W praktyce powszechnie można spotkać się z nagrywaniem posiedzeń zarządu czy rady nadzorczej w spółkach. Z jednej strony kwestia ta wymaga odpowiedniego przygotowania z punktu widzenia przepisów kodeksu spółek handlowych (na przykład przez przygotowanie odpowiednich regulaminów). Z drugiej strony należy jednak również pamiętać, że wizerunek może stanowić daną osobową, a w konsekwencji tego rodzaju nagrywanie może wymagać weryfikacji zgodności z RODO. Szczególnie interesujące są pytania o to, która podstawa prawna mogłaby uzasadniać nagrywanie posiedzeń i czy można je nagrywać wyłącznie w przypadku uzyskania zgody członków organu.
Czytaj też: Mimo upływu czasu, stosowanie przepisów RODO cały czas problematyczne >>
Czy głos oraz wizerunek stanowią dane osobowe?
W pierwszej kolejności należy zwrócić uwagę, że na gruncie RODO dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Zarejestrowany w ramach nagrania głos czy wizerunek mogą stanowić dane osobowe i podlegać ochronie wynikającej z RODO (można je przecież w bardzo prosty sposób powiązać z konkretną osobą fizyczną – członkiem organu).
Należy odpowiedzieć również na pytanie, kto będzie administratorem danych osobowych w przypadku nagrywania posiedzeń. Na gruncie RODO za administratora uważa się m.in. osobę prawną, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W przypadku nagrań posiedzeń organów spółek prawa handlowego administratorem danych osobowych będzie sama spółka, a nie jej organy czy osoby ją reprezentujące lub pełniące w niej funkcje zarządcze.
Podstawa prawna przetwarzania
Jedną z podstawowych zasad dotyczących przetwarzania danych osobowych jest tzw. zasada legalności. Oznacza ona, że dane osobowe muszą być przetwarzane zgodnie z prawem (w szczególności zgodnie z RODO). Podstawy prawne przetwarzania danych osobowych zostały określone w art. 6 ust. 1 lit. a – f RODO.
Żeby ocenić czy posiedzenia organów mogą być nagrywane należy więc ustalić, czy w ogóle występuje jakakolwiek podstawa prawna, na którą spółka mogłaby się powołać. W praktyce potencjalne zastosowanie mogłyby znaleźć trzy podstawy prawne przetwarzania danych osobowych: obowiązek prawny administratora, zgoda lub prawnie uzasadniony interes administratora.
Obowiązek prawny administratora?
Jeżeli weźmiemy pod uwagę posiedzenia zarządu oraz rady nadzorczej w spółce z ograniczoną odpowiedzialnością to zarówno art. 208(1) Kodeksu spółek handlowych (w przypadku zarządu) jak i art. 222 par. 2 kodeksu spółek handlowych (w przypadku rady nadzorczej) wskazują nam jedynie, że uchwały rady nadzorczej oraz uchwały zarządu są protokołowane.
Analogiczne regulacje znajdziemy w przypadku spółki akcyjnej. Z art. 376 kodeksu spółek handlowych (w przypadku zarządu) oraz z art. 391 par. 2 kodeksu spółek handlowych (w przypadku rady nadzorczej) również wynika jedynie, że uchwały zarządu oraz uchwały rady nadzorczej są protokołowane.
Obowiązujące przepisy nie nakładają zatem na administratora (spółkę) obowiązku nagrywania posiedzeń zarządu lub rady nadzorczej. Wobec tego odpadnie nam podstawa prawna określona art. 6 ust. 1 lit. c) RODO – przetwarzania danych osobowych członków rady nadzorczej lub członków zarządu utrwalonych w ramach nagrań z posiedzenia nie będzie można oprzeć na realizacji obowiązku prawnego ciążącego na administratorze.
Czytaj też w LEX: Niezbędność przetwarzania danych jako warunek konieczny dla wypełnienia obowiązku prawnego administratora >
Zgoda członków zarządu lub rady nadzorczej
Kolejną podstawą prawną jaką można rozważyć jest zgoda na przetwarzanie danych osobowych (art. 6 ust. 1 lit. a RODO).
Nie ma oczywiście przeszkód, aby od członków organów odebrać zgodę na przetwarzanie ich danych osobowych w celu wykonania nagrania z posiedzenia.
Należy jednak zwrócić uwagę, że często już samo uzyskanie takiej zgody może okazać się problematyczne, w szczególności w gdy w zarządzie lub radzie nadzorczej zasiada większa liczba członków lub gdy członkowie są ze sobą skonfliktowani. W przypadku konfliktu wśród członków zarządu czy rady nadzorczej uzyskanie zgody może okazać się po prostu niemożliwe. Zgoda musi być wyrażona dobrowolna i nikogo nie można „zmusić” do wyrażenia zgody.
