Zarówno spółki z o.o. jak i spółki akcyjne są administratorami danych osobowych osób fizycznych powiązanych z nimi kapitałowo lub osobowo, a dane tych osób podlegają ochronie prawnej nie inaczej niż w przypadku pracowników czy kontrahentów tych spółek. Dotyczy to zarówno wspólników, akcjonariuszy, członków Rady nadzorczej czy komisji rewizyjnej. A co z członkami zarządów?

Wykonanie obowiązku informacyjnego służy zaznajomieniu osoby, której dane będą przetwarzane o tym fakcie, jego zakresie, celu, podstawie prawnej, okresie, osobie administratora, kręgu odbiorców, czy przysługujących uprawnieniach. W odniesieniu do danych osobowych zbieranych bezpośrednio od zainteresowanego, szczegółowy zakres obowiązku wynika z art. 13 RODO. Natomiast w przypadku pozyskania danych z innego źródła niż osoba, której dane dotyczą, treść obowiązku informacyjnego określa art. 14 RODO.

(więcej na ten temat w artykule –> o obowiązku informacyjnym ).

Podstawą przetwarzania danych osobowych członków rady nadzorczej spółki akcyjnej lub sp. z o.o. czy komisji rewizyjnej spółki z o.o. będzie art. 6 ust. 1 lit. c RODO, czyli obowiązek prawny ciążący na administratorze, a wynikający z przepisów Kodeksu spółek handlowych.

Podstawą przetwarzania danych osobowych wspólników sp. z o.o. będących osobami fizycznymi, jak i akcjonariuszy spółki akcyjnej będący osobami fizycznymi – będzie art. 6 ust. 1 lit. c RODO, czyli wykonywanie obowiązków prawnych ciążący na administratorze wynikających z przepisów Kodeksu spółek handlowych czy ustawy o Krajowym Rejestrze Sadowym w stosunku do wspólników, a w stosunku do wspólników jako stron umowy spółki również art. 6 ust. 1 lit. b RODO, a więc wykonywanie umowy, której stroną jest osoba, której dane dotyczą.

Problem pojawia się przy członkach zarządu ww. spółek. Istnieją bowiem dwa stanowiska w tej kwestii. Pierwsze, najczęściej wskazywane, że w stosunku do członków zarządu nie należy spełniać obowiązku informacyjnego. Wynikać ma to z tego, że zarząd spółki działa w jej imieniu, gdyż prowadzi jej sprawy i ją reprezentuje, a tym samym powinien być świadomy jakie dane osobowe i w jaki sposób są przetwarzane w zarządzanej spółce, a nawet jak faktycznie wygląda ochrona danych w spółce.

Drugie, że z uwagi na to, że spółka jest administratorem danych również członków zarządu, a dane te pozyskuje bezpośrednio od nich, to stosuje się art. 13 RODO, który nie rozróżnia podmiotów danych w tym sensie, że obowiązek informacyjny należy spełnić niezależnie od tego, czy administrator przetwarza dane osobowe swoich pracowników czy też zleceniobiorców, czy po prostu niezatrudnionych członków zarządu. Tym bardziej, że obowiązek informacyjny ma być przekazany konkretnym podmiotom danych, a nie całym jednostkom organizacyjnym pracodawcy np. całemu zarządowi.

My zaproponowalibyśmy jednak trzecie podejście (🙂), a mianowicie, że za każdym razem należy przeanalizować sytuację i jeśli osoby wybrane na członków zarządu są od początku jej funkcjonowania to wówczas, można by było powołać się na art. 13 ust 4 RODO, z którego wynika, że obowiązek udzielenia informacji nie jest jednak konieczny, jeżeli osoba, której dane dotyczą, dysponuje już tymi informacjami.  Dotychczasowi członkowie zarządu, rzeczywiście powinni dysponować informacjami zwartymi w obowiązku informacyjnym z uwagi na pełnioną funkcję, tym bardziej, że obowiązek informacyjny jest oświadczeniem wiedzy. W tym miejscu należy wspomnieć o rozpowszechnionym w orzecznictwie poglądzie, zgodnie z którym „członek zarządu powinien legitymować się znajomością przepisów organizacyjnych, finansowych, zasad kierowania zasobami ludzkimi i znajomością obowiązujących przepisów prawnych. Należyta staranność wymaga od członków zarządu znajomości obowiązującego prawa, przy czym decyzje zarządu mogą opierać się na analizie problemu dokonanej przez pracowników spółki lub podmioty zewnętrzne, dysponujące konieczną wiedzą specjalistyczną i doświadczeniem. Oczywiste jest przy tym, że samo powierzenie problemu osobie zajmującej się zawodowo określoną domeną i posiadającej stosowne wykształcenie nie jest jednoznaczne z dochowaniem należytej staranności. Członek zarządu, mając kompetencje do prowadzenia spraw spółki, nie może przerzucać odpowiedzialności za podejmowane decyzje na osoby mu podległe, czy działające na jego rzecz (wyrok Sądu Apelacyjnego w Gdańsku z dnia 29 lipca 2014 r., V ACa 781/13)”. W innym orzeczeniu Sąd wskazał, że „zgodnie z art. 293 § 2 k.s.h. członek zarządu powinien przy wykonywaniu swoich obowiązków dołożyć staranności wynikającej z zawodowego charakteru swojej działalności. Wykonywanie obowiązków przez członków zarządu winno się zatem odbywać z zachowaniem staranności wynikającej z zawodowego charakteru ich działalności. Obejmuje to w szczególności znajomość procesów organizacyjnych, finansowych, ale także kierowanie zasobami ludzkimi oraz obowiązek znajomości przepisów prawa i następstw wynikających z ich naruszenia. Podjęcie się wykonywania obowiązków członka zarządu w sytuacji braku odpowiedniego wykształcenia i wiadomości lub doświadczenia potrzebnego do prowadzenia spraw spółki powinno być kwalifikowane jako naruszenie wymaganej staranności i sumienności (wyrok Sądu Apelacyjnego w Łodzi z dnia  15 stycznia 2016  r., I ACa 1003/15)”.

Natomiast w przypadku powołania nowego członka zarządu zalecalibyśmy spełnienie obowiązku informacyjnego, gdyż rzadko kiedy będzie on dysponował informacjami jakie dane osobowe i w jaki sposób są przetwarzane w danej spółce, a nawet jak faktycznie wygląda ochrona danych w niej. Na marginesie należy dodać, że zgodnie z art. 13 ust 1, administrator podczas pozyskiwania danych osobowych, jest zobowiązany do wypełnienia obowiązku informacyjnego wobec osoby której te dane dotyczą

A co Państwo o tym myślą? 🙂

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego  autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.