Jak szukać?»

Aktualnie jesteś: Gofin.pl (strona główna)  »  Firma  »  Spółki  »   RODO w spółkach handlowych
POLECAMY
P R E N U M E R A T A
www.gazetapodatkowa.gofin.pl
A A A  poleć artykuł   drukuj artykuł

RODO w spółkach handlowych

Gazeta Podatkowa nr 50 (1612) z dnia 24.06.2019
Paweł Cierkoński

Spółki handlowe, w tym spółki z o.o. czy spółki jawne są administratorami danych osobowych. Jako przedsiębiorcy przetwarzają dane osobowe swoich klientów, współpracowników czy pracowników na zasadach dotyczących innych podmiotów, do których stosuje się przepisy RODO. Sporo wątpliwości może natomiast budzić przetwarzanie danych osobowych osób organizacyjnie powiązanych ze spółką, np. członków jej organów, a także zasad udostępniania tym osobom danych innych osób przetwarzanych przez spółkę.

Obowiązujące od 25 maja 2018 r. ogólne rozporządzenie o ochronie danych osobowych (RODO) ma zastosowanie do danych osobowych żyjących osób fizycznych. Oznacza to w relacjach wewnątrzspółkowych, że normy rozporządzenia nie mają zastosowania do danych podmiotów innych niż osoby fizyczne - np. wspólników będących osobami prawnymi. Natomiast ochronie będą podlegały dane osób fizycznych działających w imieniu tego rodzaju podmiotów, np. członków zarządu spółki z o.o. będącej wspólnikiem spółki jawnej.

Spółka przetwarza dane swoich wspólników, członków rady nadzorczej, komisji rewizyjnej, dane użytkownika bądź zastawnika udziałów w spółce z o.o. Przetwarzanymi przez spółkę danymi wymienionych osób są dane niezbędne do wykonywania wszelkich czynności wynikających ze stosunku spółki albo wykonywania określonych uprawnień bądź obowiązków związanych ze stosunkiem spółki. Chodzi tu np. o dane ujawniane w księdze udziałów, wykorzystywane do zwoływania zgromadzeń wspólników, dane niezbędne do wystawienia PIT czy dane podlegające zgłaszaniu do KRS.

Spółka jako administrator danych osobowych musi również w odniesieniu do osób z nią bezpośrednio związanych wykonać obowiązki informacyjne dotyczące faktu przetwarzania danych, jego zakresu, celu i osoby administratora danych. W odniesieniu do danych osobowych zbieranych bezpośrednio od zainteresowanego szczegółowy zakres obowiązków wynika z art. 13 RODO. W przypadku pozyskania danych z innego źródła treść obowiązku informacyjnego wyznacza art. 14 RODO.

Obowiązek informacyjny

Wykonanie obowiązku informacyjnego wobec osoby udostępniającej spółce swoje dane (art. 13 RODO) powinno nastąpić podczas pozyskiwania danych osobowych. Z kolei w razie pozyskania danych z innego źródła obowiązek powinien zostać wykonany, co do zasady, w rozsądnym terminie po pozyskaniu danych osobowych - najpóźniej w ciągu miesiąca - mając na uwadze konkretne okoliczności przetwarzania danych osobowych (art. 14 ust. 3 lit. a RODO). W przypadku danych wspólników czy danych członków organu spółki zastosowanie może mieć również termin wynikający z art. 14 ust. 3 pkt 2 RODO. Przepis ten nakazuje administratorowi podać informacje najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą, jeżeli dane osobowe mają być stosowane do komunikacji z tą osobą. Jeśli danych nie pozyskano od osoby, której dane dotyczą, to w zawiadomieniu dodatkowo należy osobę tę poinformować o źródle uzyskania danych (art. 14 ust. 2 lit. f RODO).

W interesie spółki leży zabezpieczenie dowodów wykonania obowiązku informacyjnego. Dlatego warto zachować odpis złożonego pisma czy wysłanego e-maila zawierającego realizację obowiązków informacyjnych.

Cel, podstawa, okres i inne dane

Wykonując obowiązek informacyjny, spółka musi wskazać szereg informacji wymaganych przez art. 13 albo art. 14 RODO.

