Czy należy wykonywać obowiązek informacyjny wobec członków zarządu?
Urząd Ochrony Danych Osobowych („UODO”) w swoim stanowisku opublikowanym 30 czerwca 2020 r. wyraził pogląd, zgodnie z którym dane członków zarządu reprezentujących osobę prawną podlegają ochronie RODO jako dane osób fizycznych możliwych do zidentyfikowania za pomocą danych ujawnianych w KRS.
W związku z tym, zdaniem UODO, administratorzy danych osobowych (np. kontrahent zawierający umowę z osobą prawną reprezentowaną przez członka zarządu) są zobligowani do wykonania wobec członków zarządu reprezentujących osobę prawną obowiązku informacyjnego z art. 13 lub art. 14 RODO. Obowiązek informacyjny powinien zostać wykonany również wobec pełnomocników osób prawnych i wobec pracowników, którzy są osobami kontaktowymi osoby prawnej.
Jak to wygląda w praktyce?
Już od 25 maja 2018 r. wiele podmiotów na rynku, zawierając umowę z osobą prawną, realizuje obowiązek informacyjny wobec osób reprezentujących dany podmiot (członków zarządu, pełnomocników) oraz wskazanych w umowie osób kontaktowych i zamieszcza stosowną klauzulę informacyjną jako załącznik do umowy. Stanowisko UODO nie wydaje się więc na pierwszy rzut oka niczym zaskakującym.
Co na to przepisy RODO?
Niemniej jednak części specjalistów pogląd UODO wydaje się kontrowersyjny. Wskazują oni na brzmienie motywu (14) RODO, zgodnie z którym rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej i argumentują, że przepisy RODO nie znajdują zastosowania do danych koniecznych do oznaczania osoby prawnej w obrocie gospodarczym. UODO podkreśla jednak, że jego zdaniem dane członków zarządu nie mieszczą się w zakresie pojęcia danych osoby prawnej, o których mowa we wspomnianym motywie.
W związku z powyższym podmioty, które w ramach wdrażania RODO przyjęły koncepcję nierealizowania obowiązku informacyjnego wobec członków zarządu reprezentujących osoby prawne i które nie chcą narazić się na ewentualne zastrzeżenia ze strony organu nadzoru, powinny rozważyć zmianę praktyki w tym zakresie i przygotować treść klauzuli informacyjnej, którą będą załączać do zawieranych umów.
Kiedy można nie realizować obowiązku informacyjnego?
Warto pamiętać, na co też wskazuje UODO, że administrator nie będzie zobowiązany do wykonania obowiązku informacyjnego, jeśli zajdzie jedna z przesłanek zwalniających go z tego obowiązku.
Przesłanki te wskazane są w art. 13 i art. 14 RODO. Jedną z nich jest sytuacja, w której podmiot danych dysponuje już informacjami na temat przetwarzania jego danych. UODO nie wyjaśnia jednak, w jakich konkretnie sytuacjach administrator mógłby skorzystać z tego wyłączenia. Wspominane przepisy nakładają na administratora obowiązek przekazania podmiotowi danych szeregu szczegółowych informacji na temat przetwarzania jego danych osobowych, na przykład o odbiorcach, którym dane są przekazywane i o okresie przechowywania danych. Niewystarczające byłoby więc uznanie przez administratora, że członek zarządu dysponuje już informacjami na temat tego, w jaki sposób jego dane są przetwarzane, ponieważ wie, że w związku z zawarciem umowy jego dane zostały przekazane do administratora. Członek zarządu nie dysponuje przecież szczegółowymi informacjami związanymi z przetwarzaniem jego danych (np. dotyczącymi odbiorcy danych, okresu ich przechowywania, ewentualnego transferu danych poza EOG). Wydaje się, że korzystanie z tego rodzaju wyłączenia mogłoby być uzasadnione w przypadku stałej współpracy pomiędzy podmiotami. Jednak w praktyce wiązałoby się to z trudnościami po stronie administratora, który musiałby czuwać na przykład nad tym, czy nie nastąpiła zmiana w zarządzie kontrahenta, w wyniku której musiałby wykonać obowiązek informacyjny wobec nowego członka zarządu przy okazji zawierania kolejnej umowy.
Karolina Romanowska