Ogólne rozporządzenie o ochronie danych nr 679/2016 „RODO” obowiązuje już od ponad trzech lat. Nadal budzi ono jednak kontrowersje i uzasadnione obawy środowiska biznesu przed nakładaniem kar administracyjnych w nieznanej wysokości przez Prezesa Urzędu Ochrony Danych Osobowych (UODO) w związku z nieprecyzyjnym prawem oraz wątpliwymi interpretacjami instytucji publicznych zajmujących się prawem ochrony danych osobowych.
30 czerwca 2020 r. na stronie internetowej UODO opublikowano szeroko komentowane stanowisko dotyczące konieczności poinformowania członków organów, pełnomocników oraz pracowników spółek prawa handlowego o przetwarzaniu ich danych osobowych.
Link do stanowiska UODO:
https://uodo.gov.pl/pl/225/1577
Przedmiotowe stanowisko spotkało się z silnym sprzeciwem środowiska prawniczego. Niesie ono bowiem za sobą poważne konsekwencje, ryzyko kary i konieczność poniesienia kosztów przez firmy.
Uwagi wstępne
Na wstępie warto zaznaczyć, że UODO podjął próbę rozstrzygnięcia ważnego z punktu widzenia stosowania prawa ochrony danych osobowych zagadnienia. Polega ono na określeniu statusu osób wchodzących w skład organów spółek prawa handlowego, ich pełnomocników i pracowników oraz udzieleniu odpowiedzi na zasadnicze pytanie – czy osoby te podlegają RODO w czasie pełnienia swych funkcji ?
Kwestie natury prawnej
Przepisy art. 13 oraz 14 RODO nakładają na administratora danych tzw. obowiązek informacyjny, polegający na konieczności przedstawienia osobie fizycznej w przejrzysty sposób podstawowych informacji dotyczących m.in. podmiotu, który będzie przetwarzała dane, celu i zakresu przetwarzania tych danych, osoby Inspektora Ochrony Danych, ewentualnym zautomatyzowanym przetwarzaniu danych i okresie ich przechowywania. Przede wszystkim jednak administrator informuje o prawach, jakie przysługują osobie, której dane są lub będą przetwarzane, w zależności od kontekstu przetwarzania. Będzie to prawo dostępu do danych, możliwości ich sprostowania, uzupełnienia, ograniczenia przetwarzania, a także prawo złożenia skargi do organu nadzorczego (w Polsce jest to Prezes UODO).
Zgodnie z utrwalonym stanowiskiem, administratorem danych jest spółka prawa handlowego lub osoba prowadząca jednoosobową działalność gospodarczą.
Powszechnie przyjętą i stosowaną formą spełnienia powyższego obowiązku jest udostępnianie tzw. klauzul informacyjnych RODO. Klauzule można spotkać w czasie korzystania ze sklepów internetowych, wizyty w gabinecie dentystycznym, w momencie zawierania umowy na dostawę Internetu, czy załatwiając sprawę w urzędzie – występują, jako osoba fizyczna.
Wątpliwości pojawiają się w sytuacji, gdy nie mamy do czynienia z osobą fizyczną, a z podmiotem gospodarczym, który w obrocie działa poprzez ujawnionych w publicznych rejestrach członków organów – czyli de facto z osobą prawną, której zgodnie ze zdaniem drugim motywu 14 RODO, RODO nie dotyczy.
Stanowisko UODO
Prezes UODO wyraził pogląd, że odmiennie należy traktować informacje o osobach prawnych i informacje o osobach fizycznych reprezentujących osoby prawne. Jak wskazano w stanowisku z 30 czerwca 2020 r.: „RODO chroni dane osobowe możliwych do zidentyfikowania osób fizycznych i wyklucza spod tej ochrony dane dotyczące osób prawnych. Zdarzają się sytuacje, w których dane o charakterze osobowym będą związane z danymi dotyczącymi osób prawnych. Przykładem tego mogą być dane osobowe osób pełniących funkcję organów osoby prawnej. W takich sytuacjach spełnienie przesłanki identyfikowalności przesądzić powinno o objęciu zakresem ochronnym RODO danych osobowych również w takich konfiguracjach”.
Na poparcie swojej argumentacji, UODO przytoczył wyrok Trybunału Sprawiedliwości UE z 9 marca 2017 r. w sprawie C-398/15, z którego wynika, że informacje, które wpisują się w ramy działalności zawodowej mogą zostać uznane za dane osobowe. Definicja danych osobowych odnosi się zatem do osób fizycznych bez względu na rolę, jaką odgrywają (czy są konsumentami, przedsiębiorcami czy pracownikami itd.).
W stanowisku UODO pojawiło się także odesłanie do odpowiedzi Komisji Europejskiej udzielonej 21 lutego 2018 r. na pisemne pytanie członka Parlamentu Europejskiego Richarda Sulika, gdzie wskazano, że rozporządzenie nie ma zastosowania do przetwarzania danych osobowych, które dotyczą osób prawnych, w tym nazwy i formy osoby prawnej oraz danych kontaktowych osoby prawnej. Adres e-mail osoby prawnej, taki jak ikeacontact@ikea.com, nie wchodzi w zakres rozporządzenia. Jednak dane osobowe pracowników osoby prawnej, w tym ich profesjonalne adresy e-mail, byłyby objęte zakresem rozporządzenia (np. Johnsmith@ikea.sk).
