Kto jest administratorem danych osobowych przetwarzanych w spółce z o.o.?

Wydawałoby się, że to proste pytanie, ale cały czas natrafiam na Polityki Systemu Bezpieczeństwa Danych Osobowych (lub inne dokumenty RODO) gdzie jest napisane: „Administratorem Danych Osobowych (ADO) w ABC Spółka z o.o. jest Prezes Zarządu” lub na komentarze, że tylko Prezes Zarządu może pełnić tę funkcję.

Kto jest administratorem danych osobowych?

Zgodnie z art. 4 pkt 7) RODO, „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Kto jest administratorem danych osobowych przetwarzanych w spółce z o.o.?

Jeżeli spółka z o.o. samodzielnie ustala cel i sposób przetwarzania danych osobowych to ona, ta spółka jest administratorem danych osobowych. Administratorem nie jest więc ani Zarząd, ani członek Zarządu, ani wyznaczony pracownik itd.

Spółka z o.o. to osoba prawna, kto więc wykonuje obowiązku Administratora danych osobowych?

Zgodnie z art. 201 ksh obowiązki Administratora pełni w spółce z o.o. Zarząd, ponieważ to on prowadzi sprawy i reprezentuje Spółkę. Oczywiście Zarząd może te obowiązki wykonywać kolegialnie. Zarząd może przekazać wykonywanie obowiązków administratora jednemu z członków Zarządu (nie musi to być Prezes).

Na jakiej podstawie można powierzyć jednemu członkowi Zarządu obowiązek wykonywania obowiązków ADO?

Obowiązku wykonywania obowiązków ADO można powierzyć jednemu z członków Zarządu (może to być Prezes Zarządu ale nie musi) np. na podstawie: regulaminu organizacyjnego Zarządu, uchwały wspólników, umowie z członkiem Zarządu. Podkreślam, że to powierzenie nie oznacza, że członek Zarządu staje się ADO.

A co jeżeli nie powierzono jednemu członkowi Zarządu obowiązku wykonywania obowiązków ADO?

Zgodnie z art. 208 ksh każdy członek Zarządu ma prawo i obowiązek prowadzenia spraw Spółki. Jeżeli przekraczają one zakres zwykłych czynności Spółki to wymagają one uprzedniej uchwały Zarządu.

Czy Zarząd może powierzyć wykonywanie obowiązków ADO swojemu pracownikowi?

Według mnie Zarząd może upoważnić pracownika Spółki do wykonywania obowiązków ADO. Przy czym chciałbym zwrócić uwagę, że:

1. nie może powierzyć Inspektorowi Ochrony Danych obowiązków ADO, ponieważ doszło by do konfliktu interesów,
2. takie powierzenie nie zwalnia Zarządu z odpowiedzialności.

Osobiście, co do zasady, odradzam takie rozwiązanie. Wiem jednak, że w niektórych podmiotach funkcjonuje Pełnomocnik Zarządu ds. Ochrony Danych Osobowych i to rozwiązanie się sprawdza.

Natomiast nic nie stoi na przeszkodzie by upoważnić konkretnych pracowników do wykonywania konkretnych obowiązków ADO. Ma to sens zwłaszcza w większych organizacjach. Pamiętajmy, jednak, że nie stają się oni w tym zakresie ADO i działają tylko jako pełnomocnicy.