iSecure logo
  • pl
  • en
    • Blog

    Stanowisko iSecure w sprawie realizacji obowiązku informacyjnego wobec osób reprezentujących spółki i inne podmioty prawne

    Agnieszka Rapcewicz
    Wspomnienia ze Spodka 2.0
    Kategorie

    Gorzka pigułka od PUODO leczy najskuteczniej

    30 czerwca bieżącego roku na stronie internetowej Urzędu Ochrony Danych Osobowych („UODO”) została opublikowana odpowiedź na pytanie:

    Czy należy dopełniać obowiązek informacyjny na mocy art. 13 i 14 RODO w sytuacji, gdy w treści dokumentacji dotyczącej postępowań administracyjnych pojawiają się dane osób upoważnionych do reprezentacji spółek np. członków zarządu (organów spółek) bądź osób uprawnionych do składania oświadczeń w imieniu określonego podmiotu?

    Z wyjaśnień zamieszczonych przez UODO wynika, że:

    1. dane członków zarządu reprezentujących osobę prawną, dane pełnomocników osób prawnych, a także dane pracowników, którzy są osobami kontaktowymi osoby prawnej, będących możliwymi do zidentyfikowania osobami fizycznymi, stanowią dane osobowe podlegające ochronie przewidzianej RODO;
    2. dane osobowe ww. osób nie mieszczą się w pojęciu „danych osoby prawnej” w rozumieniu motywu 14 RODO (zgodnie z nim rozporządzenia nie stosuje się do przetwarzania danych osobowych, które dotyczą osób prawnych, w tym nazwy i formy osoby prawnej oraz danych kontaktowych osoby prawnej);
    3. wobec powyższego, administrator jest zobligowany do wypełnienia w stosunku do takich osób obowiązku informacyjnego określonego w art. 13 lub 14 RODO, o ile nie zachodzi jedna z przesłanek zwalniających go z tego obowiązku.

     

    Powyższe stanowisko wywołało ożywioną dyskusję wśród polskich specjalistów z zakresu ochrony danych osobowych. Powołując się właśnie na motyw 14 RODO argumentują oni, że dane członków zarządu i innych osób reprezentujących osoby prawne, stanowią „dane kontaktowe” tegoż podmiotu,      a w konsekwencji nie stosuje się do nich przepisów ogólnego rozporządzenia o ochronie danych osobowych. Jednocześnie stanowisko UODO zostało uznane przez wiele osób za oderwane od rzeczywistości, nadmiernie formalistyczne i nakładające na przedsiębiorców konieczność      poniesienia dużych kosztów związanych z przekazaniem reprezentantom spółek informacji na temat przetwarzania ich danych osobowych. Innym argumentem mającym potwierdzać niezasadność i absurdalność stanowiska urzędu jest fakt, że osoby reprezentujące spółki i tak nie zapoznają się z informacjami dotyczącymi przetwarzania ich danych osobowych. Wchodząc w relacje biznesowe, w tym np. zawierając umowy, osoby te wiedzą bowiem, że ich dane osobowe będą przetwarzane i w jaki sposób. Zarzucono także, że treść stanowiska UODO nie odpowiada postawionemu pytaniu, a ponadto nie różnicuje sytuacji członków zarządu, pełnomocników, jak i pracowników spółek wyznaczonych do bieżących kontaktów, stosując do nich jednakowe zasady. Podmiotów tych nie powinno się, zdaniem komentujących, traktować tak samo, np. dopuszczają ewentualnie potraktowanie danych pracowników wyznaczonych do kontaktu jako dane osobowe.

     

    Czy można twierdzić, że dane dotyczące osób reprezentujących podmioty prawne to w istocie dane dotyczące tych podmiotów?

    Naszym zdaniem: NIE.

     

    Biorąc pod uwagę nie tylko literalną warstwę tekstu RODO, ale także ideę za nim stojącą i jego funkcję w porządku prawnym, opinia UODO nie powinna zaskakiwać. O ile zgadzamy się, że udzielona odpowiedź wykracza poza ramy pierwotnie postawionego pytania, o tyle uważamy, że sama treść stanowiska jest prawidłowa, wedle którego zgodnie z RODO wobec osób reprezentujących spółkę należy co do zasady realizować obowiązek informacyjny. Dane osobowe to przecież wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Identyfikowalność osób reprezentujących podmioty prawne nie ulega wątpliwości. Dane osoby fizycznej, choć mogą pozostawać w funkcjonalnym związku z danymi podmiotu prawnego (np. w sytuacji członków zarządu spółki), to nie są z nimi tożsame ani nie tracą przez to osobowego charakteru, od którego zależy objęcie ich regulacją przewidzianą przez RODO. Warto podkreślić, że przeciwnicy stanowiska UODO, podając choćby argument o świadomości reprezentantów w zakresie przetwarzania ich danych przez kontrahentów, de facto potwierdzają, że przetwarzane informacje to dane osobowe – tyle, że wedle ich stanowiska wskazane osoby posiadają już wiedzę na temat przetwarzania informacji o nich.

