Rada nadzorcza może badać wszystkie dokumenty spółki z o.o., ale  administratorem danych jest zarząd - pisze czytelnik i pyta, czy  członkowie rady nadzorczej w spółce z o.o. mają wgląd we wszystkie dane osobowe przetwarzane w spółce?

Odpowiedź

W świetle art. 23 ust. 1 ustawy z 29.08.1997 r. o ochronie danych osobowych – dalej u.o.d.o. przetwarzanie danych jest dopuszczalne, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;

5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Przepisy u.o.d.o. określają jedynie ogólne zasady przetwarzania danych osobowych i ich ochrony, zaś skonkretyzowanie tychże reguł ma miejsce w szczególnych, wobec jej regulacji, unormowaniach. W sytuacji zatem, gdy określone zagadnienia uregulowane są w odrębnych aktach prawnych, należy się do nich odwołać.

Zgodnie natomiast z art. 219 § 1 ustawy z 15.09.2000 r. – Kodeks spółek handlowych* – dalej k.s.h. Rada Nadzorcza sp. z o.o. sprawuje stały nadzór nad działalnością tejże spółki we wszystkich dziedzinach jej działalności. Jest to zarówno prawo, jak i obowiązek tego gremium. W celu wykonywania swoich zadań (sprawowania stałego nadzoru nad działalnością sp. z o.o.), z kolei, organ ten może badać wszystkie dokumenty sp. z o.o., żądać od zarządu i pracowników sprawozdań i wyjaśnień oraz dokonywać rewizji stanu majątku spółki. Tak stanowi art. 219 § 4 k.s.h.

A skoro tak, to, na podstawie art. 23 ust. 1 pkt 2 u.o.d.o., Rada Nadzorcza sp. z o.o., może, w celu wykonywania swoich ustawowych zadań (tj. tych określonych w art. 219 § 1 i 4 k.s.h.), z mocy samego prawa (czyli bez zgody/upoważnienia np. Zarządu), przetwarzać wszystkie dane osobowe, które zostaną ujawnione w trakcie wykonywania przez to gremium w/w ustawowych zadań. Jest to bowiem niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku przez Radę Nadzorczą sp. z o.o. wynikającego z przepisu prawa, tj. tego wynikającego z art. 219 § 1 i 4 k.s.h. Jakiekolwiek ograniczenie w/w organu w przetwarzaniu danych osobowych (np. poprzez zakaz wglądu do umów o pracę), z którymi Rada Nadzorcza sp. z o.o. będzie miała do czynienia przy realizacji swoich ustawowych zadań, tj. tych określonych w art. 219 § 1 i 4 k.s.h., jako sprzeczne z tym przepisem k.s.h., będzie zatem niedopuszczalne, bo bezprawne. A contrario (wnioskowanie z przeciwieństwa) więc, Rada Nadzorcza sp. z o.o. nie ma prawa przetwarzać żadnych danych osobowych w tej spółce, gdy to przetwarzanie nie ma związku z wykonywaniem przez to gremium jego ustawowych zadań, tj. tych określonych w art. 219 § 1 i 4 k.s.h. Bez wskazania przez Czytelnika konkretnej sytuacji, autorka nie jest jednak w stanie stwierdzić, czy – w danym przypadku – w/w gremium może przetwarzać określoną/e daną/e osobową/e (np. mieć do niej/nich wgląd). Dla przykładu Rada Nadzorcza sp. z o.o. może, z mocy samego prawa, przeglądać umowy o pracę wszystkich pracowników, aby ustalić, czy ich pensje są zgodne z wewnętrznym Regulaminem Wynagradzania.



Przepis art. 23 ust. 1 pkt 2 u.o.d.o. jest odpowiednikiem art. 6 ust. 1 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. 119, s. 1) – dalej RODO*. W/w rozporządzenie, od 25.05.2018 r., zacznie obowiązywać w polskim porządku prawnym. Od tejże daty zatem, w wyżej omawianym zakresie, zamiast art. 23 ust. 1 pkt 2 u.o.d.o. będzie miał zastosowanie art. 6 ust. 1 lit. c RODO. Od 25.05.2018 r. bowiem to przepisy RODO będą miały pierwszeństwo stosowania przed polskimi regulacjami.

Czytelnik zadając pytanie zaznaczył, że wydaje mu się, że nie ma podstaw do udzielania członkom rady upoważnień do przetwarzania danych przez Zarząd (Administratora).  W świetle art. 4 pkt 7 RODO ADO to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. To zatem sp. z o.o., a nie – jej Zarząd, jest ADO w rozumieniu w/w przepisu RODO.

* Odpowiedź pochodzi z programu SIP LEX. Linki w tekście artykułu mogą więc odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu.