Trzeba informować członków zarządu o przetwarzaniu ich danych
2020-08-04
Według Urzędu Ochrony Danych Osobowych dane reprezentantów osoby prawnej wpisane w umowie (np. imię, nazwisko i funkcja) stanowią dane osobowe osób fizycznych i należy wobec tych osób spełniać obowiązek informacyjny.
30 czerwca 2020 r. Urząd Ochrony Danych Osobowych (dalej: „UODO”) opublikował swoje stanowisko dotyczące spełniania obowiązków informacyjnych przy zawieraniu umów z osobami prawnymi. W ocenie UODO dane członków zarządu, prokurentów czy pełnomocników osób prawnych nie mieszczą się w kategorii danych kontaktowych osoby prawnej. Do tej pory wielu ekspertów twierdziło, że są to dane kontaktowe osób prawnych i w związku z tym przepisów RODO nie stosuje się (zgodnie z motywem 14 preambuły, rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej).
W opozycji do tego poglądu stanął jednak prezes UODO twierdząc, że osoby te należy informować o przetwarzaniu ich danych osobowych poprzez przedstawienie tzw. klauzuli informacyjnej. Podstawą takiego przekonania ma być odróżnienie danych osoby prawnej od danych osób ją reprezentujących. W ocenie organu te ostatnie stanowią dane osobowe w rozumieniu RODO, w związku z czym ochronie podlegać będą również np. adresy e-mail zawierające identyfikatory, np. Johnsmith@ikea.sk, ale już nie ogólne adresy e-mail, takie jak ikeacontact@ikea.com (za odpowiedzią Komisji Europejskiej z 21 lutego 2018 r. na pisemne pytanie członka Parlamentu Europejskiego Richarda Sulika).
Dwie klauzule informacyjne
Konsekwencją takiej interpretacji RODO jest częstokroć obowiązek przedstawiania dwóch (różnych) klauzul informacyjnych przedsiębiorcy, z którym zawieramy umowę. Jednej dla osób podpisujących umowę, a drugiej dla osób wskazanych w umowie jako osoby do kontaktu. Można też sobie łatwo wyobrazić sytuację, gdy załącznikiem do umowy jest odpis z KRS spółki, w której ujawniono trzech członków zarządu i dwóch prokurentów, przy czym tylko dwie osoby wystarczą do skutecznego reprezentowania spółki i tylko dwie osoby podpisały umowę. Czy w takiej sytuacji należy pozostałym osobom przedstawić informację o przetwarzaniu ich danych osobowych? Praktyczne problemy pojawią się jednak nie tylko przy podpisywaniu umów, ale również w postępowaniach administracyjnych – także organy publiczne będą musiały informować o przetwarzaniu danych osobowych reprezentantów osoby prawnej.
Krytyka stanowiska UODO
Powyższe stanowisko jest dość szeroko krytykowane pośród osób zajmujących się ochroną danych osobowych i istnieje możliwość, że zostanie w przyszłości zmienione. Należy zauważyć, że prezes UODO nie przedstawił żadnych praktycznych wskazówek dotyczących sposobu spełniania takiego obowiązku. Może to prowadzić do kolejnych RODO-absurdów, takich jak np. wymóg złożenia podpisu pod oświadczeniem o zapoznaniu się z informacją o przetwarzaniu danych osobowych.
Krytycy stanowiska UODO powołują się m.in. na uzasadnienie do projektu ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO[1] (Dz.U. 2019 poz. 730), w którym wskazano, że dane osobowe osób fizycznych reprezentujących osoby prawne, w tym ich dane kontaktowe są danymi kontaktowymi osoby prawnej.
Należy jednak zauważyć, że powyższe stanowisko ustawodawcy wyrażono w kontekście zmian do ustawy z 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego, która ma dość wąskie zastosowanie. Wydaje się więc, że interwencja ustawodawcy może okazać się konieczna, np. poprzez zmiany w ustawie o ochronie danych osobowych i wyłączenie danych kontaktowych reprezentantów osób prawnych z rygoru spełniania obowiązku informacyjnego.
[1] Dokładna nazwa: ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Współautorem tekstu jest Kamil Kozioł, starszy prawnik.
Artykuł ukazał się na firma.rp.pl