Urząd Ochrony Danych Osobowych zajął właśnie stanowisko w sprawie przetwarzania danych osobowych członków zarządów i pełnomocników osób prawnych. Na pytanie, czy należy dopełniać obowiązek informacyjny na mocy art. 13 i 14 RODO, gdy w treści dokumentacji dotyczącej postępowań administracyjnych pojawiają się dane osób upoważnionych do reprezentacji spółek, np. członków zarządu bądź osób uprawnionych do składania oświadczeń w imieniu, odpowiedział, że tak.

Prawnicy krytykują to stanowisko. Dr Arwid Mednis, radca prawny, partner w kancelarii Kobylańska Lewoszewski Mednis podkreśla, że jest to temat ważny, bo realizacja obowiązku wobec wszystkich członków zarządów wszystkich kontrahentów firmy może wiązać się z ogromnymi kosztami. W Polsce zarejestrowanych jest blisko 500 tys. spółek, 22 tysiące fundacji i 112 tysięcy stowarzyszeń. Członkowie zarządów i pełnomocnicy podpisujący umowy muszą być poinformowani o tym, że kontrahenci przetwarzają ich dane. - W efekcie stanowisko UODO, z którym się nie zgadzam, zrewolucjonizuje obrót gospodarczy. Przypuszczam, że najwięcej pracy miałyby działy handlowe oraz te odpowiedzialne za przestrzeganie RODO - wyjaśnia dr Maciej Kawecki, adwokat, dziekan Wyższej Szkoły Bankowej w Warszawie.

Zobacz procedurę w LEX: Realizacja obowiązku informacyjnego przy gromadzeniu danych osobowych >

Co mówią przepisy, co mówi UODO

Zgodnie z art. 13 i 14 RODO administrator danych osobowych musi spełnić tzw. obowiązek informacyjny. Chodzi o poinformowanie osoby, której dane przetwarza o celach przetwarzania, podać okres przez jaki będzie to robił, informacje o prawie żądania dostępu do danych, wniesieniu skargi, itp. Art. 13 dotyczy sytuacji, gdy dane pochodzą bezpośrednio od osoby, której dotyczą, zaś art. 14 - sytuacji, gdy dane nie pochodzą bezpośrednio od tej osoby. Tyle, że zgodnie z motywem 14 preambuły RODO jego przepisy nie dotyczą przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych. RODO stosuje się bowiem do danych osób fizycznych.

Czytaj w LEX: Weryfikacja kontrahentów, a przetwarzanie danych osobowych >

UODO uznał jednak, że osób reprezentujących spółki, pełnomocników, podobnie jak zwykłych pracowników osób prawnych nie można traktować jako osób prawnych. - Należy przyjąć, że dane osób fizycznych pełniących funkcje członków organów osoby prawnej będą stanowiły dane osobowe, a nie będą zaś mieściły się w zakresie pojęcia danych osoby prawnej w rozumieniu motywu 14 RODO. Podobnie sytuacja wygląda w odniesieniu do danych pełnomocników i pracowników osób prawnych – czytamy w stanowisku. Zdaniem UODO w takich sytuacjach spełnienie przesłanki identyfikowalności przesądzić powinno o objęciu zakresem ochronnym RODO. W przypadku osób fizycznych pełniących funkcję członków organów osoby prawnej możliwość ich identyfikacji wynika bowiem w szczególności z faktu, iż dane takich osób ujawniane są w KRS. - Oznacza to, że należy odmiennie odnosić się do informacji o osobach prawnych i osobach fizycznych reprezentujących osoby prawne – wyjaśnia UODO.

Czytaj w LEX: Okiem IOD-a: Wypełnienie obowiązków informacyjnych wobec osoby, której dane dotyczą >

 


UODO podpiera się stanowiskiem Komisji Europejskiej i TSUE

Urząd swoje stanowisko opiera na odpowiedzi Komisji Europejskiej na pytanie szwedzkiego europosła. Tyle, że zapytał on o adresy e-mail klientów sklepów internetowych, np.  johnsmith@gmail oraz służbowe pracowników, np.  johnsmith@ikea.sk. I Vera Jurova, obecnie wiceprzewodnicząca KE, odpowiedziała, że w motywie 14 RODO wyjaśniono, że rozporządzenie nie ma zastosowania do przetwarzania danych osobowych, które dotyczą osób prawnych, w tym nazwiska i formy osoby prawnej oraz danych kontaktowych osoby prawnej. Adres e-mail osoby prawnej, takiej jak ikeacontact@ikea.com, nie wchodzi w zakres rozporządzenia. Jednak dane osobowe pracowników osoby prawnej, w tym ich profesjonalne adresy e-mail, byłyby objęte zakresem rozporządzenia (np. Johnsmith@ikea.sk).

Czytaj w LEX: Praktyczne omówienie obowiązku informacyjnego w świetle RODO >

Komisja nie odnosiła się więc do członków zarządów, którzy z mocy prawa muszą figurować w Krajowym Rejestrze Sądowym. UODO powołuje się też na wyrok Trybunału Sprawiedliwości UE z 9 marca 2017 r. w sprawie C-398/15. Jego zdaniem TSUE orzekł, że okoliczność, iż informacje wpisują się w ramy działalności zawodowej, nie oznacza, że nie można ich scharakteryzować jako dane osobowe.

