Spółki handlowe, w tym spółki z o.o. czy spółki jawne są administratorami danych osobowych. Jako przedsiębiorcy przetwarzają dane osobowe swoich klientów, współpracowników czy pracowników na zasadach dotyczących innych podmiotów, do których stosuje się przepisy RODO. Sporo wątpliwości może natomiast budzić przetwarzanie danych osobowych osób organizacyjnie powiązanych ze spółką, np. członków jej organów, a także zasad udostępniania tym osobom danych innych osób przetwarzanych przez spółkę.

Obowiązujące od 25 maja 2018 r. ogólne rozporządzenie o ochronie danych osobowych (RODO) ma zastosowanie do danych osobowych żyjących osób fizycznych. Oznacza to w relacjach wewnątrzspółkowych, że normy rozporządzenia nie mają zastosowania do danych podmiotów innych niż osoby fizyczne - np. wspólników będących osobami prawnymi. Natomiast ochronie będą podlegały dane osób fizycznych działających w imieniu tego rodzaju podmiotów, np. członków zarządu spółki z o.o. będącej wspólnikiem spółki jawnej.

Spółka przetwarza dane swoich wspólników, członków rady nadzorczej, komisji rewizyjnej, dane użytkownika bądź zastawnika udziałów w spółce z o.o. Przetwarzanymi przez spółkę danymi wymienionych osób są dane niezbędne do wykonywania wszelkich czynności wynikających ze stosunku spółki albo wykonywania określonych uprawnień bądź obowiązków związanych ze stosunkiem spółki. Chodzi tu np. o dane ujawniane w księdze udziałów, wykorzystywane do zwoływania zgromadzeń wspólników, dane niezbędne do wystawienia PIT czy dane podlegające zgłaszaniu do KRS.

Spółka jako administrator danych osobowych musi również w odniesieniu do osób z nią bezpośrednio związanych wykonać obowiązki informacyjne dotyczące faktu przetwarzania danych, jego zakresu, celu i osoby administratora danych. W odniesieniu do danych osobowych zbieranych bezpośrednio od zainteresowanego szczegółowy zakres obowiązków wynika z art. 13 RODO. W przypadku pozyskania danych z innego źródła treść obowiązku informacyjnego wyznacza art. 14 RODO.

Obowiązek informacyjny

Wykonanie obowiązku informacyjnego wobec osoby udostępniającej spółce swoje dane (art. 13 RODO) powinno nastąpić podczas pozyskiwania danych osobowych. Z kolei w razie pozyskania danych z innego źródła obowiązek powinien zostać wykonany, co do zasady, w rozsądnym terminie po pozyskaniu danych osobowych - najpóźniej w ciągu miesiąca - mając na uwadze konkretne okoliczności przetwarzania danych osobowych (art. 14 ust. 3 lit. a RODO). W przypadku danych wspólników czy danych członków organu spółki zastosowanie może mieć również termin wynikający z art. 14 ust. 3 pkt 2 RODO. Przepis ten nakazuje administratorowi podać informacje najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą, jeżeli dane osobowe mają być stosowane do komunikacji z tą osobą. Jeśli danych nie pozyskano od osoby, której dane dotyczą, to w zawiadomieniu dodatkowo należy osobę tę poinformować o źródle uzyskania danych (art. 14 ust. 2 lit. f RODO).

W interesie spółki leży zabezpieczenie dowodów wykonania obowiązku informacyjnego. Dlatego warto zachować odpis złożonego pisma czy wysłanego e-maila zawierającego realizację obowiązków informacyjnych.

Cel, podstawa, okres i inne dane

Wykonując obowiązek informacyjny, spółka musi wskazać szereg informacji wymaganych przez art. 13 albo art. 14 RODO.

