Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Obowiązek informacyjny wobec osób pełniących funkcje w organach osób prawnych

21-09-2021 Autor: Joanna Jarguz

Przekazanie danych osób reprezentujących kontrahentów nie czyni z odbiorcy danych ich administratora. Tymczasem Urząd Ochrony Danych Osobowych zdaje się nie zauważać tej kwestii i oczekuje spełnienia obowiązku informacyjnego w każdym takim przypadku.

 

Kilka miesięcy temu na stronie internetowej Urzędu Ochrony Danych Osobowych (dalej: UODO) pojawiło się stanowisko dotyczące tego, czy konieczne jest spełnienie obowiązków informacyjnych wobec członków zarządu osób prawnych na podstawie art. 13 i 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (DzUrz UE L 119 z 04.05.2016; dalej: rodo). Co prawda początek informacji wskazuje, że dotyczy ona osób upoważnionych do reprezentacji spółki lub osób uprawnionych do składania oświadczeń w imieniu określonego podmiotu jedynie w kontekście osób widniejących w treści dokumentacji dotyczącej postępowań administracyjnych, jednak rekomendacja z uwagi na swoją ogólność sugeruje znacznie bardziej uniwersalny charakter. To z kolei ma niebagatelne znaczenie dla każdego podmiotu, który utrzymuje relacje biznesowe z kontrahentami, podwykonawcami lub dostawcami. Na marginesie warto zaznaczyć, że UODO wypowiedział się jedynie w zakresie aktualności obowiązku informacyjnego, nie precyzując jednak ani jak, ani kiedy ów obowiązek powinien być realizowany, co zrodziło liczne dylematy i wątpliwości.

 

Dane osób prawnych


We wspomnianej rekomendacji UODO wyraźnie wskazał, że dane członków zarządu reprezentujących osobę prawną, dane pełnomocników, a także pracowników, którzy są osobami kontaktowymi osoby prawnej, będących możliwymi do zidentyfikowania osobami fizycznymi są danymi osobowymi, które podlegają ochronie rodo. Takie spostrzeżenie doprowadziło UODO do wniosku, że administrator jest zobligowany do wypełnienia w stosunku do wymienionych osób obowiązku informacyjnego określonego w art. 13 lub 14 rodo, pod warunkiem że nie zachodzi jedna z przesłanek zwalniających go z tego obowiązku.


O ile pierwsze zdanie nie budzi kontrowersji – nikt bowiem nie powinien mieć wątpliwości, że obiektywnie są to dane osobowe (chociaż niekoniecznie muszą być chronione na gruncie rodo), o tyle drugi wniosek nie jest już tak oczywisty, co zostanie poddane szerszej analizie w dalszej części artykułu. W swojej informacji UODO powołał się na motyw 14 preambuły do rodo, wskazując, że rodo nie dotyczy przetwarzania danych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. Prawodawca unijny w przepisach rodo wyklucza spod ochrony dane dotyczące osób prawnych. UODO wskazał jednocześnie, że w przypadku osób fizycznych pełniących funkcję członków organów osoby prawnej możliwość ich identyfikacji wynika głównie z faktu, że dane takich osób ujawniane są w KRS. Oznacza to, że należy odmiennie odnosić się do informacji o osobach prawnych i osobach fizycznych reprezentujących osoby prawne, w tym osób fizycznych pełniących funkcje członków organów osoby prawnej. Z tą tezą niewątpliwie należy się zgodzić, przy czym nie oznacza to automatycznie, że z samego faktu posiadania danych osobowych administrator jest zobowiązany do podjęcia określonych działań na gruncie rodo.

W ramach tych rekomendacji UODO powołało się na stanowisko Komisji Europejskiej z 21 lutego 2018 r., gdzie opisano sposób wykładni motywu 14 preambuły do rodo. Zgodnie z treścią tego stanowiska dane osobowe pracowników, w tym ich służbowe adresy e-mail, uznano za dane, które nie mogą być traktowane jako dane osobowe osoby prawnej, wskazując jednocześnie, że podlegają one ochronie wynikającej z rodo. Powołano się również na wyrok Trybunału Sprawiedliwości Unii Europejskiej z 9 marca 2017 r. w sprawie C-398/15, gdzie wskazano, że okoliczność, iż informacje wpisują się w ramy działalności zawodowej, nie może odebrać im miana zbioru danych osobowych (zob. również wyrok TSUE z 16 lipca 2015 r., ClientEarth i PAN Europe przeciwko EFSA [Europejski Urząd ds. Bezpieczeństwa Żywności], C 615/13 P, EU:C:2015:489, pkt 30 i przytoczone tam orzecznictwo). Przy czym te stanowiska w istocie nie wnoszą żadnych rzeczywistych argumentów za potwierdzeniem tezy stawianej przez UODO, ponieważ dotyczą one zgoła innej materii. Z tymi tezami, tj. iż danych tego typu nie można traktować jako danych osoby prawnej, należy się oczywiście zgodzić. Stwierdzenie takie samo w sobie nie może być jednak uzasadnieniem dla dalej idących tez stawianych przez UODO.

Na podstawie wymienionych stanowisk UODO wywiódł, że administrator jest zobligowany do wypełnienia w stosunku do takich osób obowiązku informacyjnego określonego w art. 13 lub 14 rodo. Problem w tym, że UODO skupił się na naturze przedmiotowych danych i kategorii osób, których one dotyczą, a nie na zbadaniu, czy z samego faktu ich posiadania dany podmiot staje się ich administratorem. Taka właśnie analiza powinna być podstawą do wyciągania wniosków dotyczących obowiązku spełnienia wymogów stawianych przez rodo, czego jednak UODO nie uczynił. Co więcej, wątek ten jest konsekwentnie pomijany we wszelkich rekomendacjach UODO, co zdaje się prowadzić do błędnej tezy, że mając dane, zawsze jest się ich administratorem lub procesorem ze wszystkimi tego konsekwencjami. Tymczasem zagadnienie to jest o wiele bardziej złożone.

 

[...]

 

Autorka jest radcą prawnym, partnerem i liderem zespołu ds. ochrony danych osobowych w kancelarii A. Sobczyk i Współpracownicy.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.