Czy członek rady nadzorczej w Spółce, podpisuje zgodę na przetwarzanie danych osobowych, klauzulę dotyczącą monitoringu i oświadczenie poufności?

0

minut

11

wyświetleń

12 sie 2022

Odpowiedź:

Zgoda na przetwarzanie danych osobowych członków rady nadzorczej jest pobierana tylko w przypadku, gdy przetwarzanie danych osobowych jest oparte o dobrowolną zgodę, a zatem o art. 6 ust. 1 lit. a RODO, w pozostałych przypadkach należy z jej pobierania zrezygnować.

Nie ma konieczności podpisywania przez członków rady nadzorczej klauzuli informacyjnej dotyczącej monitoringu.

Organizacja może wymagać od członka rady nadzorczej podpisania oświadczenia o poufności.

 

Uzasadnienie odpowiedzi:

Zgoda na przetwarzanie danych osobowych

Zgoda na przetwarzanie danych osobowych zgodnie z art. 6 ust. 1 lit. a RODO jest jedną z przesłanek legalizujących przetwarzanie danych. Jej zastosowanie powinno być uzależnione od celu przetwarzania danych osobowych oraz możliwości zastosowania innych podstaw prawnych przewidzianych przez art. 6 ust. 1 RODO.

W przypadku członków rady nadzorczej, mogą zachodzić inne podstawy przetwarzania danych osobowych. Jako przykład należy wskazać wypełnienie obowiązków prawnych ciążących na administratorze zgodnie z art. 6 ust. 1 lit. c RODO. Takie obowiązki mogą wynikać między innymi z  Ustawy z dnia 15  września 2000 r. Kodeks spółek handlowych czy w przypadku wynagrodzeń lub zwrotów kosztów z przepisów z zakresu prawa podatkowego i rachunkowości, jak również jeżeli podmiot jest zobowiązany na gruncie przepisów archiwizacyjnych. Dodatkowo, co w praktyce często znajduje odzwierciedlenie, podstawą przetwarzania danych osobowych może być uzasadniony interes administratora zgodnie z art. 6 ust. 1 lit. f RODO. W przedmiocie pozyskiwania zgody, należy wskazać, że powinna być podstawą przetwarzania danych w przypadku, gdy nie zachodzą inne przesłanki legalizujące. Nie można zatem również wykluczyć zastosowania zgody na przetwarzanie danych osobowych członków zarządu w określonych celach, jeżeli w danym przypadku nieuzasadnione jest skorzystanie z innych podstaw prawnych przewidzianych art. 6 ust. 1 RODO. Jednocześnie należy pamiętać o warunkach udzielania zgody, a zatem stosować ją w takich okolicznościach, które nie budzą wątpliwości co do jej dobrowolności, świadomości i jednoznaczności.

Klauzula dotycząca monitoringu

Kwestia podpisywania klauzul jest w doktrynie prawa ochrony danych zagadnieniem spornym. Sama klauzula stanowi informację o przetwarzaniu danych, z którą zgodnie z art. 13 oraz art. 14 RODO powinien administrator zapoznać osoby, których dane przetwarza. Klauzula informacyjna nie ma mocy wiążącej dla osoby, który dane dotyczą a jedynie charakter informacyjny, nie można również nikogo niejako „zmusić” do zapoznania się z przedmiotowymi informacjami. RODO zobowiązuje jedynie do umożliwienia zapoznania się. Zbieranie pod klauzulami informacyjnymi oświadczeń o zapoznaniu się z informacją o przetwarzaniu danych jest w praktyce powszechnie stosowane przez administratorów celem udokumentowania rozliczalności ze spełnienia obowiązku informacyjnego. Jednakże, jak należy podkreślić, nie jest to działanie prawnie wymagane.

Klauzula informacyjna dotycząca monitoringu może być rozpatrywana jako szczególny rodzaj obowiązku, bowiem w odróżnieniu od standardowych sytuacji w przypadku przetwarzania danych nie dochodzi do tradycyjnego pobierania konkretnych danych osobowych przez administratora jak np. za pośrednictwem formularzy. W tym przypadku, ze względów technicznych brakuje zazwyczaj elementu intencyjności oraz świadomości przekazywania danych administratorowi. Ponieważ w przypadku zastosowania monitoringu, pomimo innowacyjności tej formy pobierania danych, należy uznać, że są to dane pobierane bezpośrednio od osoby, w ramach spełnienia obowiązku informacyjnego zastosowanie znajduje art. 13 ust. 1 RODO. Zgodnie z nim, administrator powinien  podczas pozyskiwania danych osobowych przedstawić osobie, której dane dotyczą informacje o przetwarzaniu. Zgodnie z artykułem zamieszczonym na stronie UODO „pracodawca korzystający z monitoringu powinien poinformować osoby, które potencjalnie mogą zostać nim objęte, o tym, że monitoring jest stosowany i jaki obszar jest nim objęty.” (https://uodo.gov.pl/pl/138/1634, dostęp 11.08.2022). Użycie sformułowania „potencjalnie” sugeruje, że informacja o monitoringu powinna być uprzednia w stosunku do faktu nagrania. Rozważyć również należy zastosowanie monitoringu na tle rozwiązań stosowanych w konkretnej organizacji, powyższe odnosi się do stałego monitoringu obszaru zakładu pracy stosowanego przez pracodawcę zgodnie z art. 22(1) KP. Natomiast w przypadku stosowania indywidualnych nagrań posiedzeń rady nadzorczej wraz z wykorzystaniem dźwięku, poza obowiązkiem informacyjnym należy pamiętać o pozyskaniu odpowiednich zgód na wykonanie takich nagrań.

Oświadczenie o poufności

Oświadczenie o zachowaniu poufności jest instrumentem prawnym zabezpieczającym interesy podmiotu na wypadek ujawnienia informacji objętych oświadczeniem. Z punktu widzenia ochrony danych należy uznać to za korzystne rozwiązanie stosowane przez administratora danych celem zabezpieczenia dysponowanych danych osobowych oraz minimalizacji ryzyka ewentualnego naruszenia. Jest to również wyraz realizacji zasady integralności oraz poufności wyrażonej w art. 5 ust. 1 lit. f RODO.  Rozwiązanie to jest dobrowolne, nie wymagane przepisami prawa ochrony danych.

 

Odpowiedzi udziela

author
Justyna Głuchowska - Forsafe

Jest absolwentką prawa na wydziale Prawa i Administracji Uniwersytetu Łódzkiego (wielokrotnie nagradzaną Stypendium Rektora). Studiowała również na Akademii Sztuk Pięknych im. Władysława Strzemińskiego w Łodzi. Ukończyła liczne szkolenia z zakresu tematyki ochrony danych osobowych. W FORSAFE zajmuje się przeprowadzaniem audytów formalno-prawnych, przygotowywaniem ekspertyz z zakresu ochrony danych osobowych i praw pokrewnych oraz opracowuje dokumentację przetwarzania i ochrony danych osobowych.

www.forsafe.pl
zadaj pytanie