Jak szukać?»

Aktualnie jesteś: Gofin.pl (strona główna)  »  Firma  »  Spółki  »   RODO w spółce z o.o.
A A A  poleć artykuł   drukuj artykuł

RODO w spółce z o.o.

Gazeta Podatkowa nr 54 (1511) z dnia 5.07.2018
Paweł Cierkoński

Spółka z o.o. jest administratorem danych osobowych, w tym również danych swoich wspólników, osób, którym przysługują prawa na udziałach oraz członków rady nadzorczej czy komisji rewizyjnej. Przetwarzanie danych osób fizycznych powiązanych ze spółką z racji relacji kapitałowych lub osobowych podlega ochronie prawnej nie inaczej niż w przypadku pracowników czy kontrahentów spółki.

Od 25 maja 2018 r. obowiązuje w polskim porządku prawnym bezpośrednio i ma zastosowanie unijne ogólne rozporządzenie o ochronie danych osobowych (RODO). Zmieniło ono w istotny sposób spoczywające na spółce obowiązki wynikające z posiadania statusu administratora danych osobowych. W szczególności zmianie uległ zakres obowiązków informacyjnych, jakie na spółce spoczywają w związku ze zbieraniem danych osobowych.

Wykonanie obowiązku informacyjnego służy zaznajomieniu osoby, której dane będą przetwarzane o tym fakcie, jego zakresie, celu i osobie administratora danych. W odniesieniu do danych osobowych zbieranych bezpośrednio od zainteresowanego, szczegółowy zakres obowiązków wynika z art. 13 RODO. W przypadku pozyskania danych z innego źródła, treść obowiązku informacyjnego wyznacza art. 14 RODO.

Dane

RODO ma zastosowanie do danych osobowych żyjących osób fizycznych. Spółka nie musi więc, stosować przepisów tego aktu do wspólników, którzy nie są osobami fizycznymi. Ochronie podlegają jednak już dane osób fizycznych reprezentujących wspólników będących osobami prawnymi czy tzw. ułomnymi osobami prawnymi. Podobnie chronione są również dane osób fizycznych, którym przysługują prawa na udziałach (np. dane użytkownika czy zastawnika). RODO ma również zastosowanie do danych członków rady nadzorczej czy komisji rewizyjnej. Obowiązek informacyjny nie będzie natomiast musiał być wykonywany w odniesieniu do członków zarządu, jako osób reprezentujących samego administratora danych osobowych spółki. Jeśli jednak spółka przetwarza dane członków zarządu, których mandaty już wygasły, to informacje powinny być przekazane również im.

Przetwarzanymi przez spółkę danymi wymienionych osób są dane niezbędne do wykonywania wszelkich czynności wynikających ze stosunku spółki. Chodzi tu o dane ujawniane w księdze udziałów, wykorzystywane do zwoływania zgromadzeń wspólników (a zatem również e-mail, w przypadku zwoływania zgromadzeń na podstawie art. 238 § 1 K.s.h. in fine, Dz. U. z 2017 r. poz. 1577 ze zm.), zgłaszania informacji do KRS (czyli również drugie imię i numer PESEL).

Zakres przetwarzanych danych może się różnić w zależności od roli jaką dana osoba pełni w spółce. Przykładowo można wskazać wspólników, spośród których jeden lub niektórzy są jednocześnie pracownikami czy kontrahentami spółki.

Cel i podstawa przetwarzania danych

Wykonując obowiązek informacyjny spółka musi wskazać cel przetwarzania danych osobowych i jego podstawę prawną. W przypadku wspólników czy osób, którym przysługują prawa na udziałach, takim celem będzie zapewnienie możliwości wykonywania praw udziałowych i egzekwowania obowiązków wynikających z posiadania praw do udziałów. Właściwą podstawą prawną będzie więc art. 6 ust. 1 lit. c) RODO (wypełnienie obowiązku prawnego ciążącego na administratorze - wynikającego z przepisów K.s.h. oraz umowy spółki) oraz w odniesieniu do wspólników jako stron umowy spółki również art. 6 ust. 1 lit. b) RODO (wykonania umowy, której stroną jest osoba, której dane dotyczą).