    W świetle tych rozważań uważamy, że poszukiwanie w motywie 14 RODO drogi do zdjęcia z przedsiębiorców konieczności realizowania obowiązku informacyjnego jest błędne. Dane osobowe dotyczące osób prawnych, o których mówi przywołany motyw RODO, to np. imię i nazwisko zawarte w firmie spółki z o.o. (np. Jan Kowalski Sp. z o.o.), a także dane kontaktowe do takiej spółki. Natomiast imię, nazwisko, funkcja pełniona w określonej spółce, adres e-mail, numer telefonu podane w umowie – nawet dotyczące osoby, która widnieje w KRS jako osoba upoważniona do reprezentacji określonego podmiotu – to dane osobowe, które są jedynie funkcjonalnie powiązane ze spółką na czas, jaki dana osoba pełni w niej określoną rolę, nie są natomiast danymi spółki. Nie da się przyjąć innego stanowiska na podstawie definicji zawartej w RODO. Rozporządzenie w żaden sposób nie różnicuje zakresu ochrony danych osobowych poszczególnych osób w zależności od tego, jaką pełnią funkcję czy rolę w życiu prywatnym lub zawodowym.

    Nie oznacza to jednak, że obowiązek informacyjny musi być realizowany w każdym przypadku, bowiem w samym RODO istnieją wyłączenia, o których mowa w art. 13 ust. 4 oraz w art. 14 ust. 5 lit. a RODO, na co rzadko zwraca się uwagę. Zgodnie z przywołanymi przepisami administrator jest zwolniony z obowiązku informacyjnego, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami. Zawarcie umowy i bieżące kontakty w związku z wykonywaniem umowy są przykładem sytuacji, gdy podmiot danych posiada z pewnością część informacji na temat przetwarzania jego danych osobowych. Czy możliwe będzie wykazanie przez administratora, zgodnie z zasadą rozliczalności, że dana osoba posiada wszelkie informacje, których podanie jest wymagane przez art. 13 lub art. 14 RODO? Naszym zdaniem może to być trudne. Możliwe, że właśnie dlatego nie zwrócono szerzej uwagi na opcję powołania się przez administratorów na omówione wyżej wyjątki. Wymaga to bowiem wykazania, czy i w jakim zakresie poszczególne osoby posiadają już informacje o przetwarzaniu ich danych osobowych, co stanowi dodatkowy obowiązek dla administratora. Tym samym niektórym może wydawać się to nadmiernym obciążeniem dla biznesu.

    Czy rzeczywiście jednak jest to na tyle duży wysiłek dla administratora, blokujący jego biznes, aby rezygnować z przekazywania reprezentantom spółek informacji o przetwarzaniu ich danych, twierdząc, że nie stosuje się do nich RODO? Naszym zdaniem kreślenie wizji jakiegoś ponadprzeciętnego ciężaru obowiązku spadającego na biznes jest przesadzona. Ani RODO, ani UODO w omawianym aktualnie czy wcześniejszych stanowiskach nie wskazywał, że administrator musi wykazać zapoznanie się podmiotu danych z informacją o przetwarzaniu jego danych osobowych. W publicznej dyskusji padł argument, że członek zarządu i tak nie zapozna się z mailem zawierającym klauzulę informacyjną. Wynikałoby z tego, że nie warto więc takiej osoby informować. Trudno o bardziej “egzotyczne” podejście, którego zastosowanie jest zaprzeczeniem fundamentalnej zasady transparentności przetwarzania danych realizowanej właśnie poprzez obowiązek informacyjny. Czy w tym samym tonie nie należałoby podważać sensowności realizacji obowiązku informacyjnego wobec kandydatów do pracy, pracowników, klientów sklepów internetowych, uczestników konkursów, mimo że obowiązek informacyjny często jest wobec nich realizowany elektronicznie? Mimo, że czasem wymaga się od tych osób zaznaczenia checkboxu w celu potwierdzenia, że dana osoba zapoznała się z treścią klauzuli informacyjnej, to jednak nie daje to pewności, że tak faktycznie było. Osoby fizyczne otrzymują tyle obowiązków informacyjnych od momentu wejścia w życie RODO, że i tak często się z nimi nie zapoznają. Nie oznacza to jednak w żadnym wypadku, że obowiązek informacyjny w tym zakresie nie obowiązuje i uprawniona jest rezygnacja z jego realizowania. Klauzule informacyjne i tak są przekazywane, a administrator dochowuje należytej staranności i przynajmniej umożliwia zapoznanie się takiej osobie z informacjami na temat przetwarzania jej danych, co leży u podstaw całej regulacji.

