Spółka handlowa a przetwarzanie danych osobowych

Przeczytaj także: Rejestr czynności przetwarzania danych osobowych - kiedy jest obowiązkowy?

Pojawia się często pytanie, w jaki sposób uregulować status prawny jej wspólników lub członków organów (zgromadzenie wspólników, walne zgromadzenie akcjonariuszy, rada nadzorcza, zarząd) w zakresie dostępu do danych osobowych i ich przetwarzania. Spółka przetwarza więc dane swoich wspólników, członków rady nadzorczej, komisji rewizyjnej, dane użytkownika bądź zastawnika udziałów w spółce z o.o.

Dane, które przetwarza spółka są danymi osób, które są niezbędne do wykonywania wszelkich czynności wynikających ze stosunku spółki albo wykonywania określonych uprawnień bądź obowiązków związanych ze stosunkiem spółki. Znajduje to zastosowanie w przypadku danych, które są ujawniane w księdze udziałów, wykorzystywane do zwoływania zgromadzeń wspólników, dane niezbędne do wystawienia PIT czy dane podlegające zgłaszaniu do KRS.

Spółka jako administrator danych osobowych ma obowiązek w odniesieniu do osób z nią bezpośrednio związanych wykonać obowiązki informacyjne dotyczące faktu przetwarzania danych, jego zakresu, celu i osoby administratora danych. W odniesieniu do danych osobowych zbieranych bezpośrednio od zainteresowanego szczegółowy zakres obowiązków wynika z art. 13 RODO. W przypadku pozyskania danych z innego źródła treść obowiązku informacyjnego wyznacza art. 14 RODO. Wykonanie obowiązku informacyjnego wobec osoby udostępniającej spółce swoje dane (art. 13 RODO) powinno nastąpić podczas pozyskiwania danych osobowych. Z kolei w razie pozyskania danych z innego źródła obowiązek powinien zostać wykonany, co do zasady, w rozsądnym terminie po pozyskaniu danych osobowych - najpóźniej w ciągu miesiąca - mając na uwadze konkretne okoliczności przetwarzania danych osobowych (art. 14 ust. 3 lit. a RODO). W przypadku danych wspólników czy danych członków organu spółki zastosowanie może mieć również termin wynikający z art. 14 ust. 3 pkt 2 RODO. Przepis ten nakazuje administratorowi podać informacje najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą, jeżeli dane osobowe mają być stosowane do komunikacji z tą osobą. Jeśli danych nie pozyskano od osoby, której dane dotyczą, to w zawiadomieniu dodatkowo należy osobę tę poinformować o źródle uzyskania danych (art. 14 ust. 2 lit. f RODO).

To w interesie spółki leży zabezpieczenie dowodów wykonania obowiązku informacyjnego. Dlatego niezmiernie ważnym jest, aby zarchiwizować złożone pismo czy wysłanego e-maila zawierającego realizację obowiązków informacyjnych , tak aby móc rozliczyć się z wykonania obowiązku.

Podstawa prawna
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE. L. z 2016 r. nr 119/1)