Podstawą prawną przetwarzania danych członków rady nadzorczej czy komisji rewizyjnej będzie art. 6 ust. 1 lit. c) RODO. Celem natomiast będzie wykonywanie kodeksowych i umownych praw i obowiązków w zakresie nadzoru i kontroli.


Jeśli w spółce do komunikacji są wykorzystywane telefony, to również numery telefonów wejdą w zakres danych osobowych ulegających przetwarzaniu.

Pozostałe informacje

W wykonaniu obowiązków wynikających z art. 13 i 14 RODO należy również wskazać okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu. Przykładowo w przypadku osób tracących status wspólnika albo prawo na udziałach, a także w przypadku osób ustępujących z organów spółki czas dalszego przechowywania danych powinien być powiązany z terminem przedawnienia roszczeń przysługujących spółce wobec tych osób. W ogromnej większości będą to roszczenia, do których stosuje się trzyletni termin przedawnienia.

W informacji należy ponadto wskazać potencjalnych odbiorców danych w rozumieniu art. 4 pkt 9 RODO. Będą nimi w szczególności sami wspólnicy, jeśli przysługuje im prawo kontroli (art. 212 K.s.h.), członkowie rady nadzorczej wykonujący obowiązki w ramach nadzoru czy osoby wykonujące zadania w ramach rewizji finansowej spółki. Odbiorcą danych nie jest natomiast sąd rejestrowy jako organ publiczny, który dane uzyskuje od spółki w ramach postępowania o wpis do rejestru przedsiębiorców.

Jeśli danych nie pozyskano od osoby, której dane dotyczą, to w zawiadomieniu dodatkowo należy osobę tę poinformować o źródle uzyskania danych (art. 14 ust. 2 pkt f) RODO). Przykładowo, jeśli informację o zbyciu udziałów przekaże dotychczasowy wspólnik, to nowemu udziałowcowi należy wskazać zbywcę i treść np. umowy sprzedaży jako źródło pozyskania danych osobowych.

Przekazanie informacji

Wykonanie obowiązku informacyjnego wobec osoby udostępniającej spółce swoje dane (art. 13 RODO) powinno nastąpić podczas pozyskiwania danych osobowych. Z kolei w razie pozyskania danych z innego źródła obowiązek powinien zostać wykonany, co do zasady, w rozsądnym terminie po pozyskaniu danych osobowych - najpóźniej w ciągu miesiąca - mając na uwadze konkretne okoliczności przetwarzania danych osobowych (art. 14 ust. 3 pkt a RODO). W przypadku danych wspólników czy danych członków organu spółki zastosowanie może mieć jednak również termin wynikający z art. 14 ust. 3 pkt 2 RODO. Przepis ten nakazuje administratorowi podać informacje najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą, jeżeli dane osobowe mają być stosowane do komunikacji z tą osobą. Jeśli więc spółka ma wielu wspólników, to realizacja obowiązku informacyjnego wobec udziałowców może nastąpić przy okazji zwoływania zgromadzenia wspólników.

Spółka, na wypadek kontroli, powinna być w stanie wykazać wykonanie obowiązku informacyjnego. Należy więc zadbać, aby uzyskać potwierdzenie otrzymania lub co najmniej wysłania komunikatu informacyjnego (podpis adresata, dowód nadania pocztowego, wydruk wysłania e-maila).

Nic nowego

Obowiązki informacyjne wynikające z art. 13 i 14 RODO nie są niczym nowym w naszym porządku prawnym. Przed wejściem w życie RODO obowiązek przekazania informacji (choć w węższym zakresie) w związku ze zbieraniem danych osobowych wynikał z art. 24 i 25 poprzedniej ustawy o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.). W przypadku spółek z o.o. w odniesieniu do zbierania danych od wspólników i członków organów obowiązek mógł być jednak wyłączony z uwagi na to, że osoba, której dane dotyczą, posiada informacje, które spółka jako administrator powinna przekazać (art. 24 ust. 2 pkt 1 i art. 25 ust. 2 pkt 6 poprzedniej ustawy).

Obecnie taka przesłanka wyłączenia obowiązku informacyjnego również istnieje (art. 13 ust. 4 i art. 14 ust. 5 pkt a RODO), ale znacznie szerszy zakres obowiązkowo przekazywanych danych istotnie utrudnia jej stosowanie.