• Cel i podstawa prawna przetwarzania danych osobowych

W przypadku wspólników czy osób, którym przysługują prawa na udziałach w spółce z o.o., celem przetwarzania ich danych będzie zapewnienie możliwości wykonywania praw udziałowych i egzekwowania obowiązków wynikających z posiadania praw do udziałów czy posiadania statusu wspólnika. Właściwą podstawą prawną przetwarzania danych będzie więc art. 6 ust. 1 lit. c) RODO (wypełnienie obowiązku prawnego ciążącego na administratorze - wynikającego z przepisów K.s.h. oraz umowy/statutu spółki), a także w odniesieniu do wspólników jako stron umowy spółki również art. 6 ust. 1 lit. b) RODO (wykonania umowy, której stroną jest osoba, której dane dotyczą). Podstawą prawną przetwarzania danych członków np. rady nadzorczej czy komisji rewizyjnej będzie art. 6 ust. 1 lit. c) RODO. Celem natomiast będzie wykonywanie kodeksowych i umownych praw i obowiązków w zakresie nadzoru i kontroli.

• Okres przechowywania danych osobowych

Realizując obowiązek informacyjny, należy wskazać okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu. W odniesieniu do wspólników czy członków organów spółki ten okres najczęściej będzie powiązany z terminem przedawnienia roszczeń, które spółce mogłyby przysługiwać wobec tych osób. W ogromnej większości będą to roszczenia, do których stosuje się 3-letni termin przedawnienia.

• Odbiorcy danych osobowych

W informacji należy ponadto wskazać potencjalnych odbiorców danych w rozumieniu art. 4 pkt 9 RODO, tj. osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Odbiorcą danych nie będzie natomiast sąd rejestrowy jako organ publiczny, który dane uzyskuje od spółki w ramach postępowania o wpis do rejestru przedsiębiorców (art. 4 pkt 9 RODO).

RODO a kontrola wspólników i rady nadzorczej

Czynności za administratora danych osobowych w spółkach handlowych wykonują członkowie zarządu czy wspólnicy posiadający prawo reprezentacji spółki. Na równi z nimi nie mogą być traktowane osoby, które zgodnie z przepisami o ustroju spółek handlowych mają dostęp do dokumentacji zawierającej dane osobowe celem prowadzenia czynności nadzorczych i kontrolnych.

W przypadku spółek akcyjnych obowiązkowo powoływana jest rada nadzorcza. Rada w celu wykonania swoich obowiązków może badać wszystkie dokumenty spółki, żądać od zarządu i pracowników sprawozdań i wyjaśnień oraz dokonywać rewizji stanu majątku spółki (art. 382 § 4 K.s.h.). Taki zakres kompetencji posiada, co do zasady, również rada nadzorcza w spółce z o.o., jeśli jest w niej ustanowiona (art. 219 § 4 K.s.h.). Dodatkowo w spółce z o.o. prawo kontroli służy każdemu wspólnikowi, chyba że w spółce posiadającej radę nadzorczą lub komisję rewizyjną umowa spółki takie prawo wyłączyła. Udziałowiec w ramach kontroli może osobiście lub z upoważnioną przez siebie osobą w każdym czasie przeglądać księgi i dokumenty spółki, sporządzać bilans dla swego użytku lub żądać wyjaśnień od zarządu. Nawet w przypadku spółki jawnej można mieć do czynienia ze wspólnikiem - kontrolerem. Chodzi tu o wspólnika pozbawionego prawa reprezentacji (art. 30 K.s.h.) oraz pozbawionego prawa prowadzenia jej spraw. Nawet bowiem w takiej sytuacji nie można mu umownie ograniczyć prawa do osobistego zasięgania informacji o stanie majątku i interesów spółki oraz prawa do osobistego przeglądania ksiąg i dokumentów spółki (art. 38 § 2 K.s.h.).

Członkowie rady nadzorczej czy wspólnicy wykonujący prawo kontroli nie muszą uzyskiwać od spółki jako administratora danych upoważnienia do przetwarzania danych. Spółka, udostępniając swoje dokumenty celem umożliwienia wykonania uprawnień przez członków rady czy wspólników, przetwarza dane osobowe zawarte w tych dokumentach zgodnie z art. 6 ust. 1 lit. c) RODO - tj. wypełnia ciążący na administratorze obowiązek prawny wynikający z przytoczonych przepisów K.s.h. W szczególności zarząd spółki z o.o. nie może np. odmówić członkom rady nadzorczej udostępnienia dokumentów spółki powołując się na to, że ci nie otrzymali od zarządu upoważnienia do przetwarzania danych osobowych. Gdyby przyjąć, że takie upoważnienie jest niezbędne, to zarząd odmawiając jego wydania, mógłby w sposób istotny ograniczać wykonywanie nadzoru nad swoją działalnością.

