Dane osób fizycznych w ogólnodostępnych rejestrach - czy podlegają RODO

Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

Dodano: 19 czerwca 2019
beebbdd6f1fd8fe4c0651975a281558a4fe0afc0-large

Niektóre podmioty w ramach swojej działalności przetwarzają wyłącznie dane rejestrowe oraz dane osób reprezentujących spółkę ujawnione w ogólnodostępnych rejestrach (np. KRS). Rozważenia wymaga, czy jest to przetwarzanie danych osobowych podlegające RODO i czy rodzi obowiązki na gruncie tego rozporządzenia. Jaka jest w tym aspekcie praktyka?

RODO nie obejmuje danych dotyczących osób prawnych

RODO nie obejmuje przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.

RODO dotyczy ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych zarówno przez podmioty prywatne, jak i organy publiczne, jednostki lub inne podmioty publiczne. Zgodnie z motywem 14 preambuły i art. 1. RODO ma zastosowanie do danych osób fizycznych, niezależnie od obywatelstwa czy miejsca zamieszkania tych osób. Rozporządzenie nie obejmuje przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. RODO nie jest zatem stosowane wobec danych osobowych przetwarzanych w związku z funkcjonowaniem osoby prawnej na rynku czy w przestrzeni publicznej.

Dane osób fizycznych w rejestrze

Wątpliwości budzi jednak zakres danych osób prawnych wyłączonych spod ochrony RODO tzn. czy dane dotyczące osoby prawnej, w tym dane kontaktowe obejmują wyłącznie takie dane jak: adres siedziby, adres do korespondencji, numer telefonu, fax, e-mail, NIP itp., czy także dane osób fizycznych wchodzących w skład organów osoby prawnej oraz dane osób wyznaczonych do kontaktu. Zwolennicy szerokiej interpretacji wskazują, że stosowanie RODO jest wyłączone także w przypadku przetwarzania danych osób fizycznych wchodzących w skład organów osób prawnych w celu i w zakresie wynikającym z ich funkcji w tych organach. Jest to jednak pogląd dość ryzykowny – wszak mamy tu do czynienia z danymi pozwalającymi zidentyfikować konkretną osobę fizyczną.

W związku z opisanymi wyżej wątpliwościami w praktyce administratorzy danych spełniają wobec członków zarządu spółki kontrahenta obowiązek informacyjny z RODO. Podobnie ma się rzecz z osobami wyznaczonymi do kontaktu z ramienia spółki kontrahenta (np. osoby wystawiające faktury, odpowiedzialne za realizację umowy).

Podstawa prawna: 
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 1, art. 4, art. 13.
Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

radca prawny, ekspert z zakresu postępowania administracyjnego. Prowadzi kompleksową obsługę prawną przedsiębiorców oraz świadczy pomoc prawną dla jednostek sektora finansów publicznych, m.in. dla organów nadzoru budowlanego

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel