W obrocie gospodarczym zawieranie umów jest czynnością powszechną, podobnie jak pozostawanie w kontakcie biznesowym z osobami reprezentującymi spółki lub osobami fizycznymi wskazanymi w zawieranej umowie do kontaktu w celu realizacji postanowień umownych.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) „RODO” chroni podstawowe prawa i wolności osób fizycznych, w szczególności prawo do ochrony ich danych osobowych (art. 1 ust. 2 RODO). Zgodnie z art. 4 pkt 1 RODO „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Dlatego podmiotem, któremu przepisy RODO przyznają ochronę, jest osoba fizyczna.
RODO stanowi (w zdaniu pierwszym motywu 14), że „Ochrona (…) powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych.” Prowadzi to do jasnego wniosku, że ochrona danych osobowych jest należna każdej osobie fizycznej.
Co z ochroną zarządów i firmowych e-maili
Natomiast zdanie drugie przytoczonego wyżej motywu 14 RODO w brzmieniu: „Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych odnośnie do osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.” wzbudza interpretacyjne kontrowersje. Nie do końca jest jasne jaki scenariusz wyłączeń jest przewidziany. Można sobie wyobrazić następujące 3 interpretacje:
1. interpretacja wąska – na jej podstawie RODO nie ma zastosowania wyłącznie do osób prawnych;
2. interpretacja szersza – na podstawie której RODO nie ma zastosowania do osób prawnych oraz do danych osób fizycznych stanowiących element oznaczenia osoby prawnej;
3. interpretacja najszersza – RODO nie ma zastosowania także do danych osobowych osób fizycznych, będących danymi kontaktowymi osoby prawnej.
Wniosek z interpretacji nr 3 byłby taki, że obowiązki informacyjne wynikające z RODO nie muszą być realizowane w stosunku do członków zarządu, pełnomocników, prokurentów, i osób kontaktowych wskazanych w umowach zawieranych przez spółkę. Wyłączenie tych obowiązków byłoby uzasadnione, jeżeli cel przetwarzania pozostawałby niezmieniony i przetwarzanie danych osobowych ww. osób odbywałoby się tylko w celu kontaktu z osobą prawną.
UODO za szeroką ochroną
Prezes Urzędu Ochrony Danych Osobowych („Prezes UODO”) w swoim stanowisku z 30 czerwca 2020 r. nie przychylił się do elastycznej interpretacji i zajął stanowisko, że dane osobowe osób pełniących funkcję członków zarządu reprezentujących osobę prawną, dane pełnomocników osób prawnych czy pracowników, będących osobą kontaktową osoby prawnej stanowią daną osobową, nie mieszczą się w zakresie pojęcia osoby prawnej i dlatego też podlegają ochronie wynikającej z RODO.
W uzasadnieniu swojego stanowiska Prezes UODO powołał się na odpowiedź Komisji Europejskiej z 21 lutego 2018 r., w której zostało wykazane, że motyw 14 RODO wyjaśnia, że rozporządzenie nie ma zastosowania do przetwarzania danych osobowych, które dotyczą osób prawnych, w tym nazwy i formy osoby prawnej oraz danych kontaktowych osoby prawnej. Ogólny adres e-mail osoby prawnej nie wchodzi w zakres rozporządzenia. Natomiast dane osobowe pracowników osoby prawnej, w tym ich firmowe adresy e-mail składające się z imienia i nazwiska, powinny być objęte zakresem rozporządzenia.
W uzasadnieniu stanowisku Prezesa UODO możemy znaleźć również odwołanie do wyroku Trybunału Sprawiedliwości UE z 9 marca 2017 r. w sprawie C-398/15, w którym to Trybunał orzekł, że okoliczność, iż informacje wpisują się w ramy działalności zawodowej, nie oznacza, że nie można ich scharakteryzować jako danych osobowych. Definicja danych osobowych odnosi się zatem do osób fizycznych bez względu na rolę, jaką odgrywają (czy są konsumentami, przedsiębiorcami czy pracownikami itd.).
Dodatkowe zadania dla administratorów
Praktyczną konsekwencją stanowiska Prezesa UODO dla administratora danych osobowych jest konieczność spełnienia obowiązku informacyjnego po stronie kontrahenta, także w stosunku do osób pełniących funkcję członków zarządu reprezentujących osobę prawną, pełnomocników osób prawnych czy osób fizycznych będących osobą kontaktową osoby prawnej.
Aby uniknąć wzajemnego przekazywania sobie klauzul informacyjnych przy zawieraniu umów strony mogą nawzajem zobowiązać się do wykonania obowiązku informacyjnego w stosunku do własnych pracowników, osób kontaktowych czy członków zarządu. Praktycznym rozwiązaniem jest dołączenie do zawieranej umowy załącznika zawierającego obwiązek informacyjny. Warto pamiętać, że obowiązek informacyjny powinien stanowić odrębny dokument.
W sytuacji, jeżeli dane pozyskiwane są bezpośrednio od podmiotu danych, administrator musi spełnić obowiązek informacyjny z art. 13 RODO podczas pozyskiwania tych danych osobowych. Od tego obowiązku można się uchylić tylko w jednym przypadku, gdy dana osoba dysponuje już informacjami o administratorze i sposobie przetwarzania.
Natomiast w przypadku zbierania danych osobowych pośrednio będzie miał zastosowanie art. 14 RODO i nieco szerszy katalog informacji w klauzuli, np. niezbędne jest ujawnienie źródła skąd dane pochodzą, np. z powszechnie dostępnych rejestrów KRS lub CEiDG. Przewidziane są również cztery wyjątki od obowiązku informacyjnego, między innymi administrator może nie spełniać obowiązku informacyjnego, gdy podmiot dysponuje już tymi informacjami albo gdy udzielenie informacji jest niemożliwe lub wymaga niewspółmiernie dużego wysiłku.
Art. 14 ust. 3 lit. a i b RODO przewiduje zezwolenie na odroczenie wykonania obowiązku informacyjnego, najpóźniej do 1 miesiąca licząc od daty pozyskania danych osobowych lub w przypadku wykorzystania danych osobowych w celu komunikacji z osobą, której dane dotyczą, do czasu pierwszego kontaktu z tą osobą, np. poprzez umieszczenie w stopce e-maila pierwszej warstwy obowiązku informacyjnego z odesłaniem do pełnej polityki zawierającej informacje o przetwarzaniu danych osobowych znajdującej się na stronie internetowej administratora.
Konsekwencją takiej interpretacji RODO przez Prezesa UODO jest wynikający dla administratora, będącego stroną umowy, obowiązek przedstawiania dwóch nieco innych klauzul informacyjnych. A mianowicie jednej klauzuli dla osób podpisujących umowę, a drugiej dla osób wskazanych w umowie jako osoby do kontaktu.
Autorem artykułu jest Ewa Matera, specjalista do spraw RODO współpracująca z naszą kancelarią. Tekst ukazał się na łamach portali dziennika Rzeczpospolita 8 grudnia 2020 r.