Co więcej, należy pamiętać, że nawet w przypadku wyrażenia zgody członkowie organów będą mieli oni możliwość jej wycofania w dowolnym momencie. Skutkiem cofnięcia zgody na przetwarzanie danych osobowych będzie brak możliwości powołania się na tę właśnie podstawę przetwarzania danych.
Czy oznacza to, że w przypadku braku zgody spółka nie będzie miała możliwości nagrywania posiedzeń zarządu czy rady nadzorczej?
Prawnie uzasadniony interes
Należy wziąć pod uwagę jeszcze jedną podstawę przetwarzania danych osobowych, tj. prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO).
Prawnie uzasadniony interes stanowi samodzielną podstawę przetwarzania danych osobowych. Administrator może przetwarzać dane osobowe, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.
Rozstrzygnięcie, czy dane przetwarzane w ramach nagrania z posiedzenia rady nadzorczej powinny być przetwarzane w oparciu o zgodę osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO), czy też można pominąć zgodę i uznać, że przetwarzanie następuje na podstawie prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO), wymaga uwzględnienia przynajmniej kilku okoliczności prawnych.
Po pierwsze, musi występować prawnie uzasadniony interes, który jest realizowany przez administratora lub przez stronę trzecią. Po drugie, konieczne jest sprawdzenie, czy przetwarzanie danych osobowych jest niezbędne dla realizacji celu wynikającego z tego interesu. Po trzecie trzeba ocenić, czy nie występują interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, które miałyby charakter nadrzędny wobec prawnie uzasadnionych interesów administratora lub strony trzeciej.
Przy ocenie przesłanki prawnie uzasadnionych interesów należy mieć na względzie to czy cel, który zamierza osiągnąć administrator, jest usprawiedliwiony np. w związku z prowadzoną działalnością gospodarczą.
Trzeba mieć jednak przy tym na względzie, aby nie doszło do sytuacji, w której nadrzędny charakter wobec interesów administratora mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.
W takim przypadku należy dokonać ważenia interesów administratora oraz osoby, której dane dotyczą, związanych z ochroną jej podstawowych praw i wolności. Przetwarzanie danych osobowych w oparciu o art. 6 ust. 1 lit. f RODO z jednej strony musi się odbywać w prawnie uzasadnionym interesie, a z drugiej strony nie może przeważać nad interesem osoby, której dane dotyczą oraz naruszać jej podstawowych praw i wolności.
Czytaj też w LEX: Prawnie uzasadniony interes jako przesłanka legalizująca przetwarzanie danych – pojęcie >
Wszystko zależy od celu
Pewien kierunek interpretacji został wskazany w motywie 47 preambuły RODO, zgodnie z którym interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych, w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania.
W niektórych publikacjach można spotkać się ze stanowiskiem, zgodnie z którym art. 6 ust. 1 lit. f nie będzie stanowił właściwej podstawy prawnej przetwarzania danych osobowych członków organów w ramach nagrań z posiedzeń, ponieważ interes prawny spółki jest wystarczająco zabezpieczony protokołem pisemnym, a nagrania stanowią jedynie instrument pomocniczy, mający na celu ułatwienie sporządzenia protokołu pisemnego z posiedzenia zarządu czy rady nadzorczej.
Zobacz nagranie szkolenia: Test równowagi wg RODO – krok po kroku >
Należałoby się jednak głębiej zastanowić, czy faktycznie takie nagranie zawsze ma na celu jedynie ułatwienie sporządzenia protokołu pisemnego. Nie wydaje się, aby było tak chociażby w sytuacji, w której członkowie organów pozostają ze sobą skonfliktowani, a ich działania mają na celu zakłócenie przebiegu posiedzenia, w tym głosowania. W skrajnych przypadkach może dojść do sytuacji, w której członkowie organów będą wskazywać np. na nieprawidłowe sporządzenie protokołu lub sfałszowanie wyników głosowania, a w konsekwencji domagać się zmiany w protokole. W takiej sytuacji nagranie z posiedzenia może okazać się jedynym rozwiązaniem, które pozwoli na rzetelne i zgodne z prawdą sporządzenie protokołu czy rozstrzygnięcie sporu.