Z uwagi na to można przyjąć, że członkowie rady nadzorczej czy też wspólnicy wykonujący uprawnienia kontrolne są odbiorcami (w rozumieniu art. 4 pkt 9 RODO) danych osobowych zawartych w dokumentach otrzymywanych do wglądu. To z kolei oznacza, że spółka w klauzuli informacyjnej adresowanej do osób, których dane przetwarza (klientów, pracowników itp.), powinna również wymienić członków rady nadzorczej czy wspólników wykonujących uprawnienia kontrolne jako potencjalnych odbiorców danych osobowych (art. 13 ust. 1 lit. e RODO).

Zakwalifikowanie członków rady nadzorczej oraz wspólników jako odbiorców danych osobowych równoznaczne jest też z tym, że informacja o nich powinna znaleźć się w rejestrze czynności przetwarzania danych osobowych, jeśli spółka jest zobowiązana prowadzić taki dokument. Obowiązek ten, co do zasady, spoczywa na każdym administratorze danych osobowych (art. 30 ust. 1 RODO). Wyjątek od tej reguły dotyczy przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO (art. 30 ust. 5 RODO).

W rejestrze czynności przetwarzania należy m.in. wskazać kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych (art. 30 ust. 1 lit. d RODO). W rejestrze powinny znaleźć się informacje o kategoriach odbiorców, a nie o konkretnych odbiorcach. Wystarczy więc np. wskazać: "Udziałowcy spółki wykonujący uprawnienia kontrolne na podstawie art. 212 K.s.h." czy: "Członkowie rady nadzorczej w ramach wykonywania czynności nadzoru". Nie ma więc potrzeby wymieniać z imion i nazwisk wszystkich udziałowców czy członków rady nadzorczej.

Upoważnienie dla prokurenta

Każda spółka handlowa, jako przedsiębiorca, może udzielać prokury. Prokurenci to szczególni pełnomocnicy spółki, których dane są ujawniane w KRS. Ponieważ zakres umocowania prokurenta (zakres prokury) wynika wprost z Kodeksu cywilnego, nie musi on legitymować się dokumentem obejmującym udzielenie prokury celem wykazania swego umocowania do działania w imieniu spółki.

Te podobieństwa między prokurentem a np. członkiem zarządu czy wspólnikiem spółki jawnej uprawnionym do reprezentacji nie oznaczają jednak, że prokurenta należy podobnie traktować na gruncie przepisów o ochronie danych osobowych. Nie można zapominać, że prokurent jest tylko pełnomocnikiem, osobą dokonującą określonych czynności w imieniu przedsiębiorcy, ale nieposiadającym, co do zasady, kompetencji do podejmowania decyzji w imieniu tego przedsiębiorcy. Prokurent nie może więc samodzielnie decydować o celach i sposobach przetwarzania danych osobowych, gdyż jest w tym zakresie podporządkowany administratorowi danych osobowych.

Dlatego też prokurentowi, który w związku z wykonywaniem swoich obowiązków, będzie miał dostęp do danych osobowych przetwarzanych przez spółkę, należy udzielić upoważnienia do przetwarzania danych w rozumieniu art. 29 RODO. W interesie spółki leży, aby upoważnienie było dokonane na piśmie ze wskazaniem określonych kategorii danych osobowych.

Przykładowe dane osobowe osób organizacyjnie powiązanych ze spółką, które są przez nią przetwarzane
Spółka Osoba Dane osobowe
Jawna Wspólnicy pozbawieni prawa reprezentacji Imiona, nazwiska, adresy, PESEL-e i inne niezbędne do zgłoszenia do KRS, ZUS czy US
Partnerska Partnerzy, gdy prowadzenie spraw i reprezentacja spółki zostały powierzone zarządowi Imiona, nazwiska, adresy, PESEL-e i inne niezbędne do zgłoszenia do KRS, ZUS czy US
Z ograniczoną odpowiedzialnością Udziałowcy Imiona, nazwiska, adresy, PESEL-e i inne niezbędne do zgłoszenia do KRS, ZUS czy US; e-mail w razie zwoływania zgromadzeń drogą elektroniczną, numery telefonów
Członkowie rady nadzorczej Imiona, nazwiska, adresy, PESEL-e
Akcyjna Członkowie zarządu akcjonariuszy będących osobami prawnymi Imiona, nazwiska, adresy, numery telefonów
Członkowie rady nadzorczej Imiona, nazwiska, adresy i PESEL-e, a w razie wypłacania wynagrodzeń również dane niezbędne do zgłoszenia do ZUS czy US