    Należy pamiętać, że w realizacji obowiązku informacyjnego nie chodzi wcale o podpis danego reprezentanta, że otrzymał informację. Nie chodzi też o to, aby administrator otrzymał „zwrotkę” do wysłanego listu poleconego, zawierającego informację o przetwarzaniu danych osobowych (i panikował, gdy okaże się, że potwierdzenie odbioru zostało podpisane przez sekretarkę w firmie, a nie przez członka zarządu). Chodzi o przyjęcie takiego rozwiązania systemowego, które umożliwi zapoznanie się tym osobom z informacją o przetwarzaniu ich danych. Od początku wdrażania RODO rekomendujemy naszym klientom takie działania.

    Naszym zdaniem posiadanie przez reprezentantów informacji o przetwarzaniu ich danych ma taką samą wagę i wynika z tych samych źródeł co w przypadku każdej innej osoby fizycznej, choćby w zakresie odbiorców danych, potencjalnych transferów do państw trzecich, czy praw przysługujących w związku z przetwarzaniem danych i wiedzy, w jaki sposób mogą te prawa zrealizować. Po zaprzestaniu pełnienia określonej funkcji w spółce reprezentanci mogą być bowiem żywo zainteresowani tym, aby np. żądać sprostowania czy usunięcia ich danych. I powinni wiedzieć, jak mogą to zrobić. Czy osobom tym powinno odmówić się realizacji choćby powyższych praw tylko dlatego, że pełniły one funkcję członka zarządu spółki, a ich dane były dostępne publicznie?

    W naszej opinii istnieje wiele sposobów na przekazywanie reprezentantom, a także pracownikom wskazanym do kontaktu (nie widzimy bowiem podstawy do rozróżnienia pozycji tych dwóch grup osób, odnosimy się więc do nich łącznie), informacji o przetwarzaniu ich danych osobowych bez rujnowania biznesów i generowania dodatkowych „papierów”. Wzmianka w umowie z kontrahentem z odwołaniem do pełnej treści informacji na stronie internetowej spółki, załącznik do umowy (standardowy wzór mający zastosowanie w relacji z każdym kontrahentem), zobowiązanie w umowie osób reprezentujących kontrahenta do przekazania jego pozostałym reprezentantom i osobom kontaktowym, wyznaczanym w toku umowy, informacji o przetwarzaniu danych osobowych, stopka w mailu odsyłająca do informacji na stronie internetowej – wachlarz rozwiązań jest szeroki i nie musi powodować nadmiernego wysiłku ze strony przedsiębiorców – o ile rozwiązania te są wdrożone od początku w danej organizacji i stanowią element systemu ochrony danych osobowych w takim podmiocie. Dołączenie jednego załącznika do umowy, którego wzór jest dostępny dla każdego pracownika spółki, nie stanowi dodatkowego obciążenia dla działu handlowego, który został odpowiednio przeszkolony i posiada odpowiednią świadomość w zakresie przetwarzania danych osobowych.

    Mając na uwadze powyższe uważamy, że stanowisko UODO jest w tym zakresie słuszne, a sposób realizacji obowiązku informacyjnego można dostosować tak, aby nie powodował nadmiernego obciążenia przedsiębiorców.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Nina Zacharska

    Rejestr czynności przetwarzania danych osobowych – w jaki sposób go prowadzić?

    Rejestr czynności przetwarzania (RCP) to podstawowe narzędzie wspierające administratorów, pozwalające usystematyzować wykonywane czynności przetwarzania danych osobowych i pomagające wykazać przestrzeganie zasady rozliczalności. Jaki jest cel prowadzenia rejestru? Motyw 82 RODO określa dwie podstawowe funkcje obowiązku prowadzenia rejestru: zachowanie przez administratora zgodności z RODO; umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania. Prowadzony przez administratorów RCP pozwala im […]

    Czytaj więcej
    Damian Bielecki

    Co było pierwsze, proces czy cel?

    W świecie ciągłej rywalizacji o klienta, zmieniających się przepisów i powstawaniu nowych technologii odmieniających nasz styl życia, które mają na celu polepszyć nam jego jakość, przedsiębiorcy muszą mierzyć się z ciągłą modyfikacją procesów, adaptacją i tworzeniem nowych usług. Mając na uwadze, jak wiele decyzji musi zostać podjętych przez biznes i jak szybko trzeba reagować na […]

    Czytaj więcej
    Katarzyna Ułasiuk-Delamare

    Regulamin konkursu – na co zwrócić uwagę?

    Niemal każda firma od czasu do czasu zainteresowana jest przeprowadzeniem konkursu. Nie ma dwóch takich samych zabaw, bo w zależności od potrzeb i możliwości danego podmiotu, forma prowadzenia konkursu może się różnić. Najczęściej jednak opracowywane są regulaminy – innymi słowy mówiąc zasady prowadzenia konkursu. I to właśnie na tym aspekcie skupię się w tym krótkim […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki