Spółka z o.o. jest administratorem danych osobowych, w tym również danych swoich wspólników, osób, którym przysługują prawa na udziałach oraz członków rady nadzorczej czy komisji rewizyjnej. Przetwarzanie danych osób fizycznych powiązanych ze spółką z racji relacji kapitałowych lub osobowych podlega ochronie prawnej nie inaczej niż w przypadku pracowników czy kontrahentów spółki.
Od 25 maja 2018 r. obowiązuje w polskim porządku prawnym bezpośrednio i ma zastosowanie unijne ogólne rozporządzenie o ochronie danych osobowych (RODO). Zmieniło ono w istotny sposób spoczywające na spółce obowiązki wynikające z posiadania statusu administratora danych osobowych. W szczególności zmianie uległ zakres obowiązków informacyjnych, jakie na spółce spoczywają w związku ze zbieraniem danych osobowych.
Wykonanie obowiązku informacyjnego służy zaznajomieniu osoby, której dane będą przetwarzane o tym fakcie, jego zakresie, celu i osobie administratora danych. W odniesieniu do danych osobowych zbieranych bezpośrednio od zainteresowanego, szczegółowy zakres obowiązków wynika z art. 13 RODO. W przypadku pozyskania danych z innego źródła, treść obowiązku informacyjnego wyznacza art. 14 RODO.
RODO ma zastosowanie do danych osobowych żyjących osób fizycznych. Spółka nie musi więc, stosować przepisów tego aktu do wspólników, którzy nie są osobami fizycznymi. Ochronie podlegają jednak już dane osób fizycznych reprezentujących wspólników będących osobami prawnymi czy tzw. ułomnymi osobami prawnymi. Podobnie chronione są również dane osób fizycznych, którym przysługują prawa na udziałach (np. dane użytkownika czy zastawnika). RODO ma również zastosowanie do danych członków rady nadzorczej czy komisji rewizyjnej. Obowiązek informacyjny nie będzie natomiast musiał być wykonywany w odniesieniu do członków zarządu, jako osób reprezentujących samego administratora danych osobowych spółki. Jeśli jednak spółka przetwarza dane członków zarządu, których mandaty już wygasły, to informacje powinny być przekazane również im.
Przetwarzanymi przez spółkę danymi wymienionych osób są dane niezbędne do wykonywania wszelkich czynności wynikających ze stosunku spółki. Chodzi tu o dane ujawniane w księdze udziałów, wykorzystywane do zwoływania zgromadzeń wspólników (a zatem również e-mail, w przypadku zwoływania zgromadzeń na podstawie art. 238 § 1 K.s.h. in fine, Dz. U. z 2017 r. poz. 1577 ze zm.), zgłaszania informacji do KRS (czyli również drugie imię i numer PESEL).
Zakres przetwarzanych danych może się różnić w zależności od roli jaką dana osoba pełni w spółce. Przykładowo można wskazać wspólników, spośród których jeden lub niektórzy są jednocześnie pracownikami czy kontrahentami spółki.
Wykonując obowiązek informacyjny spółka musi wskazać cel przetwarzania danych osobowych i jego podstawę prawną. W przypadku wspólników czy osób, którym przysługują prawa na udziałach, takim celem będzie zapewnienie możliwości wykonywania praw udziałowych i egzekwowania obowiązków wynikających z posiadania praw do udziałów. Właściwą podstawą prawną będzie więc art. 6 ust. 1 lit. c) RODO (wypełnienie obowiązku prawnego ciążącego na administratorze - wynikającego z przepisów K.s.h. oraz umowy spółki) oraz w odniesieniu do wspólników jako stron umowy spółki również art. 6 ust. 1 lit. b) RODO (wykonania umowy, której stroną jest osoba, której dane dotyczą).
Podstawą prawną przetwarzania danych członków rady nadzorczej czy komisji rewizyjnej będzie art. 6 ust. 1 lit. c) RODO. Celem natomiast będzie wykonywanie kodeksowych i umownych praw i obowiązków w zakresie nadzoru i kontroli.
Jeśli w spółce do komunikacji są wykorzystywane telefony, to również numery telefonów wejdą w zakres danych osobowych ulegających przetwarzaniu.
W wykonaniu obowiązków wynikających z art. 13 i 14 RODO należy również wskazać okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu. Przykładowo w przypadku osób tracących status wspólnika albo prawo na udziałach, a także w przypadku osób ustępujących z organów spółki czas dalszego przechowywania danych powinien być powiązany z terminem przedawnienia roszczeń przysługujących spółce wobec tych osób. W ogromnej większości będą to roszczenia, do których stosuje się trzyletni termin przedawnienia.
W informacji należy ponadto wskazać potencjalnych odbiorców danych w rozumieniu art. 4 pkt 9 RODO. Będą nimi w szczególności sami wspólnicy, jeśli przysługuje im prawo kontroli (art. 212 K.s.h.), członkowie rady nadzorczej wykonujący obowiązki w ramach nadzoru czy osoby wykonujące zadania w ramach rewizji finansowej spółki. Odbiorcą danych nie jest natomiast sąd rejestrowy jako organ publiczny, który dane uzyskuje od spółki w ramach postępowania o wpis do rejestru przedsiębiorców.
Jeśli danych nie pozyskano od osoby, której dane dotyczą, to w zawiadomieniu dodatkowo należy osobę tę poinformować o źródle uzyskania danych (art. 14 ust. 2 pkt f) RODO). Przykładowo, jeśli informację o zbyciu udziałów przekaże dotychczasowy wspólnik, to nowemu udziałowcowi należy wskazać zbywcę i treść np. umowy sprzedaży jako źródło pozyskania danych osobowych.
Wykonanie obowiązku informacyjnego wobec osoby udostępniającej spółce swoje dane (art. 13 RODO) powinno nastąpić podczas pozyskiwania danych osobowych. Z kolei w razie pozyskania danych z innego źródła obowiązek powinien zostać wykonany, co do zasady, w rozsądnym terminie po pozyskaniu danych osobowych - najpóźniej w ciągu miesiąca - mając na uwadze konkretne okoliczności przetwarzania danych osobowych (art. 14 ust. 3 pkt a RODO). W przypadku danych wspólników czy danych członków organu spółki zastosowanie może mieć jednak również termin wynikający z art. 14 ust. 3 pkt 2 RODO. Przepis ten nakazuje administratorowi podać informacje najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą, jeżeli dane osobowe mają być stosowane do komunikacji z tą osobą. Jeśli więc spółka ma wielu wspólników, to realizacja obowiązku informacyjnego wobec udziałowców może nastąpić przy okazji zwoływania zgromadzenia wspólników.
Spółka, na wypadek kontroli, powinna być w stanie wykazać wykonanie obowiązku informacyjnego. Należy więc zadbać, aby uzyskać potwierdzenie otrzymania lub co najmniej wysłania komunikatu informacyjnego (podpis adresata, dowód nadania pocztowego, wydruk wysłania e-maila).
Obowiązki informacyjne wynikające z art. 13 i 14 RODO nie są niczym nowym w naszym porządku prawnym. Przed wejściem w życie RODO obowiązek przekazania informacji (choć w węższym zakresie) w związku ze zbieraniem danych osobowych wynikał z art. 24 i 25 poprzedniej ustawy o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.). W przypadku spółek z o.o. w odniesieniu do zbierania danych od wspólników i członków organów obowiązek mógł być jednak wyłączony z uwagi na to, że osoba, której dane dotyczą, posiada informacje, które spółka jako administrator powinna przekazać (art. 24 ust. 2 pkt 1 i art. 25 ust. 2 pkt 6 poprzedniej ustawy).
Obecnie taka przesłanka wyłączenia obowiązku informacyjnego również istnieje (art. 13 ust. 4 i art. 14 ust. 5 pkt a RODO), ale znacznie szerszy zakres obowiązkowo przekazywanych danych istotnie utrudnia jej stosowanie.
Podstawa prawna
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE. L. z 2016 r. nr 119/1)
| ||||||||||||
|
||||||||||||