Konsekwencją powyższego stanowiska Prezesa UODO jest to, że dane członków zarządu reprezentujących osobę prawną, dane pełnomocników osób prawnych, a także dane pracowników, będą danymi osobowymi podlegającymi ochronie RODO. W związku z powyższym należy wobec tych osób spełnić obowiązek informacyjny, z wyjątkiem sytuacji, gdy zachodzi jedna z przesłanek zwalniających z tego obowiązku, wynikająca z art. 14 ust. 5 lit. b) RODO.
Stanowisko UODO w praktyce
Co w praktyce oznacza przyjęte przez UODO rozwiązanie? Przede wszystkim konieczność poświęcenia przez spółkę ogromnej ilości czasu i pracy na dokonanie inwentaryzacji umów zawartych z dotychczasowymi partnerami działającymi w formie spółki prawa handlowego pod kątem ustalenia osób występujących w imieniu tych spółek, a także osób wskazanych do kontaktu. Następnie będzie to doręczenie takim osobom stosownej klauzuli informacyjnej. Ponadto spółka musi pamiętać o każdorazowym spełnieniu obowiązku informacyjnego względem nowych kontrahentów – niezależnie od formy współpracy. Nawet w sytuacji świadczenia jednorazowej usługi.
Wątpliwości dotyczące zasadności stanowiska UODO
Argumentacja UODO nie spotkała się z akceptacją środowiska prawniczego. Przede wszystkim wskazuje się na zasadę jawności rejestrów publicznych (przede wszystkim KRS). Każda osoba, dysponująca nr KRS spółki ma bowiem zapewnioną przepisami prawa możliwość uzyskania informacji przekraczających dane wskazywane w treści umów pomiędzy przedsiębiorcami, np. PESEL. Ponadto w obrocie gospodarczym członek zarządu, prokurent lub pełnomocnik spółki występuje w interesie i na rzecz reprezentowanej przez siebie osoby prawnej, która działa poprzez swoje organy.
W związku z powyższym należy spodziewać się tego, że osoby te są świadome zasad obrotu gospodarczego oraz przetwarzania ich danych w celu realizacji zawieranych umów. Przepisy prawa wymagają oznaczenia stron m.in. w tworzonych dokumentach potwierdzających fakt prowadzenia współpracy, czy w dokumentach księgowych.
Po wtóre, przywołane przez UODO: odpowiedź KE i wyrok TSUE, tak naprawdę tylko ocierają się o omawiany problem i de facto odnoszą się do innych kwestii. Odpowiedź KE dotyczyła kwalifikacji imiennego adresu e-mail pracowników spółki, jako ewentualnej danej osobowej. Z kolei TSUE rozpatrywał sprawę zarządcy firmy, który walczył o wykreślenie jego danych z włoskiego odpowiednika KRS.Wątpliwy jest także zakres osobowy stanowiska UODO. Jednakowo traktowana jest bowiem pozycja członków organów, jak i pracowników spółki. Interpretacja UODO nie uwzględnia zasadniczych różnic w funkcjach pełnionych przez poszczególne osoby.
Czy można uniknąć konieczności spełnienia obowiązku informacyjnego?
Nie ulega wątpliwości, że kolejne obowiązki nakładane przez RODO oraz UODO na przedsiębiorców odrywają ich od prowadzonej działalności gospodarczej, a także powodują nadmiarowe mnożenie dokumentacji – często w oderwaniu od rzeczywistości. W celu uniknięcia obowiązku informacyjnego można przyjąć wyjątek wynikający z art. 14 ust. 5 lit. b) RODO (udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku). Jednakże skuteczne uargumentowanie zasadności przyjętego w ten sposób rozwiązania będzie niezwykle trudne. WSA w Warszawie w wyroku z 11 grudnia 2019 r. (sygn. II SA/Wa 1030/19), wyjaśnił, że w przepisie tym nie chodzi o wydatek finansowy na samą realizację w pełni możliwego do spełnienia obowiązku, ale o trudność rzeczywistą w tym, aby w ogóle mieć możliwość jego realizacji. Oznacza to, że posiadając dane kontaktowe kontrahentów, zawarte zresztą w rejestrach publicznych, spółka co do zasady powinna doręczyć klauzulę członkom organu i innym osobom upoważnionym przez spółkę do kontaktu/reprezentowania jej.
Podsumowanie
Stanowisko zaprezentowane przez UODO nie rozstrzyga wątpliwości interpretacyjnych zasad wskazanych w RODO. Nie zmierza ono także w kierunku poprawy rzeczywistego poziomu bezpieczeństwa danych (np. poprzez redukcję tzw. cyberprzestępczości).
Niemniej, niezależnie od tego, czy przedsiębiorcy zaakceptują nałożenie kolejnego obowiązku, pełną odpowiedzialność (przede wszystkim finansową) wynikającą z tytułu niewykonania obowiązku informacyjnego ponosi administrator danych, tj. podmiot prowadzący działalność gospodarczą (spółka, prywatny przedsiębiorca, itd.).
Poniżej do pobrania bezpłatny wzór klauzuli informacyjnej na okoliczność współpracy gospodarczej prowadzonej ze spółką prawa handlowego.
opracowanie: r. pr. Adrian Dziura
Arkadiusz Kuśpit Kancelaria Radcy Prawnego 