Aktualności

RODO: Członkowie zarządu powinni być informowani o przetwarzaniu ich danych osobowych

RODO: Członkowie zarządu powinni być informowani o przetwarzaniu ich danych osobowych

Na stronie UODO pojawiło się wyjaśnienie urzędu dotyczące realizacji obowiązku informacyjnego wobec osób reprezentujących osoby prawne, w tym ich członków zarządu i pełnomocników. Co prawda stanowi ono odpowiedź na pytanie dotyczące realizacji tych obowiązków w postępowaniu administracyjnym, ale zalecenia urzędu należy odnosić również do kontaktów pomiędzy kontrahentami (B2B).

Urząd podkreślił, że dane członków zarządu reprezentujących osobę prawną, dane pełnomocników osób prawnych, a także dane pracowników, którzy są osobami kontaktowymi osoby prawnej, będących możliwymi do zidentyfikowania osobami fizycznymi, są danymi osobowymi podlegającymi ochronie RODO.

W związku z tym administrator danych zobowiązany jest wypełnić wobec nich obowiązek informacyjny, chyba że zachodzi jedna z przesłanek umożliwiających rezygnację z tego obowiązku.

W przypadku osób bezpośrednio zatrudnionych lub współpracujących z administratorem, realizacja obowiązku informacyjnego powinna odbyć się na początku tej współpracy np. przy zawarciu umowy o pracę.

Realizacja obowiązku informacyjnego wobec osób działających po stronie kontrahenta w praktyce będzie wymagała przekazania klauzuli informacyjnej dla tych osób przy zawieraniu umów i prowadzeniu kontaktów biznesowych.

Do tej pory powszechną praktyką było przekazywanie klauzuli informacyjnej pracownikom wskazanym przez kontrahenta do kontaktu a także jego pełnomocnikom. W przypadku członków zarządu, zwłaszcza jeżeli ich dane osobowe obejmowały wyłącznie zakres wskazany w KRS, praktyka ta była mniej powszechna.

dane pozyskane bezpośrednio od członka zarządu

W przypadku, gdy dane uzyskiwane są bezpośrednio od członka zarządu np. w związku z uczestniczeniem przez niego w zawarciu umowy, należy spełnić „standardowy” obowiązek informacyjny, wynikający z art. 13 RODO (tzw. klauzula informacyjna).

Od obowiązku informacyjnego uchylić można się tylko w przypadku, gdy dana osoba posiada już informacje o przetwarzaniu danych osobowych. Może się tak zdarzyć w przypadku stałej współpracy z danym podmiotem. W takim przypadku klauzulę informacyjną wystarczy przekazać tylko raz - nie trzeba jej powielać przy kolejnych umowach (o ile oczywiście nie zachodzą zmiany w celu przetwarzania danych osobowych).

dane pozyskiwane z innych źródeł

W przypadku danych pozyskanych nie bezpośrednio od osoby, a na przykład jej pracodawcy lub z powszechnie dostępnych rejestrów, w klauzuli informacyjnej konieczne jest dodatkowe ujawnienie źródła pochodzenia danych osobowych, w tym wskazania, jeżeli pochodzą one ze źródeł publicznie dostępnych.

Administrator ma jednak więcej możliwości skorzystania ze zwolnienia od realizacji obowiązku informacyjnego. Nie trzeba go realizować również wtedy gdy udzielenie informacji okazałoby się niemożliwe lub wymagało niewspółmiernie dużego wysiłku.

W dodatkowych wyjaśnieniach tego zagadnienia Urząd wskazał, że w przypadku członków zarządu, możliwe jest skorzystanie ze zwolnienia w przypadku, gdy „ze względu na specyfikę pełnionych funkcji i rolę w organizacji, członkowie zarządów wiedzą w jaki sposób spółka, w której pełnią funkcję, oraz kontrahenci tej spółki przetwarzają dane takich członków zarządu”.

W razie pozyskania danych osobowych z innych źródeł, dłuższy jest również termin na przekazanie klauzuli informacyjnej - powinno to nastąpić przy pierwszym kontakcie z taką osobą, ale nie później niż miesiąc po rozpoczęciu przetwarzania tych danych.

w jaki sposób najłatwiej zrealizować obowiązek informacyjny?

Realizacja obowiązku informacyjnego w standardowej formie tj. odrębnego dokumentu lub punktu umowy, może okazać się w tym przypadku niepraktyczna. Czasami klauzula informacyjna potrafi być dłuższa niż sama umowa.

Prezes UODO dopuszcza jednak realizację obowiązku informacyjnego w uproszczone formie np. za pomocą informacji umieszczonej w stopce mailowej. Taka informacja może być przekazywana warstwowo - tzn. zawierać tylko podstawowe informacje o administratorze danych wraz z odniesieniem do pełnej klauzuli informacyjnej dostępnej np. online.

Warstwowa realizacja obowiązku informacyjnego jest dobrym sposobem na zmniejszenie objętości klauzuli w dokumentacji, z zachowaniem możliwości dostępu do pełnej informacji o przetwarzaniu danych osobowych.

W przypadku danych nie pozyskiwanych bezpośrednio od osób, ułatwieniem może być również załączanie klauzul informacyjnych do umów wraz ze zobowiązaniem kontrahenta o przekazaniu jej swoim pracownikom do kontaktu, pełnomocnikom i członkom zarządu.



Anna Szymielewicz

Prawnik

Anna Szymielewicz

Radca prawny, Senior Counsel

Anna Szymielewicz

Kontakt:

ul. Rondo ONZ 1
00-124 Warszawa