Z artykułu dowiesz się czy ochrona danych osobowych dotyczy osób prawnych oraz poznasz najczęściej popełniane błędy związane z tym zagadnieniem.
Na postawione w tytule pytanie, można odpowiedź jednym słowem: Nie. Chociaż nieczęsto się zdarza, że przy stosowaniu przepisów RODO w konkretnych przypadkach można odpowiedzieć tak jednoznacznie i w tym obszarze pojawią się pewne wątpliwości oraz błędy, którymi zajmiemy się w niniejszym artykule. Postaramy się również podpowiedzieć jak ich unikać.
RODO to potoczna nazwa Rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Zacznijmy więc od definicji osoby fizycznej:
Osoba fizyczna – prawne określenie człowieka w prawie cywilnym, od chwili urodzenia do chwili śmierci, w odróżnieniu od osób prawnych.
Skoro w tytule artykułu jest mowa o osobach prawnych, jesteśmy winni czytelnikom również definicję osoby prawnej:
Osoba prawna – jeden z rodzajów podmiotów prawa cywilnego, trwałe zespolenie ludzi i środków materialnych w celu realizacji określonych zadań, wyodrębnione w postaci jednostki organizacyjnej wyposażonej przez prawo (przepisy prawa cywilnego) w osobowość prawną. Osobę prawną charakteryzuje nazwa (firma) i siedziba.
Kolejną istotną kwestią, którą chcemy przypomnieć zanim rozwiniemy temat, to rozumienie sformułowania „ochrona danych osobowych”. Jest to w istocie skrót myślowy (podobnie jak w przywoływaniu Rozporządzenia o Ochronie Danych Osobowych – RODO), oznaczający ochronę osób fizycznych, m. in. przez stosowanie wymagań RODO.
Chociaż w dwóch pierwszych przepisach w RODO wskazano wyraźnie:
1.W niniejszym rozporządzeniu ustanowione zostają przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.
2.Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych.
inspektor ochrony danych
ochrona danych
– istnieje tendencja do nadmiernego stosowania RODO, w tym wobec innych podmiotów niż osoby fizyczne.
Najczęściej przejawia się to w klauzulach informacyjnych umieszczanych w umowach – zamiast kierować je przede wszystkim do przedstawicieli stron umowy, są często kierowane bezpośrednio do podmiotów je zawierających – tj. Zleceniobiorców, Usługobiorców, będących np. spółkami prawa handlowego. Bywa też, że oświadczenia zgody na przetwarzanie danych osobowych są błędnie umieszczane w treści umowy, chociaż nie jest ona zawierana z osobą fizyczną. Jest to szczególnie rażące w sytuacji, gdy – ze względu na specyfikę branży – jest mało prawdopodobne, aby strona umowy była przedsiębiorcą, czyli osobą fizyczną prowadzącą działalność gospodarczą. Takie działanie na pewno jest błędem, a może być też naruszeniem przepisów RODO lub nawet naruszeniem ochrony danych osobowych – o czym piszemy w dalszej części.
Być może problem wynika z występowania w polskim (i nie tylko) systemie prawnym zarówno osób fizycznych, jak i osób prawnych, obok innych podmiotów. Przy czym osoby prawne i te inne podmioty niebędące osobami prawnymi (np. spółka partnerska, spółka jawna, spółka komandytowa itp.) zawsze ostatecznie będą działać i będą reprezentowane przez osoby fizyczne.
Doprecyzowując, warto zauważyć, że standaryzacja wzorów klauzul zawartych m.in. w umowach, ale i innych dokumentach, idzie czasem tak daleko, że klauzule, które powinny być dedykowane osobom fizycznych, są kierowane do wszystkich możliwych odbiorców. Nawet tych, którzy nie są nawet osobami prawnymi – stroną umowy lub adresatem korespondencji może być np. stowarzyszenie, wspólnota mieszkaniowa, organ administracji publicznej czy inne podmioty, które nie są ani osobami prawnymi, ani osobami fizycznymi.
A zatem dysponując danymi identyfikującymi (nazwa, firma), rejestrowymi (NIP, REGON, KRS, adres siedziby) lub kontaktowymi (ogólne numery telefonów lub ogólne adresy e-mail) podmiotów, które nie są osobami fizycznymi (czyli ludźmi) – nie przetwarzamy danych osobowych.
Podkreśla to motyw 14 RODO, w którym wskazano, że:
Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.
inspektor ochrony danych
ochrona danych
Dopiero, gdy dysponujemy danymi identyfikującymi (imię i nazwisko) lub kontaktowymi (imienny adres e-mail lub nr tel. komórkowego) konkretnej osoby reprezentującej ten podmiot (przezeń zatrudnionej) musimy zastosować wobec niej wymagania RODO.
Motyw 14 wskazuje na jeszcze jedną sytuację, która jest wyłączona spod stosowania RODO, a mianowicie, gdy dane osobowe zostaną użyte do oznaczenia osoby prawnej, czyli np. gdy firma spółki kapitałowej zawiera nazwisko jej założyciela. Teoretycznie możliwe jest również użycie danych osobowych w adresie siedziby (gdy nazwa ulicy pochodzi od imienia lub nazwiska osoby żyjącej – w praktyce było tak np. za życia Św. Jana Pawła II). W takim przypadku również nie stosujemy RODO. 😊
Należy przy tym pamiętać, że w polskim systemie prawnym osoba fizyczna prowadząca działalność gospodarczą nie jest osobą prawną, a więc motywu 14 nie można rozumieć rozszerzająco, tj. w odniesieniu do przedsiębiorców (działających również w ramach spółki cywilnej).