• Cel i podstawa prawna przetwarzania danych osobowych

W przypadku wspólników czy osób, którym przysługują prawa na udziałach w spółce z o.o., celem przetwarzania ich danych będzie zapewnienie możliwości wykonywania praw udziałowych i egzekwowania obowiązków wynikających z posiadania praw do udziałów czy posiadania statusu wspólnika. Właściwą podstawą prawną przetwarzania danych będzie więc art. 6 ust. 1 lit. c) RODO (wypełnienie obowiązku prawnego ciążącego na administratorze - wynikającego z przepisów K.s.h. oraz umowy/statutu spółki), a także w odniesieniu do wspólników jako stron umowy spółki również art. 6 ust. 1 lit. b) RODO (wykonania umowy, której stroną jest osoba, której dane dotyczą). Podstawą prawną przetwarzania danych członków np. rady nadzorczej czy komisji rewizyjnej będzie art. 6 ust. 1 lit. c) RODO. Celem natomiast będzie wykonywanie kodeksowych i umownych praw i obowiązków w zakresie nadzoru i kontroli.

• Okres przechowywania danych osobowych

Realizując obowiązek informacyjny, należy wskazać okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu. W odniesieniu do wspólników czy członków organów spółki ten okres najczęściej będzie powiązany z terminem przedawnienia roszczeń, które spółce mogłyby przysługiwać wobec tych osób. W ogromnej większości będą to roszczenia, do których stosuje się 3-letni termin przedawnienia.

• Odbiorcy danych osobowych

W informacji należy ponadto wskazać potencjalnych odbiorców danych w rozumieniu art. 4 pkt 9 RODO, tj. osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Odbiorcą danych nie będzie natomiast sąd rejestrowy jako organ publiczny, który dane uzyskuje od spółki w ramach postępowania o wpis do rejestru przedsiębiorców (art. 4 pkt 9 RODO).

RODO a kontrola wspólników i rady nadzorczej

Czynności za administratora danych osobowych w spółkach handlowych wykonują członkowie zarządu czy wspólnicy posiadający prawo reprezentacji spółki. Na równi z nimi nie mogą być traktowane osoby, które zgodnie z przepisami o ustroju spółek handlowych mają dostęp do dokumentacji zawierającej dane osobowe celem prowadzenia czynności nadzorczych i kontrolnych.

W przypadku spółek akcyjnych obowiązkowo powoływana jest rada nadzorcza. Rada w celu wykonania swoich obowiązków może badać wszystkie dokumenty spółki, żądać od zarządu i pracowników sprawozdań i wyjaśnień oraz dokonywać rewizji stanu majątku spółki (art. 382 § 4 K.s.h.). Taki zakres kompetencji posiada, co do zasady, również rada nadzorcza w spółce z o.o., jeśli jest w niej ustanowiona (art. 219 § 4 K.s.h.). Dodatkowo w spółce z o.o. prawo kontroli służy każdemu wspólnikowi, chyba że w spółce posiadającej radę nadzorczą lub komisję rewizyjną umowa spółki takie prawo wyłączyła. Udziałowiec w ramach kontroli może osobiście lub z upoważnioną przez siebie osobą w każdym czasie przeglądać księgi i dokumenty spółki, sporządzać bilans dla swego użytku lub żądać wyjaśnień od zarządu. Nawet w przypadku spółki jawnej można mieć do czynienia ze wspólnikiem - kontrolerem. Chodzi tu o wspólnika pozbawionego prawa reprezentacji (art. 30 K.s.h.) oraz pozbawionego prawa prowadzenia jej spraw. Nawet bowiem w takiej sytuacji nie można mu umownie ograniczyć prawa do osobistego zasięgania informacji o stanie majątku i interesów spółki oraz prawa do osobistego przeglądania ksiąg i dokumentów spółki (art. 38 § 2 K.s.h.).

Członkowie rady nadzorczej czy wspólnicy wykonujący prawo kontroli nie muszą uzyskiwać od spółki jako administratora danych upoważnienia do przetwarzania danych. Spółka, udostępniając swoje dokumenty celem umożliwienia wykonania uprawnień przez członków rady czy wspólników, przetwarza dane osobowe zawarte w tych dokumentach zgodnie z art. 6 ust. 1 lit. c) RODO - tj. wypełnia ciążący na administratorze obowiązek prawny wynikający z przytoczonych przepisów K.s.h. W szczególności zarząd spółki z o.o. nie może np. odmówić członkom rady nadzorczej udostępnienia dokumentów spółki powołując się na to, że ci nie otrzymali od zarządu upoważnienia do przetwarzania danych osobowych. Gdyby przyjąć, że takie upoważnienie jest niezbędne, to zarząd odmawiając jego wydania, mógłby w sposób istotny ograniczać wykonywanie nadzoru nad swoją działalnością.

