W zakładce Zadania IOD na stronie Urzędu Ochrony Danych Osobowych można znaleźć wypowiedź organu nadzorczego z dnia 30.06.2020 r., opatrzoną intrygującym tytułem: „Co z obowiązkiem informacyjnym wobec członków zarządu osób prawnych?”
- OI wobec członków zarządu
- Dane osobowe dotyczące osoby prawnej to dane osoby prawnej
- Identyfikacja to jeszcze za mało
- Co w takim razie z OI wobec funkcjonariuszy spółki
- Co z danymi przedsiębiorcy wpisanego do CEIDG
OI wobec członków zarządu
Organ stwierdza, ku zdumieniu licznych prawników ze środowiska zainteresowanego ochroną danych osobowych (bo przecież jest motyw 14 rodo), że członek zarządu nie jest wyjęty spod zakresu zastosowania rodo i wobec tego należy poinformować go o przetwarzaniu zgodnie z art. 13 lub 14 rodo. Poniżej fragment:
Wobec powyższego uznać należy, że dane członków zarządu reprezentujących osobę prawną, dane pełnomocników osób prawnych, a także dane pracowników, którzy są osobami kontaktowymi osoby prawnej, będących możliwymi do zidentyfikowania osobami fizycznymi, będą danymi osobowymi podlegającymi ochronie RODO.
Wobec tego administrator jest zobligowany do wypełnienia w stosunku do takich osób obowiązku informacyjnego określonego w art. 13 lub 14 RODO, o ile nie zachodzi jedna z przesłanek zwalniających go z tego obowiązku.
Dane osobowe dotyczące osoby prawnej to dane osoby prawnej
Dnia 29 września 2022 r. zapadł wyrok WSA w sprawie o sygnaturze II SA/Wa 559/22. Wyrok ten potwierdza i podtrzymuje pogląd prawny zaprezentowany przez UODO, który brzmi:
Również w pierwszym zdaniu motywu 14. RODO napisano: „Ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych”. Zdanie drugie zaś wskazuje, że RODO nie dotyczy przetwarzania danych osobowych osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. Osobowość prawną mają zaś w Polsce podmioty wpisane do Krajowego Rejestru Sądowego, m.in. spółki. Powyższe dotyczy także reprezentantów (np. członków zarządu) osób prawnych, gdyż ich dane osobowe traktowane są jako dane osoby prawnej.
Zdaniem Sądu, rację ma Prezes UODO stwierdzając w zaskarżonym postanowieniu, że kwestionowane przetwarzanie adresów e-mail, jako danych kontaktowych osoby prawnej, wyklucza traktowanie ich w postępowaniu administracyjnym w oparciu o przepisy RODO, jako wyłącznie danych osobowych osoby fizycznej.
Jest to słuszna zmiana stanowiska, czy może jego uszczegółowienie. Fakt, że mamy do czynienia z danymi osobowymi nie oznacza jeszcze, że rodo znajdzie zastosowanie. Celem tego aktu prawnego jest ochrona życia prywatnego osoby fizycznej nie zaś jej życia gospodarczego.