Podsumowując tę część rozważań, podkreślamy, że kierowanie klauzuli informacyjnej do stron umowy lub adresata korespondencji jest uzasadnione (a czasem konieczne) tylko wówczas, gdy są oni osobami fizycznymi (ludźmi „z krwi i kości”), niezależnie od tego czy prowadzą działalność gospodarczą.
O ile skierowanie klauzuli informacyjnej wymaganej art. 13 lub 14 RODO do osoby prawnej jest tylko błędem, który nie powinien wywołać żadnych negatywnych konsekwencji, to niestety przy okazji często zdarza się, że zapominamy wykonać tego obowiązku wobec osób fizycznych (dalej po prostu „osób”), których faktycznie on dotyczy. Założenie, że osoby podpisujące umowę, czyli uprawnione do reprezentacji podmiotu i wymienione w komparycji umowy, zapoznają się z klauzulą również w niej zawartą, wydaje się słuszne. Prawdopodobnie taka forma realizacji obowiązków informacyjnych wobec reprezentantów osób prawnych zostanie również uznana za skuteczną, zgodnie ze stanowiskiem UODO w tej sprawie.
Gorzej sytuacja wygląda w odniesieniu do osób, z którymi będziemy współpracować przy realizacji umowy, a których dane osobowe również zwykle są wymieniane w treści umowy. Jeśli nie zostaną one poinformowane o przetwarzaniu ich danych osobowych, administrator dopuszcza się naruszenia ochrony danych osobowych. Obecnie częstą praktyką jest kierowanie klauzuli informacyjnej zawartej w umowie również do tych osób. Jednocześnie zobowiązuje się drugą stronę umowy – ich pracodawcę – do przedstawienia tej klauzuli swoim pracownikom, którzy będą angażowani we współpracę od razu lub też później. Takie podejście z pewnością nie jest błędem.
Zbaczając odrobinę z głównego tematu, zastanówmy się jednak czy jest ono skuteczne. Niezależnie od zobowiązania umownego – obowiązek informacyjny pozostaje w odpowiedzialności administratora i w razie kontroli UODO jego wypełnienie może być również weryfikowane. Dobrze, gdy w umowie pojawia się zobowiązanie do przedstawienia oświadczenia o przekazaniu klauzuli, lecz nie mamy gwarancji rzeczywistego wypełnienia tego zobowiązania przez kontrahenta wobec swoich pracowników, nawet w przypadku dostarczenia oświadczenia. Zatem takie podejście może nie uchronić administratora przed ewentualnymi konsekwencjami ze strony UODO. Niemniej jednak odpowiednie regulacje umowne umożliwiają regres wobec kontrahenta w zakresie ewentualnych szkód z tego tytułu.
Idealnym rozwiązaniem byłoby dodatkowe, bezpośrednie informowanie osób wskazanych w umowie, których danymi kontaktowymi byśmy dysponowali (zamiast żądania oświadczenia). Jednakże, zanim UODO bezpośrednio nie zakwestionuje przekazywania klauzuli jako załącznika do umowy (w szczególności bez zbadania rzeczywistej skuteczności takiego trybu w konkretnym przypadku), a stanowisko to nie zostanie podtrzymane przez sądy administracyjne, zalecamy takie działanie. Oczywiście pod warunkiem, że klauzula będzie prawidłowo sformułowana i dedykowana właściwym osobom fizycznym. Konieczne jest również zobowiązanie drugiej strony do przekazania klauzuli tym osobom i zapewnienie, że rzeczywiście miało to miejsce (być może warto, w niektórych przypadkach pozyskać podpisy tych osób pod klauzulą).
Dużo poważniejszym błędem jest pytanie osoby prawnej o zgodę na przetwarzanie danych osobowych. Takie działanie może sugerować możliwość wyrażenia zgody w imieniu osób reprezentujących ten podmiot (przez ich pracodawcę) lub wymuszać te zgody. Oczywiście taka sytuacja również będzie naruszeniem ochrony danych osobowych, jeśli rzeczywiście przetwarzanie danych opiera się na zgodzie osób, których one dotyczą. Jednakże zwykle w przypadku umów zawieranych pomiędzy osobami prawnymi, przetwarzanie danych osób fizycznych związane z komunikacją w ramach tych umów, opiera się na prawnie uzasadnionym interesie. Dlatego unikajmy takich błędów, które co najmniej mogą wprowadzać w błąd osoby mniej świadome stanu faktycznego. W przypadku rzeczywistej potrzeby uzyskania zgody od osoby fizycznej, unikajmy pośrednictwa ich pracodawcy.
Na zakończenie podsumujmy przedstawione w artykule informacje:
ochrona danych osobowych nie dotyczy osób prawnych i nie stosuje się wobec nich wymagań RODO, lecz informacje dotyczące takich podmiotów mogą podlegać ochronie jako tajemnica przedsiębiorstwa;
ochrona danych osobowych dotyczy osób fizycznych prowadzących działalność gospodarczą i RODO stosujemy tak, jak względem konsumentów, chociaż część danych przedsiębiorców jest publicznie dostępna;
ochrona danych osobowych dotyczy przedstawicieli osób prawnych, których znamy z nazwiska, ponieważ musimy współpracować z konkretnymi osobami.