30 czerwca 2020 r. prezes Urzędu Ochrony Danych Osobowych przedstawił swoje stanowisko dotyczące obowiązku informacyjnego wobec członków zarządu osób prawnych oraz innych osób, których dane osobowe pojawiają się w umowach B2B – pełnomocnicy i osoby wskazane do kontaktu.
Prezes UODO stoi na stanowisku, że taki obowiązek powinien być spełniony z uwagi na to, że dane osób fizycznych pełniących funkcje członków zarządu osoby prawnej będą stanowiły dane osobowe i nie będą się mieściły w zakresie pojęcia osoby prawnej (motyw 14 RODO). Warto też zwrócić uwagę, że jest możliwość ich identyfikacji z uwagi na ujawnione dane w KRS.
Uzasadnienie stanowiska
Prezes UODO powołuje się przy tym na odpowiedź Komisji Europejskiej z 21 lutego 2018 r. w sprawie adresów e-mail osoby prawnej i jej pracowników.
Věra Jourová, obecnie wiceprzewodnicząca KE, odpowiedziała:
- adres e-mail osoby prawnej, np. ikea.contact@ikea.com – nie wchodzi w zakres rozporządzenia RODO,
- adres e-mail pracownika, np. johnsmith@ikea.sk – jest objęty rozporządzeniem RODO.
Prezes UODO przywołał również wyrok Trybunału Sprawiedliwości UE z 9 marca 2017 r., w którym uznano, że definicja danych osobowych odnosi się do osób fizycznych bez względu na rolę, jaką odgrywają – czy są konsumentami, przedsiębiorcami czy pracownikami.
Konsekwencją powyższego stanowiska UODO oraz powołania się na odpowiedź KE i wyrok Trybunału Sprawiedliwości UE jest to, że:
dane osobowe członków reprezentujących osobę prawną, dane pełnomocników osób prawnych, a także pracowników, którzy są osobami kontaktowymi osoby prawnej – są danymi podlegającymi ochronie rozporządzenia RODO, a przez to należy wobec tych osób wypełniać obowiązek informacyjny z art. 13 RODO – jeżeli dane pochodzą bezpośrednio od osoby, której dotyczą, oraz z art. 14 RODO – jeżeli dane osobowe nie są gromadzone od osoby, której dotyczą.
Kontrowersje
Stanowisko Urzędu, pomimo trwających wakacji, wywołało spore zamieszanie wśród prawników i ekspertów zajmujących się ochroną danych osobowych. Niektórzy specjaliści krytykują stanowisko UODO, uznając, że realizacja tego obowiązku wobec członków zarządów wszystkich kontrahentów będzie wiązać się z ogromnymi kosztami i dużym nakładem pracy po stronie firm. W Polsce jest bowiem zarejestrowanych ok. 500 tys. spółek, 22 tys. fundacji i 112 tys. stowarzyszeń, więc kiedy ich członkowie zarządu i pełnomocnicy podpisujący umowy będą musieli być poinformowani, że kontrahenci przetwarzają ich dane osobowe, będzie to oznaczać rewolucję dla rynku.
Przykład: firma A musi poinformować prezesa spółki B, z którą zawarła umowę, że przetwarza jego dane osobowe, i wzajemnie.
Działania takie są określane jako zbyt formalistyczne, nieżyciowe i niebiznesowe.
Nic nowego
Warto zwrócić jednak uwagę, że stanowisko prezentowane przez Urząd nie jest nowym rozwiązaniem, nie jest czymś zaskakującym. Obowiązywało również w poprzedniej dyrektywie 95/46, pomimo iż nie było mocno eksponowane podczas kontroli GIODO.
Dlatego aktualne stanowisko organu nadzoru możemy traktować jako przypomnienie.
W związku z powyższym podmioty, które w ramach wdrażania RODO przyjęły koncepcję niezrealizowania obowiązku informacyjnego wobec członków zarządu reprezentujących osoby prawne i które nie chcą się narazić na konsekwencje ze strony Urzędu, powinny zmienić swoją praktykę i przygotować odpowiednie klauzule informacyjne, dołączając je do zawieranych umów.