Z uwagi na to można przyjąć, że członkowie rady nadzorczej czy też wspólnicy wykonujący uprawnienia kontrolne są odbiorcami (w rozumieniu art. 4 pkt 9 RODO) danych osobowych zawartych w dokumentach otrzymywanych do wglądu. To z kolei oznacza, że spółka w klauzuli informacyjnej adresowanej do osób, których dane przetwarza (klientów, pracowników itp.), powinna również wymienić członków rady nadzorczej czy wspólników wykonujących uprawnienia kontrolne jako potencjalnych odbiorców danych osobowych (art. 13 ust. 1 lit. e RODO).

Zakwalifikowanie członków rady nadzorczej oraz wspólników jako odbiorców danych osobowych równoznaczne jest też z tym, że informacja o nich powinna znaleźć się w rejestrze czynności przetwarzania danych osobowych, jeśli spółka jest zobowiązana prowadzić taki dokument. Obowiązek ten, co do zasady, spoczywa na każdym administratorze danych osobowych (art. 30 ust. 1 RODO). Wyjątek od tej reguły dotyczy przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO (art. 30 ust. 5 RODO).

W rejestrze czynności przetwarzania należy m.in. wskazać kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych (art. 30 ust. 1 lit. d RODO). W rejestrze powinny znaleźć się informacje o kategoriach odbiorców, a nie o konkretnych odbiorcach. Wystarczy więc np. wskazać: "Udziałowcy spółki wykonujący uprawnienia kontrolne na podstawie art. 212 K.s.h." czy: "Członkowie rady nadzorczej w ramach wykonywania czynności nadzoru". Nie ma więc potrzeby wymieniać z imion i nazwisk wszystkich udziałowców czy członków rady nadzorczej.

Upoważnienie dla prokurenta

Każda spółka handlowa, jako przedsiębiorca, może udzielać prokury. Prokurenci to szczególni pełnomocnicy spółki, których dane są ujawniane w KRS. Ponieważ zakres umocowania prokurenta (zakres prokury) wynika wprost z Kodeksu cywilnego, nie musi on legitymować się dokumentem obejmującym udzielenie prokury celem wykazania swego umocowania do działania w imieniu spółki.

Te podobieństwa między prokurentem a np. członkiem zarządu czy wspólnikiem spółki jawnej uprawnionym do reprezentacji nie oznaczają jednak, że prokurenta należy podobnie traktować na gruncie przepisów o ochronie danych osobowych. Nie można zapominać, że prokurent jest tylko pełnomocnikiem, osobą dokonującą określonych czynności w imieniu przedsiębiorcy, ale nieposiadającym, co do zasady, kompetencji do podejmowania decyzji w imieniu tego przedsiębiorcy. Prokurent nie może więc samodzielnie decydować o celach i sposobach przetwarzania danych osobowych, gdyż jest w tym zakresie podporządkowany administratorowi danych osobowych.

Dlatego też prokurentowi, który w związku z wykonywaniem swoich obowiązków, będzie miał dostęp do danych osobowych przetwarzanych przez spółkę, należy udzielić upoważnienia do przetwarzania danych w rozumieniu art. 29 RODO. W interesie spółki leży, aby upoważnienie było dokonane na piśmie ze wskazaniem określonych kategorii danych osobowych.

Podstawa prawna

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE. L. z 2016 r. nr 119/1)

autor: Paweł Cierkoński
Gazeta Podatkowa nr 50 (1612) z dnia 2019-06-24

Wypełnianie obowiązków informacyjnych wynikających z RODO. Wszystko na ten temat w poradniku na GOFIN.pl

RODO