Stanowisko opublikowane na stronie UODO nie pozostawia wątpliwości – konieczne jest wypełnianie obowiązku informacyjnego wobec członków zarządu osób prawnych.
RODO to taka regulacja, która wzbudza przeróżne emocje. W zasadzie ciężko wskazać inny akt prawny, który zyskał tak dużą popularność w społeczeństwie, głownie za sprawą absurdów i memów, które spowodował. Przez pewien czas, RODO było na ustach niemalże wszystkich Polaków. Aktualnie, ochrona danych w pewien sposób odeszła do społecznego lamusa. Nie słychać już w komunikacji miejskiej rozmów o tym, że w przychodni nie wywołują już po nazwisku, tylko wedle schorzenia albo o tym, że po mieście krąży informacja, że znikną personalia zmarłych z nagrobków.
Kto by się martwił RODO, kiedy pójście na wesele może dostarczyć tylu wrażeń co skok na bungee. Jednak o śledzeniu nowinek z zakresu ochrony danych osobowych nie powinni zapominać przedsiębiorcy, którzy mogą dotkliwie odczuć skutki chwilowego RODOzapomnienia. Jednym z najciekawszych tematów, przewijającym się w ostatnim czasie na ustach i klawiaturach ekspertów zajmujących się ochroną danych osobowych jest opublikowane na stronie UODO stanowisko, zgodnie z którym administratorzy danych osobowych, których kontrahentami są osoby prawne, zobowiązani są do wypełniania obowiązku informacyjnego wobec członków zarządów tych osób prawnych.
Co wynika ze stanowiska UODO?
Materiał opublikowany na stronie UODO stanowi odpowiedź na pytanie, czy administrator danych zobowiązany jest do wypełnienia obowiązku informacyjnego, wynikającego RODO (a dokładnie z art. 13 RODO, właściwego dla sytuacji, gdy podmiot danych samodzielnie przekaże dane lub art. 14 RODO, odnoszącego się do sytuacji, gdy dane zostaną przekazane przez inną osobę, niż podmiot danych), jeżeli w dokumentacji dotyczącej postępowań administracyjnych widnieją dane osób upoważnionych do reprezentacji spółek lub osób upoważnionych do składania oświadczeń woli w imieniu osoby prawnej. W praktyce, czy należy wysyłać klauzulę informacyjną dotyczącą przetwarzania danych tym podmiotom. UODO uznał, że administratorzy danych zobowiązani są do wypełnienia obowiązku z tym zakresie. Jak wynika z opublikowanego stanowiska:
(…) dane członków zarządu reprezentujących osobę prawną, dane pełnomocników osób prawnych, a także dane pracowników, którzy są osobami kontaktowymi osoby prawnej, będących możliwymi do zidentyfikowania osobami fizycznymi, będą danymi osobowymi w rozumieniu RODO. Wobec tego administrator zobligowany jest do wypełnienia w stosunku do takich osób obowiązku informacyjnego określonego w art. 13 lub 14 RODO, o ile nie zachodzi jedna z przesłanek zwalniających go z tego obowiązku.
Argumentując swoje stanowisko, Urząd powołuje się między innymi na możliwość identyfikacji członków zarządów osób prawnych, jako że dane tych osób widnieją w KRS.
Stanowisko UODO wpłynie na procesy przetwarzania danych
To nie do końca jest tak, że stanowisko UODO jest rewolucyjne, a wśród inspektorów ochrony danych osobowych i ekspertów zajmujących się ochroną danych osobowych dotychczas nie dyskutowano kwestii zasadności wypełniania obowiązku informacyjnego wobec członków zarządów osób prawnych. Owszem, dyskutowano. Co więcej, z pewnością istnieją administratorzy danych, którzy podczas zawierania umów z osobami prawnymi, decydowali się na przekazanie klauzuli informacyjnej również członkom zarządu tychże osób prawnych (lub pełnomocnikom osób prawnych). Ci administratorzy, mogą pogratulować inspektorom ochrony danych osobowych, którzy przyczynili się do takiego ułożenia procesu, przewidywania zaleceń UODO. Jednak ci administratorzy, którzy nie decydowali się na tego typu rozwiązanie, powinni wziąć pod uwagę najnowsze zalecenie UODO i rozważyć zmianę dotychczasowej praktyki.
Dlaczego stanowisko UODO wzbudza tyle kontrowersji?
Po opublikowaniu stanowiska przez UODO zawrzało w sieci. Eksperci z zakresu ochrony danych podnoszą, że stanowisko jest dyskusyjne w świetle drugiego zdania motywu 14 RODO, zgodnie z którym:
Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.
Pojawiają się również głosy zwracające uwagę na czynnik ekonomiczny, związany z kosztami, które będą musieli ponieść administratorzy danych w związku z koniecznością przemodelowania procesów i wypełnienia obowiązku informacyjnego wobec wskazanych przez UODO podmiotów.
Gdzie nie spojrzysz, tam klauzula
Na koniec warto dodać, że w opublikowanym przez UODO stanowisku co prawda zawarto informację, że istnieją sytuacje usprawiedliwiające brak wypełnienia przedmiotowego obowiązku. Jednak opinia nie wskazuje dokładnych przykładów takich wyłączeń. Z tego względu, można spodziewać się, że w najbliższym czasie, na biurka lub skrzynki mailowe prezesów trafiać będą klauzule informacyjne. Jak przypuszczam, w dość pokaźnej ilości.