Ponadto należy pamiętać, że dane osobowe znajdujące się w podpisanych umowach nie zawsze służą tylko do reprezentacji, np. tworzone raporty czy bazy zawartych umów są wprowadzane często do CRM w grupach kapitałowych.
Jak informować?
- Jeżeli Pan Jan Kowalski podpisuje umowę w imieniu osoby prawnej, którą reprezentuje, obowiązek informacyjny wobec tej osoby fizycznej można wykonać w samej umowie, zamieszczając tam informacje zgodnie z art. 13 RODO.
- Jeżeli Pani Maria Kowalska została wskazana w umowie jako osoba „do kontaktu”, wówczas jej dane są gromadzone nie od niej, co oznacza, że powstaje obowiązek informacyjny zgodnie z art. 14 RODO. Realizujemy go, np. wysyłając stosowną informację na adres e-mail tej osoby (jeżeli go znamy) lub prosimy drugą stronę umowy o przekazanie wymaganych informacji.
Warto zauważyć, że klauzula informacyjna zawierająca niezbędne zapisy to drukowanie kartki w formacie A4 . Oznacza to w praktyce rozbudowanie umowy, co nie jest może najlepszym rozwiązaniem z uwagi na kryzys klimatyczny, ale z drugiej strony zapewnia nam możliwość wykazania się spełnieniem zasady rozliczalności w przypadku kontroli.
Inne rozwiązanie – warstwowe
Od lat przyjmowano, że obowiązki wynikające z art. 13 i 14 RODO to obowiązki aktywne, co oznacza, że trzeba przekazać informację, a nie tylko stworzyć możliwość do zapoznania się z nią.
Jednak stanowisko UODO opublikowane w „Dzienniku Gazecie Prawnej” z 14 lipca br. wskazuje na możliwość realizacji obowiązku informacyjnego w sposób warstwowy, tzn. dokonania podziału informacji na poszczególne warstwy.
W pierwszej podawane są podstawowe informacje, a pozostałe są umieszczane w drugiej warstwie.
Urząd proponuje, żeby obowiązek informacyjny realizowany w e-mailu można było wykonać w tzw. stopce e-maila poprzez zamieszczenie tam informacji o administratorze wraz z linkiem do pozostałych informacji.
Być może podobne rozwiązanie będzie można zastosować również w zawieranej umowie (offline), poprzez wpisanie do niej konkretnego adresu administratora, pod którym będzie można się zapoznać z wymaganą informacją. Eliminuje to konieczność dołączania klauzuli informacyjnej w formacie A4.
Podsumowanie
* Stanowisko prezesa UODO jest zgodne z przepisami prawa i nie pozostawia wątpliwości, że dane osób przeznaczonych do realizacji konkretnej umowy B2B są danymi podlegającymi ochronie rozporządzenia RODO i należy wobec tych osób spełnić obowiązek informacyjny wynikający z art.13 i 14 RODO.
* Konieczność zmniejszenia kosztów ponoszonych przez firmy (zwłaszcza duże podmioty), związanych ze spełnieniem obowiązku informacyjnego wpłynie na zracjonalizowanie sposobu wykonywania tego obowiązku, biorąc pod uwagę zależność nakład/ryzyko.
* Należy jednak pamiętać, że niezależnie jakie rozwiązanie wybierzemy (online i offline), zawsze musimy umieć udowodnić, że spełniliśmy wymagany obowiązek informacyjny – kopia klauzuli informacyjnej lub kopie e-maili.
* Na pewno zarówno nas, jak i ekspertów zajmujących się przepisami RODO czeka wiele pracy nad przygotowaniem procedur, formularzy niezbędnych do prawidłowego i skutecznego realizowania omawianego obowiązku informacyjnego, w sposób racjonalny i jak najmniej obciążeniowy, ale również w sposób akceptowalny przez UODO.
Teresa Grabowska