Identyfikacja to jeszcze za mało
Adres e-mail podobnie jak nr telefonu oczywiście identyfikuje osobę fizyczną bardziej niż wiele innych informacji, z pewnością znacznie bardziej niż imię i nazwisko. Przez identyfikację należy rozumieć, zwłaszcza w kontekście celu rodo, dotarcie do osoby tak żeby można było na nią oddziaływać. Niezależnie od rodo, słownikowo przez identyfikację należy rozumieć ustalenie cech odróżniających osobę, pozwalających wskazać ją w grupie, ale identyfikacja nigdy nie następuje bez celu. Samo imię i nazwisko prawie nigdy tego nie zapewnia, co innego w powiązaniu z adresem zakładu pracy lub zamieszkania, jeszcze lepiej dodatkowo z wizerunkiem. Dane identyfikacyjne stanowią szczególnie istotną kategorię danych osobowych, one bowiem są warunkiem, że wszelkie inne informacje o osobie będą również stanowiły dane osobowe, bo będą dotyczyły osoby zidentyfikowanej (np. odpowiedzi pisemne zidentyfikowanego studenta i komentarze do nich wykładowcy, stanowią dane osobowe studenta). Przez adres e – mail i nr telefonu można oddziaływać na osobę (identyfikować ją), nawet nie wiedząc o niej nic więcej. Można przykładowo zaproponować jej produkty, dodatkowo je zachwalając. Przy czym z punktu widzenia osoby, której dane dotyczą i celu rodo (funkcja ochronna) liczy się już sama intencja przetwarzania administratora nawet jeśli z adresu e-mail nikt nie korzysta albo telefonu nie odbiera. Funkcja represyjna rodo zbliża je na tym odcinku do prawa karnego, gdzie liczy się usiłowanie w równym stopniu co dokonanie, bo sąd wymierza karę za usiłowanie w granicach zagrożenia przewidzianego za dokonanie.
Jednak możliwość identyfikacji to jeszcze za mało żeby stosować rodo. Identyfikować musi osoba w celach innych niż czysto osobiste lub domowe (najczęściej przedsiębiorca w celu prowadzenia działalności) i w sposób ingerujący w prywatność a nie w życie gospodarcze, czyli warunkiem stosowania rodo jest identyfikowanie osoby w jej sferze prywatnej. Członek zarządu, jest w sferze prywatnej kiedy w weekend przebywa w domu, ale nie kiedy w godzinach pracy przebywa w biurowcu. Dlatego jeśli telemarketer zadzwoni do niego na nr wskazany na www spółki w godzinach pracy, to uzasadnione jest domniemanie, że dzwoni do spółki (osoby prawnej) i spółce chce sprzedać garnki, a z nim rozmawia dlatego, że osoba prawna działa przez swoje organy będące osobami fizycznymi. O stosowaniu rodo stanowi również kontekst przetwarzania. Idąc dalej tym tropem, jeśli jednak nawet w godzinach pracy (dotyczy telefonu bo co do maila pora nie ma znaczenia) z treści komunikatu telefonicznego lub mailowego, będzie wynikało że telemarketer kieruje ofertę nie do spółki ale do osoby fizycznej (nie chce sprzedać garnków osobie prawnej żeby zaspokoiła potrzeby żywieniowe swojego personelu, tylko skarpety członkowi zarządu), to rodo znajduje zastosowanie, ponieważ treść komunikatu ujawnia intencję nadawcy i przesądza w której z równolegle występujących sfer (prywatnej i gospodarczej) dane identyfikacyjne są przetwarzane (wykorzystywane). Członek zarządu nie przestaje być osobą prywatną w godzinach pracy tylko podejmuje się równoległej roli społecznej.
Tak precyzyjne podejście organu potwierdza fragment uzasadnienia wyroku:
Zdaniem organu, można założyć, iż w innym stanie faktycznym możliwe jest nadanie adresowi imiennemu poczty elektronicznej przymiotu danych osobowych, lecz stan ten musiałby dotyczyć sfery niezwiązanej wprost z działalnością określonych spółek prawa handlowego.
Z treści uzasadnienia wyroku wynika jednak, że organ nie badał dostatecznie stanu faktycznego (tak zarzucał skarżący, co stoi w sprzeczności z ww. fragmentem), konkretnie tego jakiej treści komunikat marketingowy był kanałem mailowym wysłany. Jeśli tak by było to uzasadniałoby uchylenie wyroku i decyzji przez NSA. O przetwarzaniu danych osobowych i zastosowaniu rodo nie decyduje to czy adres mailowy zawierał imię czy jego pierwszą literę i nazwisko (nie to jest potrzebne do identyfikacji) tylko w jakim celu był wykorzystany kanał komunikacji, czy ten cel ingerował w życie prywatne osoby, której dane dotyczą czy w życie gospodarcze osoby prawnej, którą ta pierwsza reprezentuje.
Co w takim razie z OI wobec funkcjonariuszy spółki
Bez dającej całkowitą pewność odpowiedzi pozostaje pytanie czy UODO zmienił zdanie co do spełniania OI wobec członków zarządu, jeśli przetwarzane są ich dane osobowe, ale dla celu przetwarzania danych osoby prawnej i jej życia gospodarczego, czyli jako organu osoby prawnej? Należy uznać, że tak, skoro dane osobowe członka zarządu są danymi osoby prawnej, ze względu na kontekst (cel) przetwarzania, a rodo nie ma zastosowania do takiego przetwarzania. W razie czego warto jednak z ostrożności pozostawić klauzule w treści umów, nie trzeba ich zmieniać, podstawą nadal będzie art. 6 ust. 1 lit. b rodo, bo dane członka zarządu są przetwarzane ze względu na umową, ale tę której jest stroną, nie z administratorem, tylko ze spółką w której piastuje funkcję organu. Jak ze spółką nie łączy go umowa tylko stosunek organizacyjny, to art. 6 ust. 1 lit. b znajdzie zastosowanie na zasadzie analogii, a w ostateczności dojdzie do zbiegu podstaw, bo z pewnością przetwarzanie jego danych stanowi prawnie uzasadniony interes administratora.
Co z danymi przedsiębiorcy wpisanego do CEIDG
Tu sprawa jest bardziej skomplikowana. Z jednej strony cel rodo czy w ogóle prawa ochrony danych osobowych jest znany na długo wcześniej zanim nastało rodo, i celem tym jest ochrona prawa podstawowego jakim jest prywatność. Gałąź prawa jaką jest prawo ochrony danych osobowych wyrasta z tego prawa podstawowego obecnego w prawodawstwie europejskim od połowy XX w. (Artykuł 8 EKPC). Jedna z fundamentalnych zasad rodo wyrażona w art. 25 nazywa się privacy by design oraz privacy by default. Dla ochrony informacji gospodarczych i życia gospodarczego istnieją w prawie krajowym i na poziomie europejskim inne akty prawne. Na poziomie krajowym funkcję ochronną spełnia przede wszystkim tajemnica przedsiębiorstwa, o której mowa w art. 11 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji.
Z drugiej strony brzmienie motywu 14:
Ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych. Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.
Prawodawca unijny wyłącza stosowanie rodo w stosunku do wykorzystania danych osobowych osoby fizycznej dla celu prowadzenia działalności przez przedsiębiorcę będącego osobą prawną, musi tu więc chodzić co najmniej o reprezentantów osób prawnych, a wydaje się że również o pracowników w zakresie w jakim ich dane osobowe są danymi kontaktowymi osoby prawnej i dla celu kontaktu z tą osobą prawną. Natomiast zastosowanie rodo nie zostało wyłączone w stosunku do wykorzystania danych osobowych osoby fizycznej dla celu prowadzenia przez nią działalności gospodarczej, w sytuacji gdy jest przedsiębiorcą będącym osobą fizyczną, wpisanym do CEIDG.
Trudno powiedzieć skąd ta niekonsekwencja prawodawcy europejskiego, jednak w takiej sytuacji bezpieczniej jest stosować wykładnię stwierdzającą a nie rozszerzającą i wyłączeniem nie obejmować przetwarzania danych przedsiębiorców z CEIDG dla celu ich działalności gospodarczej.
Natomiast bardziej racjonalnie byłoby dystynkcję przeprowadzić w oparciu o cel przetwarzania (w co ingeruje, w życie prywatne czy gospodarcze), a nie w oparciu o fakt jawności danych w publicznych rejestrach takich jak KRS czy CEIDG, bo fakt że Kowalski jest członkiem zarządu i przedsiębiorcą wpisanym do CEIDG, to oczywiście w obydwu przypadkach stanowi jego dane osobowe, więc jeśli te dane zostaną przetworzone (wykorzystane) w kontekście jego prywatności, to rodo niewątpliwie ma zastosowanie.
Zmiana stanowiska ma ważne implikacje dla marketingu wobec osób prawnych.