Prezes UODO wydał stanowisko w sprawie realizowania obowiązku informacyjnego względem członków zarządu osób prawnych.
Ogólne rozporządzenie o ochronie danych („RODO”) ma za zadanie zapewnić spójny system ochrony danych osobowych w państwach Unii Europejskiej. RODO chroni dane osobowe wszystkich osób fizycznych, w tym przedsiębiorców prowadzących jednoosobową działalność gospodarczą. RODO w motywie 14 ogranicza swoje zastosowanie, stanowiąc, że „Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej”. Pomimo tego wyłączenia pojawiły się wątpliwości dotyczące tego, czy RODO i obowiązki z niego wynikające znajdą swoje zastosowanie w stosunku do członków zarządu osób prawnych. Jednym z kluczowych obowiązków administratora danych wynikających z RODO jest obowiązek informowania osób, których dane osobowe są przetwarzane o m.in. administratorze danych, podstawie i celach przetwarzania danych, okresie ich przechowywania. W odniesieniu do danych osobowych zbieranych bezpośrednio od zainteresowanego, szczegółowy zakres obowiązku wynika z art. 13 RODO. Natomiast w przypadku pozyskania danych z innego źródła niż osoba, której dane dotyczą, treść obowiązku informacyjnego określa art. 14 RODO.
Czy należy spełniać obowiązek informacyjny w sytuacji, gdy w treści dokumentacji pojawiają się dane osób upoważnionych do reprezentacji spółek np. członków zarządu (organów spółek) bądź osób uprawnionych do składania oświadczeń w imieniu określonego podmiotu?
Prezes Urzędu Ochrony Danych Osobowych („Prezes UODO”) stoi na stanowisku, że taki obowiązek powinien być spełniony z uwagi na to, że dane osób fizycznych pełniących funkcje członków organów osoby prawnej będą stanowiły dane osobowe, i nie będą mieściły się w zakresie pojęcia danych osoby prawnej (w rozumieniu motywu 14 RODO).
Dane osobowe osób fizycznych pełniących funkcję członków organów osoby prawnej mogą być ujawnione w Krajowym Rejestrze Sądowym. Ujawnione dane dają osobom postronnym możliwość identyfikacji konkretnej osoby z pełnioną funkcją w organach osoby prawnej. Oznacza to, że nie można korzystać z wyjątku przewidzianego dla osób prawnych, lecz konieczne jest odmiennie traktowanie informacji o osobach prawnych i osobach fizycznych reprezentujących osoby prawne. Podobnie sytuacja wygląda w odniesieniu do danych pełnomocników i pracowników osób prawnych.
Prezes UODO powołuje się przy tym na odpowiedź Komisji Europejskiej z dnia 21 lutego 2018 r. na pisemne pytanie członka Parlamentu Europejskiego Richarda Sulika. Odpowiedź wskazała, że motyw 14 RODO wyjaśnia, że RODO nie ma zastosowania do przetwarzania danych osobowych, które dotyczą osób prawnych, w tym nazwy i formy osoby prawnej oraz danych kontaktowych osoby prawnej. Ogólny adres e-mail osoby prawnej niewskazujący konkretnej osoby, nie wchodzi w zakres rozporządzenia. Jednak profesjonalne adresy e-mail wskazujące na dane osobowe pracowników osoby prawnej byłyby objęte zakresem RODO (odp. KE dostępna pod linkiem)
Prezes UODO przywołał również wyrok Trybunał Sprawiedliwości UE z dnia 9 marca 2017 r. w sprawie C-398/15.
Trybunał Sprawiedliwości UE orzekł wtedy, powołując się na orzecznictwo Trybunału, że okoliczność, iż informacje wpisują się ramy działalności zawodowej, nie oznacza, że nie można ich scharakteryzować jako dane osobowe. Definicja danych osobowych odnosi się zatem do osób fizycznych bez względu na rolę, jaką odgrywają (czy są konsumentami, przedsiębiorcami czy pracownikami itd.).
Konsekwencją powyższego stanowiska Prezesa UODO i powołanej przez niego odpowiedzi Komisji Europejskiej oraz wyroku Trybunały Sprawiedliwości UE jest to, że dane członków zarządu reprezentujących osobę prawną, dane pełnomocników osób prawnych, a także dane pracowników, którzy są osobami kontaktowymi osoby prawnej będą danymi osobowymi podlegającymi ochronie RODO, a przez to należy wobec takich osób wypełnić obowiązek informacyjny z art. 13 lub 14 RODO, chyba że zachodzi jedna z przesłanek zwalniających z tego obowiązku, np. gdy osoba, której dane dotyczą, dysponuje już tymi informacjami. Na marginesie należy dodać, że zgodnie z art. 13 ust 1. RODO, administrator już podczas pozyskiwania danych osobowych od osoby, której dane dotyczą, jest zobowiązany do wypełnienia wobec niej obowiązku informacyjnego.
Obowiązek informacyjny | Członkowie zarządu | Dane osobowe | Dane osoby fizycznej | Dane osoby prawnej | Prezes UODO | Urząd Ochrony Danych Osobowych