Podstawa prawna

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE. L. z 2016 r. nr 119/1)

Spółki - czytaj także:

 
Sklep internetowy - sklep.gofin.pl
 
Wydawnictwo Podatkowe GOFIN sp. z o.o., ul. Owocowa 8, 66-400 Gorzów Wlkp., tel. 95 720 85 40, faks 95 720 85 60
Wydawnictwo Podatkowe GOFIN
Szanowny Użytkowniku !
Prosimy o zapoznanie się z poniższymi informacjami oraz wyrażenie dobrowolnej zgody poprzez kliknięcie przycisku "Zgadzam się".
Pamiętaj, że zawsze możesz wycofać zgodę.

Serwis internetowy, z którego Pani/Pan korzysta używa plików cookies w celu:

  • zapewnienia prawidłowego działania serwisów (utrzymania sesji),

  • analizy statystyk ruchu i reklam w serwisach,

  • zbierania i przetwarzania danych osobowych w celu wyświetlenia personalizowanych reklam.

Pliki cookies

Są to pliki instalowane w urządzeniach końcowych osób korzystających z serwisu, w celu administrowania serwisem, dostosowania treści serwisu do preferencji użytkownika, utrzymania sesji użytkownika oraz dla celów statystycznych i targetowania behawioralnego reklamy (dostosowania treści reklamy do indywidualnych potrzeb użytkownika). Informujemy, że istnieje możliwość określenia przez użytkownika serwisu warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w plikach cookies za pomocą ustawień przeglądarki lub konfiguracji usługi. Szczegółowe informacje na ten temat dostępne są u producenta przeglądarki, u dostawcy usługi dostępu do internetu oraz w Polityce prywatności i plików cookies.

Administratorzy

Administratorem Pana/Pani danych osobowych w związku z korzystaniem z serwisu internetowego i jego usług jest Wydawnictwo Podatkowe GOFIN sp. z o.o.

Administratorem danych osobowych w plikach cookies w związku z wyświetleniem analizy statystyk i wyświetlaniem spersonalizowanych reklam jest partner Wydawnictwa Podatkowego GOFIN sp. z o.o., Stroer Digital Operations sp. z o.o. (SDO). Odbiorcą informacji z plików cookies są Netsprint S.A., Google LLC oraz spółki zlecające SDO realizację kampanii reklamowej, a także podmioty badające i zliczające tę kampanię. Dane te mogą ponadto zostać udostępnione na rzecz partnerów handlowych SDO.

Jakie ma Pani/Pan prawa w stosunku do swoich danych osobowych?

Wobec swoich danych mają Pan/Pani prawo do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych, prawo do cofnięcia zgody.

Podstawy prawne przetwarzania Pani/Pana danych osobowych

  • Niezbędność przetwarzania danych w związku z wykonaniem umowy

    Umowa w naszym przypadku oznacza akceptację regulaminu naszych usług. Jeśli zatem akceptuje Pani/Pan umowę na realizację danej usługi, to możemy przetwarzać Pani/Pana dane w zakresie niezbędnym do realizacji tej umowy.

  • Niezbędność przetwarzania danych w związku z prawnie uzasadnionym interesem administratora

    Dotyczy sytuacji, gdy przetwarzanie danych jest uzasadnione z uwagi na usprawiedliwione potrzeby administratora, tj. dokonanie pomiarów statystycznych, ulepszania naszych usług, jak również prowadzenie marketingu i promocji własnych usług administratora w serwisie internetowym.

  • Dobrowolna zgoda

    Aby móc wyświetlać spersonalizowane reklamy dopasowane do Pani/Pana zainteresowań, partner Wydawnictwa Podatkowego GOFIN sp. z o.o., Stroer Digital Operations sp. z o.o. musi mieć możliwość przetwarzania Pani/Pana danych. Udzielenie takiej zgody jest całkowicie dobrowolne (nie ma obowiązku jej udzielenia).

Zgoda

W związku z powyższymi wyjaśnieniami prosimy o wyrażenie dobrowolnej zgody na przetwarzanie Pani/Pana danych osobowych w związku z możliwością wyświetlenia reklam dopasowanych do Pani/Pana zainteresowań poprzez kliknięcie w przycisk „Zgadzam się” lub „Nie teraz” w przypadku braku zgody.