Nagrywanie posiedzeń rady nadzorczej spółki z ograniczoną odpowiedzialnością jest jednym ze sposobów protokołowania takich posiedzeń. Przeczytaj poniższy artykuł i dowiedz się, jakie aspekty należy uwzględnić, aby nagrywanie było zgodne z RODO.
Posiedzenia rady nadzorczej – co trzeba wiedzieć?
Pracami rady nadzorczej kieruje przewodniczący, na którym spoczywa obowiązek należytego organizowania jej prac, a w szczególności zwoływania posiedzeń rady nadzorczej. Umowa spółki może przyznawać określone uprawnienia związane z organizacją rady nadzorczej i sposobem wykonywania przez nią czynności również innym jej członkom. Posiedzenia rady nadzorczej zwołuje się przez zaproszenia, w których oznacza się datę, godzinę i miejsce posiedzenia oraz proponowany porządek obrad, a także sposób wykorzystania środków bezpośredniego porozumiewania się na odległość podczas posiedzenia.
Podczas posiedzenia rada nadzorcza może podejmować uchwały również w sprawach nieobjętych proponowanym porządkiem obrad, jeżeli żaden z członków rady nadzorczej biorących udział w posiedzeniu się temu nie sprzeciwi, chyba że umowa spółki stanowi inaczej. Rada nadzorcza podejmuje uchwały, jeżeli na posiedzeniu jest obecna co najmniej połowa jej członków, a wszyscy jej członkowie zostali zaproszeni. Umowa spółki może przewidywać surowsze wymagania dotyczące kworum rady nadzorczej.
Legalność nagrywania posiedzeń rady nadzorczej z punktu widzenia RODO
Nagrywanie posiedzeń rady nadzorczej wiąże się z przetwarzaniem danych osobowych. W zależności od rodzaju nagrania będzie to głos (nagranie dźwiękowe) lub głos i wizerunek (w przypadku nagrania audio i wideo).
Przetwarzanie takich danych osobowych jest natomiast zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej 1 z poniższych warunków:
- osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w 1 lub większej liczbie określonych celów,
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.
Spółka jako administrator danych osobowych osób biorących udział w posiedzeniu rady nadzorczej musi zatem rozważyć, jaki jest cel nagrywania posiedzeń, a w konsekwencji również dobrać do tego celu odpowiednią podstawę prawną przetwarzania.
W związku z tym, że w Kodeksie spółek handlowych, jak to już zostało wskazane wyżej, nie ma wprost obowiązku wykonywania nagrań z posiedzeń rady nadzorczej – najprawdopodobniej nie będzie to przetwarzanie, które jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Można natomiast rozważyć przyjęcie za podstawę uzasadniony interes administratora.
Zgodnie z motywami RODO podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem, nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć np. w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, np. gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz.
Przykład 1.
Jak zbadać, czy uzasadniony interes jest właściwą podstawą prawną przetwarzania danych osobowych?
Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych, w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania.
Jeżeli żadna inna podstawa prawna nie wchodzi w grę, należy rozważyć zebranie zgód od uczestników posiedzenia rady nadzorczej.
Nagrywanie posiedzeń rady nadzorczej a obowiązki wynikające z RODO
W związku z przetwarzaniem danych osobowych uczestników posiedzenia rady nadzorczej spółka jako administrator powinna mieć na uwadze, że dane osobowe muszą być:
- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”),
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami („ograniczenie celu”),
- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”),
- prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”),
- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”),
- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
Należy także pamiętać, że administrator podczas pozyskiwania danych osobowych ma obowiązek podać uczestnikom posiedzenia rady nadzorczej wszystkie następujące informacje:
- swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela,
- gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych,
- cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania,
- jeżeli przetwarzanie odbywa się na podstawie uzasadnionego interesu – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią,
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony.
Poza informacjami, o których mowa powyżej, podczas pozyskiwania danych osobowych spółka jako administrator podaje nagrywanym uczestnikom posiedzenia rady nadzorczej następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
- jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
- informacje o prawie wniesienia skargi do organu nadzorczego,
- informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.