Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Polecamy

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania
 

Bartosz Marcinkowski, Robert Brodzik, Klaudia Czarniecka, Michał Kluska, Katarzyna Kulesza, Olga Legat, Justyna Tyc

Cena: 128,00 zł

Zamów

Członkowie organów spółek handlowych a upoważnienie do przetwarzania danych osobowych

20-09-2019 Autor: Tomasz Cygan

Czy osoby, które są wspólnikami lub członkami organów spółki (a także prokurenci oraz wspólnicy spółek cywilnych), powinny posiadać upoważnienie do przetwarzania danych osobowych? Wyjaśniamy, odnosząc się do charakteru poszczególnych spółek.

 

W przypadku gdy administratorem danych jest spółka prawa handlowego (spółka jawna, partnerska, komandytowa, komandytowo-akcyjna, z ograniczoną odpowiedzialnością, akcyjna), pojawia się pytanie, w jaki sposób uregulować status prawny jej wspólników lub członków organów (zgromadzenie wspólników, walne zgromadzenie akcjonariuszy, rada nadzorcza, zarząd) w zakresie dostępu do danych osobowych i ich przetwarzania.

Forma uprawnienia

Przepisy rodo nie wskazują wprost, że upoważnienie do przetwarzania danych osobowych jest jedyną właściwą formą zapewnienia dostępu do danych osobowych. Prawodawca unijny w art. 29 rodo podkreśla, że „podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego”. Natomiast w art. 32 ust. 4 rodo wskazuje, że „administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego”.

Z tych przepisów wynika, że jakaś forma zarządzania uprawnieniami do przetwarzania danych osobowych musi zostać wdrożona przez administratora. Potwierdza to także ustawodawca w art. 39 ust. 1 lit. b rodo, gdzie wśród obowiązków inspektora ochrony danych wskazuje „monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków”. Mimo że żaden ze wskazanych przepisów nie przesądza o formie realizowania tych obowiązków, to należy mieć na względzie rozumienie rozliczalności nadane przez przepisy rodo. Zgodnie z treścią art. 5 ust. 2 rodo obowiązkiem administratora jest wykazanie przestrzegania zasad przetwarzania danych osobowych, w tym także poufności i integralności, czemu może służyć podział obowiązków oraz zarządzanie uprawnieniami do przetwarzania danych osobowych. Biorąc pod uwagę dowodowy aspekt zasady rozliczalności, nie ulega wątpliwości, że najlepszą formą jej realizacji jest forma papierowa. W związku z tym, opierając się na nośniku papierowym, dopuszcza się nadawanie upoważnień do przetwarzania danych osobowych, ale także uwzględnienie uprawnienia do przetwarzania danych osobowych oraz jego zakresu w regulaminie organizacyjnym, zakresie obowiązków, karcie stanowiska pracy.

Pierwsze ze wskazanych rozwiązań w postaci upoważnienia do przetwarzania danych osobowych cieszy się ciągle dużą popularnością, choćby z uwagi na swój historyczny charakter. Ustawodawca w art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych wskazywał, że „do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych”.

Cytowany przepis zawiera jednak regulację bezwarunkową – „mogą być dopuszczone wyłącznie osoby”, podczas gdy w rodo prawodawca unijny posługuje się konstrukcjami bardziej elastycznymi. Wyłącza z konieczności działania na polecenie administratora sytuacje, w których przetwarzanie danych osobowych wynika z przepisów prawa Unii lub prawa państwa członkowskiego. Inne rozwiązania z zakresu zarządzania uprawnieniami wymagają wydania polecenia przez administratora.

Wobec tego pojawia się pytanie, czy wszystkie osoby w ramach organizacji powinny posiadać nadane upoważnienie (wydane polecenie)? Czy obowiązek ten obejmuje członków organów spółek lub ich wspólników w przypadku spółek osobowych (spółka jawna, partnerska, komandytowa, komandytowo-akcyjna), a jeśli tak, to kto powinien takie upoważnienie nadać (wydać polecenie)? Trudność polega na tym, że przyjęcie założenia, że każda osoba niezależnie od funkcji i uprawnień musi posiadać upoważnienie, mogłoby skutecznie ograniczać dostęp do danych dla osób zarządzających administratorem, osób wybierających osoby zarządzające administratorem, a także dla właścicieli administratora.

O ile brzmienie przepisów sprzed 25 maja 2018 r. (art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych) mogło uzasadniać takie założenie (kategoryczne, pozbawione wyjątków brzmienie przepisów), o tyle obecne regulacje pozwalają na odmienne podejście. Wobec tego pytanie brzmi: czy członkowie organów spółek, wspólnicy spółek osobowych, prokurenci oraz wspólnicy spółek cywilnych powinni podlegać wyjątkowi od nadawania upoważnień (działania na polecenie administratora)?

Wspólnicy spółki cywilnej

Często występująca w obrocie gospodarczym spółka cywilna nie jest przedsiębiorcą i nie prowadzi działalności gospodarczej. Jej funkcjonowanie nie podlega także przepisom ustawy z dnia 15 września 2000 r. Kodeks spółek handlowych (tekst jedn. DzU z 2019 r., poz. 505 ze zm.; dalej: ksh). Jak stanowi art. 860 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny (tekst jedn. DzU z 2019 r., poz. 1145 ze zm.; dalej: kc), przez umowę spółki „wspólnicy zobowiązują się dążyć do osiągnięcia wspólnego celu gospodarczego przez działanie w sposób oznaczony, w szczególności przez wniesienie wkładów”.

Natomiast w art. 4 ust. 2 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców (tekst jedn. DzU z 2019 r., poz. 1292 ze zm.) ustawodawca wskazuje, że przedsiębiorcami są także wspólnicy spółki cywilnej w zakresie wykonywanej przez nich działalności gospodarczej. Na gruncie rozważań dotyczących ochrony danych osobowych prowadzi to do wniosku, że spółka cywilna nie jest administratorem. Nie posiada ona bowiem żadnej podmiotowości prawnej. Biorąc pod uwagę wymagania art. 4 pkt 7 rodo, spółka cywilna nie jest osobą fizyczną lub prawną, organem publicznym, jednostką lub innym podmiotem, co wyłącza ją z definicji administratora.

Status ten przysługuje wspólnikom spółki cywilnej, którzy wspólnie ustalają cele i sposoby przetwarzania, co zapewnia im pozycję współadministratorów w rozumieniu art. 26 rodo. Taki pogląd potwierdza zbieżność między pojęciami „dążyć do osiągnięcia wspólnego celu gospodarczego” (art. 860 kc) a „wspólnie ustala cele i sposoby przetwarzania” (art. 26 rodo). W związku z tym w przypadku wspólników spółki cywilnej należy skorzystać z instytucji określonej w art. 26 rodo. Niezbędne okaże się dokonanie wspólnych uzgodnień, które „w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą. Uzgodnienia, o których mowa w ust. 1, należycie odzwierciedlają odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą. Zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą. Niezależnie od uzgodnień, o których mowa w ust. 1, osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z niniejszego rozporządzenia wobec każdego z administratorów”.

 

[...]

 

Autor jest adwokatem, doświadczonym konsultantem i wykładowcą, autorem publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautorem bloga poświęconego ochronie danych osobowych, audytorem wewnętrznym normy ISO/IEC 27001:2014-12.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.