Czytaj w LEX: Romanowski Michał, Weber-Elżanowska Anne-Marie, Prawo członka organu spółki kapitałowej do "bycia zapomnianym". Glosa do wyroku TS z dnia 9 marca 2017 r., C-398/15 >

Definicja danych osobowych odnosi się zatem do osób fizycznych bez względu na rolę, jaką odgrywają (czy są konsumentami, przedsiębiorcami czy pracownikami itd.). To oznacza, że spółki, które zawarły kontrakt muszą wzajemnie wypełnić obowiązek informacyjny wobec wszystkich osób w nim wymienionych, także członków zarządów i pełnomocników. Mogą to zrobić mailem, ale jak nie dysponują adresem elektronicznym, muszą wysłać tradycyjny list. Prawników nie przekonują jednak argumenty UODO.

Absurdalne stanowisko

Prawnicy nie mają wątpliwości, że przedstawione stanowisko jest absurdalne, zbyt formalistyczne, narażające spółki na duże koszty związane ze spełnieniem obowiązku informacyjnego.  - Śmiem twierdzić, że niektóre instytucje publiczne są oderwane od rzeczywistości. Nie wiem, czy wiedzą jaką rolę pełnią zarządy spółek – ocenia Aneta Sieradzka z Kancelarii Prawnej Sieradzka Partners.  W jego efekcie jednak każdy prezes, wiceprezes, prokurent podpisujący umowę powinien wiedzieć, kto jest inspektorem danych osobowych kontrahenta.

– To jeden z absurdalnych formalizmów, podobnie jak spełnianie obowiązku informacyjnego wobec osób wymienionych w umowie, osób do kontaktu de facto właścicieli biznesowych – uważa Maciej Wlazło, prawnik specjalizujący się w ochronie danych.  Rafał Lorent z kancelarii Zakrzewski Domański Palinka dodaje, że członkowie zarządów i tak nie przeczytają maila z informacjami o przetwarzaniu danych. Przede wszystkim eksperci podkreślają, że organy osób prawnych podpisując umowę zdają sobie sprawę, że ich dane osobowe są i będą przetwarzane.  Nieco inaczej na sprawę patrzy Maciej Gawroński, radca prawny, partner w Gawroński & Partners. - Europejska ochrona danych osobowych oparta jest na tzw. podejściu funkcjonalnym, mocno odbiegającym od tradycji polskiego prawa stanowionego. To funkcjonalne podejście umyka jednoznacznemu stanowisku, że dane członków zarządu osoby prawnej są danymi osobowymi, a więc trzeba spełniać obowiązek informacyjny. Podobnie jak stanowisku przeciwnemu, które mogłoby wadliwie twierdzić, że dane członków zarządu osoby prawnej są niezbędnymi danymi osobowymi osoby prawnej, więc nie podlegają RODO.  Jeśli byłyby przetwarzane w sposób zautomatyzowany, podlegałyby. Zależnie od kontekstu, oba stanowiska mogą być więc prawidłowe. Jednak dane członka zarządu działającego w imieniu organizacji, które nie są przetwarzane ani w sposób zautomatyzowany, ani w zbiorze, nie podlegają RODO - uważa Maciej Gawroński. Dr Arwid Mednis zwraca jednak uwagę, że przytoczone przez UODO argumenty nie odnoszą się do kwestii poruszonej przez UODO.

Dlaczego argumenty UODO nie pasują do tezy

- Stanowisko UODO mnie nie przekonuje – mówi dr Arwid Mednis. – Po pierwsze, należy się mocniej pochylić nad pojęciem „dane kontaktowe osób prawnych”. Czy nie można uznać, że przynajmniej dane członków zarządu i prokurentów, które faktycznie służą do kontaktu z osobą prawną, dane kontaktowe tej osoby i jako takie nie podlegają RODO. Po drugie, próbując udowodnić tezę o konieczności informowania członków zarządów do jednego worka wrzucono członków zarządów, wszystkich pełnomocników i pracowników, choć ich role w spółkach są różne. Nie można bowiem porównywać członka zarządu, prokurenta z mocy prawa reprezentujących spółkę, na mocy przepisów wskazanych w Krajowym Rejestrze Sądowym ze zwykłym pracownikiem, czy każdym pełnomocnikiem. Prawnik reprezentujący spółkę oczywiście nie jest „osobą kontaktową” tej firmy. Po trzecie, cytowana odpowiedź KE i wyrok TSUE dotyczyły innych zagadnień. Odpowiedź KE dotyczy pracowników, i tutaj, można się zgodzić, że adres imienny zwykłego pracownika podlega RODO, chociaż i w tym przypadku można się zastanawiać czy nie są to dane kontaktowe, jeśli firma np. zawiesza je na swojej stronie. Z kolei TSUE rozstrzygał kwestię zarządcy firmy, który domagał się wykreślenia z włoskiego odpowiednika KRS, a więc sprawa dotyczył zupełnie innego zagadnienia – podkreśla dr Mednis.

Stanowisko UODO absolutnie nie przekonuje też Henryka Hosera adwokata w kancelarii Traple, Konarski, Podrecki. - Różne kategorie osób potraktowane zostały zdawkowo i wrzucone w zasadzie do jednego worka – podkreśla.

Z drugiej strony prawnicy zgodnie podkreślają, że kwestia którą zajął się UODO jest bardzo ważna i kluczowa. Tyle, że jego stanowisko pozostawia wiele do życzenia. Maciej Kawecki zwraca uwagę na jeszcze jeden argument. Otóż w uzasadnieniu do tzw. ustawy sektorowej wdrażającej RODO w różnych branżach wskazano, że pojęcie danych o firmie i formie prawnej oraz danych kontaktowych powinno obejmować dane konieczne do oznaczenia osoby prawnej w obrocie gospodarczym, przy czym nie jest możliwe, że są to wszystkie dane zawarte w KRS. Taką daną nie byłaby informacja wskazująca na rozdzielność majątkową.