Zobacz procedurę: Legalność przetwarzania danych osobowych (innych niż dane wrażliwe) >
Nagranie posiedzenia może służyć nie tylko zabezpieczeniu uzasadnionych interesów spółki, lecz również członków jej organów. Interesem takim będzie prawidłowe i rzetelne sporządzenie protokołu oraz zabezpieczenie informacji na wypadek potrzeby wykazania faktów (w tym w szczególności dotyczących oddania głosu przez danego członka rady nadzorczej w ramach głosowania podczas posiedzenia), dochodzenia roszczeń czy obrony przed roszczeniami.
Nie wydaje się przy tym, aby takie nagrywanie posiedzeń w każdym przypadku naruszało podstawowe prawa i wolności poszczególnych członków rady nadzorczej. Istotna jest jednak oczywiście okoliczność, czy członkowie organów mogli spodziewać się, że ich dane będą przetwarzane w taki sposób.
Przede wszystkim zwracam uwagę, że przepisy kodeksu spółek handlowych dają możliwość przyznania określonych uprawnień związanych z organizacją zarządu lub rady nadzorczej w umowie spółki lub statucie. Dodatkowo, mamy również możliwość uregulowania tych kwestii w regulaminie zarządu lub regulaminie rady nadzorczej.
W związku z tym możliwość nagrywania posiedzeń powinna w naszej ocenie wynikać odpowiednio z umowy spółki/statutu lub regulaminu zarządu/regulaminu rady nadzorczej.
Dodatkowo trzeba zwrócić uwagę, że zarówno przepisy dotyczące spółki z ograniczoną odpowiedzialnością, jak i spółki akcyjnej pozostawiają dużą swobodę w określeniu sposobu sporządzania protokołu – nie narzucają one określonej formy protokołu.
Część przedstawicieli doktryny zwraca uwagę na wykładnię gramatyczną art. 376 kodeksu spółek handlowych dotyczącego spółki akcyjnej (możemy to odnieść również do spółki z ograniczoną odpowiedzialnością), z którego wynika nakaz protokołowania uchwał, a nie protokołowania ich podejmowania, co w konsekwencji oznacza, że wskazany przepis służy odnotowaniu faktu podjęcia uchwały na posiedzeniu, a nie jest regulacją, która powinna być brana pod uagę przy dokonywaniu oceny prawidłowości procesu podejmowania uchwały. Samego protokołu nie można utożsamiać z uchwałą, która stanowi przecież jedynie jego część.
WZÓR DOKUMENTU: Protokół posiedzenia zarządu spółki akcyjnej >
Przy rozważaniu kwestii związanych z formą protokołu z posiedzeń zarządu czy rady nadzorczej trzeba też zwrócić uwagę, że ogólną zasadą jest, że można w nich uczestniczyć przy wykorzystaniu środków bezpośredniego porozumiewania się na odległość, chyba że umowa spółki stanowi inaczej.
Podsumowanie
Należy pamiętać, że przy przetwarzaniu danych opartym na prawnie uzasadnionym interesie z art. 6 lit. f RODO trzeba każdorazowo kierować się indywidualną oceną danej sytuacji oraz dokonać ważenia interesów administratora danych osobowych dotyczących realizacji jego prawnie uzasadnionych interesów oraz osoby, której dane dotyczą związanych z ochroną jej podstawowych praw i wolności.
Nie da się kategorycznie przesądzić, czy w każdym przypadku będzie można przetwarzać dane osobowe utrwalone w ramach nagrania z posiedzenia w oparciu o art. 6 lit. f RODO, ale z pewnością nie można tego z góry wykluczyć, gdyż w wielu przypadkach takie przetwarzanie nie będzie służyło nie tylko ułatwieniu sporządzenia protokołu pisemnego, lecz zabezpieczeniu zarówno prawnie uzasadnionych interesów spółki jak i członków jej organów. Analizując wskazane regulacje dotyczące organizacji posiedzeń organów spółek wynikające z kodeksu spółek handlowych nie można zapominać o innych przepisach, w tym w szczególności tych dotyczących danych osobowych. Nie można tracić z pola widzenia tego, że nawet jeżeli kodeks spółek handlowych pozostawia nam pewną swobodę w kwestii sporządzenia protokołu z posiedzenia to nadal nie może to być sprzeczne z innymi przepisami, w tym właśnie z RODO. Zauważmy, że to, że kodeks spółek handlowych nie zabrania nam uregulowania danej kwestii w określony sposób nie oznacza, że nie będzie ona zabroniona na gruncie RODO. Nie można tego automatycznie przesądzić.
Weryfikacja podstaw przetwarzania danych osobowych członków organów w spółkach na podstawie RODO musi się odbyć niezależnie od weryfikacji podstaw z kodeksu spółek handlowych.
Marta Ostrowska, Senior Associate w kancelarii WN Legal Wątrobiński Nartowski
