego 2018 r. na pytanie  członka Parlamentu Europejskiego Richarda Sulika, w którym KE wskazała, że motyw 14 RODO wyjaśnia, że rozporządzenie nie ma zastosowania do przetwarzania danych osobowych, które dotyczą osób prawnych, w tym nazwy i  formy osoby prawnej oraz danych kontaktowych osoby prawnej. Komisja wyjaśniła, że adres e-mail osoby prawnej, taki jak ikeacontact@ikea.com, nie wchodzi w zakres rozporządzenia, jednak dane osobowe pracowników osoby prawnej, w tym ich profesjonalne adresy e-mail, byłyby objęte zakresem rozporządzenia (np.Johnsmith@ikea.sk).

 

UODO przywołał również  wyrok Trybunału Sprawiedliwości UE z 9 marca 2017 r. w sprawie C-398/15, z którego  wynika, że okoliczność, iż informacje wpisują się ramy działalności zawodowej, nie oznacza, że nie można ich scharakteryzować jako dane osobowe.

 

Konsekwencją powyższego stanowiska Prezesa UODO i powołanej przez niego odpowiedzi Komisji Europejskiej oraz wyroku Trybunały Sprawiedliwości UE jest to, że dane członków zarządu reprezentujących osobę prawną, dane pełnomocników osób prawnych, a także dane pracowników, którzy są osobami kontaktowymi osoby prawnej, będących możliwymi do zidentyfikowania osobami fizycznymi, będą danymi osobowymi podlegającymi ochronie RODO.

 

Zatem, wobec takich osób trzeba wypełnić obowiązek informacyjny z art. 13 lub 14 RODO, chyba że zachodzi jedna z przesłanek zwalniających z tego obowiązku, np. gdy osoba, której dane dotyczą, dysponuje już tymi informacjami.

 

Oznacza to, że  realizacja obowiązku wobec wszystkich członków zarządów wszystkich kontrahentów organizacji wymaga dużo pracy oraz może wiązać się z ogromnymi kosztami. Mimo to, że prawnicy zgodnie podkreślają, że stanowisko UODO w sprawie realizowania obowiązku informacyjnego względem członków zarządu osób prawnych jest bardzo ważne i kluczowe,  nie zgadzają się oni z nim.



 

Olga Sklyarova, specjalista ds. ochrony danych,  audytor JDS Consulting

 

Obowiązek Informacyjny, Obowiązek Administratora, Dane Osobowe, Urząd Ochrony Danych Osobowych,
SPRAWOZDANIE Z DZIAŁALNOŚCI PREZESA URZĘDU OCHRONY DANYCH OSOBOWYCH za rok 2022
SPRAWOZDANIE Z DZIAŁALNOŚCI PREZESA URZĘDU OCHRONY DANYCH OSOBOWYCH za rok 2022
UODO publikuje wytyczne dotyczące ochrony danych w kampaniach wyborczych
UODO publikuje wytyczne dotyczące ochrony danych w kampaniach wyborczych
Plan kontroli sektorowych PUODO na 2023 rok
Plan kontroli sektorowych PUODO na 2023 rok