Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Obowiązek informacyjny wobec przedstawicieli osób prawnych

22-09-2020 Autor: Sławomir Kowalski

Podjęcie decyzji dotyczącej wykonania lub możliwości wyłączenia obowiązku informacyjnego z art. 13 lub 14 rodo nie jest proste. To podstawowe zagadnienie budzi szereg praktycznych wątpliwości, którym przyjrzymy się w niniejszym tekście.

 

Każdy z nas zawiera jakieś umowy lub pozostaje w bieżących relacjach z różnymi podmiotami i kontaktuje się z nimi za pośrednictwem osób fizycznych, reprezentujących je w mniej lub bardziej formalny sposób. Tym samym musi rozważyć, czy wobec tych osób powinien wykonać obowiązek informacyjny z art. 13 lub 14 rodo odpowiednio do sposobu pozyskania danych tych osób.


Analiza motywu 14 rodo

 

Treść motywu to zasada wyrażona w zdaniu pierwszym oraz ograniczenie tej zasady opisane w zdaniu drugim (patrz: ramka). Zakres tego ograniczenia jest jednak bardzo niejasny. Można je rozumieć na kilka sposobów:

  • jego istotą jest wyraźne wyłączenie stosowania rodo wobec danych osób prawnych;
  • służy wyłączeniu stosowania rodo wobec danych osobowych stanowiących element firmy, czyli oznaczenia przedsiębiorcy;
  • istotą motywu jest wyłączenie stosowania rodo wobec danych osobowych osób fizycznych, w zakresie, w jakim te dane stanowią i są wykorzystywane jako dane kontaktowe osoby prawnej.

Przyjęcie tej ostatniej interpretacji oznaczałoby, że rodo nie ma zastosowania do danych osobowych osób fizycznych w zakresie, w jakim te dane stanowią jednocześnie dane kontaktowe osób prawnych. W konsekwencji obowiązki wynikające z rodo, w tym obowiązki informacyjne, nie miałyby zastosowania do danych członków zarządu, prokurentów, pełnomocników i osób wskazanych do bieżącego kontaktu np. w związku z realizacją umowy lub utrzymywaniem relacji biznesowych. Wyłączenie tych obowiązków miałoby zastosowanie tak długo, jak długo przetwarzanie danych osób fizycznych dotyczyłoby bezpośrednio osoby prawnej, a nie osoby fizycznej. Jeśli uwaga przetwarzającego zostałaby przeniesiona z osoby prawnej na fizyczną, do takiego przetwarzania należy stosować rodo.

 

Warto przy tym wyjaśnić, że na potrzeby komunikacji między osobami prawnymi, np. składania oświadczeń, osoba, która te oświadczenia składa lub przyjmuje, stanowi tylko „interfejs komunikacyjny”. Osoba taka jest zupełnie transparentna dla drugiej strony. Nie ma znaczenia, czy jest to ta czy inna osoba, nie mają też znaczenia żadne cechy tej konkretnej osoby poza tą jedną, że za jej pośrednictwem możliwy jest kontakt z osobą prawną. W tym kontekście wyłączenie stosowania rodo do danych osobowych osób fizycznych w wąskim zakresie, w jakim te dane stanowią dane kontaktowe osoby prawnej, ma dużo sensu. Te dane nie są bowiem przetwarzane w związku z celami, jakie administrator realizuje w związku z tą osobą fizyczną, ale w zupełnie innym kontekście dotyczącym osoby prawnej.


Problemem tej interpretacji jest brak przepisu, który w wyraźny sposób implementowałby takie znaczenie motywu. Motywy aktów prawa Unii Europejskiej nie stanowią samoistnych norm prawnych, a jedynie dyrektywy interpretacyjne, które należy wykładać łącznie z przepisami. Najbardziej naturalnym miejscem, w którym mógłby zostać umiejscowiony taki przepis, jest art. 2 rodo, który dotyczy przedmiotowego zakresu stosowania rozporządzenia. W artykule tym brakuje jednak obecnie wyłączenia stosowania przepisów rozporządzenia do danych osobowych osób fizycznych, stanowiących jednocześnie dane osobowe osób prawnych i przetwarzanych w kontekście tych osób prawnych. Należy zatem uznać, że intencja, która legła u podstaw motywu 14, była jednak inna lub że nie został on implementowany w treści rozporządzenia.


W tym kontekście należy zgodzić się ze stanowiskiem Prezesa UODO, że do danych osobowych osób fizycznych stanowiących jednocześnie dane osobowe osób prawnych należy stosować rodo. Wobec takich osób należy wykonać obowiązek informacyjny lub powołać się na jeden z wyjątków od tego obowiązku spośród przewidzianych w rozporządzeniu.

 

[...]

 

Autor jest adwokatem, partnerem w kancelarii Maruta Wachta, CIPP/E.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.