Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), które weszło w życie 25 maja 2018 r., wprowadziło na obszarze Unii Europejskiej ujednolicone prawo, dotyczące ochrony danych osobowych. W dokumencie tym określone są szczegółowe wymogi, kierowane zarówno do organizacji jak i przedsiębiorców w kwestii gromadzenia, przechowywania oraz zarządzania danymi osobowymi żyjących osób fizycznych. 

Spółki z ograniczoną odpowiedzialnością 

przetwarzają dane swoich wspólników, członków radcy nadzorczej, komisji rewizyjnej czy zastawników udziałów, konieczne do dokonywania czynności, które wynikają ze stosunku spółki, jak również te służące wykonywaniu określonych obowiązków lub uprawnień. Jeżeli spółka samodzielnie ustala sposób przetwarzania danych oraz cel, to zgodnie z art. 4 pkt 7 r.o.d.o., jest ona administratorem danych osobowych. Obowiązki administratora pełni, zgodnie z art. 201 k.s.h., zarząd, który zajmuje się sprawami spółki oraz jej reprezentacją. Może on przekazać wykonywanie obowiązków jednemu z członków zarządu, np. na podstawie regulaminu organizacyjnego lub uchwały wspólników. W odmiennym wypadku art. 208 k.s.h. stanowi, że każdy członek zarządu ma prawo i obowiązek prowadzenia spraw spółki. Uprzednia uchwała zarządu jest przy tym wymagana do spraw przekraczających zwykłe czynności spółki. 

Artykuł 24 r.o.d.o. nakłada na administratora obowiązek zastosowania środków technicznych oraz organizacyjnych, zapewniających przetwarzanie zgodne z przepisami rozporządzenia 2016/679. Zabezpieczenia te powinny być proporcjonalne do okoliczności oraz ryzyka związanego z pozyskiwaniem danych. Ponadto administrator powinien wdrażać środki, które prowadziłyby do przetwarzania wyłącznie danych niezbędnych pod kątem konkretnego celu samego przetwarzania.

Jako administrator danych osobowych spółka z o.o. musi wykonywać obowiązek informacyjny, który ma charakter obowiązku aktywnego. Oznacza to, że jego spełnienie powinno nastąpić z inicjatywy administratora danych. Wykonywanie obowiązku, w stosunku do osoby udostępniającej swoje dane spółce, powinno nastąpić w momencie ich pozyskiwania, co wynika z art. 13 ust. 1 r.o.d.o. W  przypadku danych uzyskanych z innych źródeł, obowiązek informacyjny ma być spełniony w terminie rozsądnym, nie później niż w ciągu miesiąca. W art. 13 oraz 14 r.o.d.o. znajduje się katalog informacji, które spółka musi przekazać w przypadku pozyskiwania danych osobowych.

Rozporządzenie o ochronie danych osobowych nie dotyczy przy tym przetwarzania danych osobowych dotyczących osób prawnych. W opublikowanym 30 czerwca 2020 r. stanowisko Urzędu Ochrony Danych Osobowych wyrażono jednakże pogląd, zgodnie z którym dane o charakterze osobowym, związane z danymi dotyczącymi osób prawnych, powinny zostać również objęte ochroną r.o.d.o. W praktyce oznacza to konieczność poinformowania członków organów, pełnomocników oraz pracowników spółek handlowych o przetwarzaniu ich danych osobowych. 

Na administratorze ciąży również obowiązek powiadomienia każdego odbiorcy, któremu ujawniono dane, o ich sprostowaniu, usunięciu lub ograniczeniu przetwarzania. Artykuł 30 ust. 1 zobowiązuje administratora do prowadzenia pisemnego rejestru czynności przetwarzania danych osobowych, który jest udostępniany na żądanie organu nadzorczego. Wyjątek dotyczy mikro-, małych i średnich przedsiębiorstw, czyli tych które zatrudniają poniżej 250 osób. Na administratora danych nałożony jest ponadto ogólny obowiązek współpracy z organem nadzorczym, któremu przyznane zostały uprawnienia kontrolne i naprawcze. 

W wypadku naruszenia ochrony danych osobowych, administrator jest zobowiązany wprowadzić odpowiednie procedury, umożliwiająca stwierdzenie powstania i ocenę naruszeń. Ocena ta dokonywana jest pod kątem ryzyka pogwałcenia praw i wolności osób fizycznych. Dodatkowo wymagane jest prowadzenie wewnętrznej ewidencji naruszeń. Do obowiązków administratora należy również poinformowanie o naruszeniu, zarówno organu nadzorczego jak i osoby, której dane dotyczą. Istotny element stanowi ponadto przeciwdziałanie skutkom naruszenia oraz zapobieganie im w przyszłości.

W razie wszelkich dodatkowych pytań zapraszamy do kontaktu z Kancelarią. 

TWOJA

KANCELARIA PRAWNA

W SAMYM SERCU

BYDGOSZCZY

ul. Poznańska 24/3A

85-129 Bydgoszcz

Kancelaria Radcy Prawnego ,,Consensus''

Radca Prawny Rafał Fąs

KONTAKT

Skontaktuj się z nami poprzez infolinię, mailowo lub wypełniając poniższy formularz.

FORMULARZ KONTAKTOWY