Podstawa prawna

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE. L. z 2016 r. nr 119/1)

Spółki - czytaj także:

 
Sklep internetowy - sklep.gofin.pl
 
Wydawnictwo Podatkowe GOFIN sp. z o.o., ul. Owocowa 8, 66-400 Gorzów Wlkp., tel. 95 720 85 40, faks 95 720 85 60
Wydawnictwo Podatkowe GOFIN
Szanowny Użytkowniku !
Prosimy o zapoznanie się z poniższymi informacjami oraz wyrażenie dobrowolnej zgody poprzez kliknięcie przycisku "Zgadzam się".
Pamiętaj, że zawsze możesz wycofać zgodę.

Serwis internetowy, z którego Pani/Pan korzysta używa plików cookies w celu:

  • zapewnienia prawidłowego działania serwisów (utrzymania sesji),

  • analizy statystyk ruchu i reklam w serwisach,

  • zbierania i przetwarzania danych osobowych w celu wyświetlenia personalizowanych reklam.

Pliki cookies

Są to pliki instalowane w urządzeniach końcowych osób korzystających z serwisu, w celu administrowania serwisem, dostosowania treści serwisu do preferencji użytkownika, utrzymania sesji użytkownika oraz dla celów statystycznych i targetowania behawioralnego reklamy (dostosowania treści reklamy do indywidualnych potrzeb użytkownika). Informujemy, że istnieje możliwość określenia przez użytkownika serwisu warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w plikach cookies za pomocą ustawień przeglądarki lub konfiguracji usługi. Szczegółowe informacje na ten temat dostępne są u producenta przeglądarki, u dostawcy usługi dostępu do internetu oraz w Polityce prywatności i plików cookies.

Administratorzy

Administratorem Pana/Pani danych osobowych w związku z korzystaniem z serwisu internetowego i jego usług jest Wydawnictwo Podatkowe GOFIN sp. z o.o.

Administratorem danych osobowych w plikach cookies w związku z wyświetleniem analizy statystyk i wyświetlaniem spersonalizowanych reklam jest partner Wydawnictwa Podatkowego GOFIN sp. z o.o., Stroer Digital Operations sp. z o.o. (SDO). Odbiorcą informacji z plików cookies są Netsprint S.A., Google LLC oraz spółki zlecające SDO realizację kampanii reklamowej, a także podmioty badające i zliczające tę kampanię. Dane te mogą ponadto zostać udostępnione na rzecz partnerów handlowych SDO.

Jakie ma Pani/Pan prawa w stosunku do swoich danych osobowych?

Wobec swoich danych mają Pan/Pani prawo do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych, prawo do cofnięcia zgody.

Podstawy prawne przetwarzania Pani/Pana danych osobowych

  • Niezbędność przetwarzania danych w związku z wykonaniem umowy

    Umowa w naszym przypadku oznacza akceptację regulaminu naszych usług. Jeśli zatem akceptuje Pani/Pan umowę na realizację danej usługi, to możemy przetwarzać Pani/Pana dane w zakresie niezbędnym do realizacji tej umowy.

  • Niezbędność przetwarzania danych w związku z prawnie uzasadnionym interesem administratora

    Dotyczy sytuacji, gdy przetwarzanie danych jest uzasadnione z uwagi na usprawiedliwione potrzeby administratora, tj. dokonanie pomiarów statystycznych, ulepszania naszych usług, jak również prowadzenie marketingu i promocji własnych usług administratora w serwisie internetowym.

  • Dobrowolna zgoda

    Aby móc wyświetlać spersonalizowane reklamy dopasowane do Pani/Pana zainteresowań, partner Wydawnictwa Podatkowego GOFIN sp. z o.o., Stroer Digital Operations sp. z o.o. musi mieć możliwość przetwarzania Pani/Pana danych. Udzielenie takiej zgody jest całkowicie dobrowolne (nie ma obowiązku jej udzielenia).

Zgoda

W związku z powyższymi wyjaśnieniami prosimy o wyrażenie dobrowolnej zgody na przetwarzanie Pani/Pana danych osobowych w związku z możliwością wyświetlenia reklam dopasowanych do Pani/Pana zainteresowań poprzez kliknięcie w przycisk „Zgadzam się” lub „Nie teraz” w przypadku braku zgody.