0 0
dni
0 0
godz
0 0
min
0 0
sek

Nagrywanie posiedzeń zarządu w kontekście RODO

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Nagrywanie posiedzeń zarządu spółki z ograniczoną odpowiedzialnością jest jednym ze sposobów protokołowania takich posiedzeń. Przeczytaj poniższy artykuł i dowiedz się, jakie aspekty należy uwzględnić, aby nagrywanie było zgodne z RODO.

Posiedzenia zarządu – co trzeba wiedzieć?

Każdy członek zarządu ma prawo i obowiązek prowadzenia spraw spółki. Każdy członek zarządu może prowadzić bez uprzedniej uchwały zarządu sprawy nieprzekraczające zakresu zwykłych czynności spółki. Jeżeli jednak przed załatwieniem sprawy choćby 1 z pozostałych członków zarządu sprzeciwi się jej przeprowadzeniu lub jeżeli sprawa przekracza zakres zwykłych czynności spółki, wymagana jest uprzednia uchwała zarządu. Uchwały zarządu mogą być powzięte, jeżeli wszyscy członkowie zostali prawidłowo zawiadomieni o posiedzeniu zarządu i zapadają bezwzględną większością głosów.

W posiedzeniu zarządu można uczestniczyć przy wykorzystaniu środków bezpośredniego porozumiewania się na odległość, chyba że umowa spółki stanowi inaczej. Zarząd może podejmować uchwały w trybie pisemnym lub przy wykorzystaniu środków bezpośredniego porozumiewania się na odległość, chyba że umowa spółki stanowi inaczej.

Uchwały zarządu są protokołowane. Protokół powinien zawierać porządek obrad, imiona i nazwiska obecnych członków zarządu i liczbę głosów oddanych na poszczególne uchwały. W protokole zaznacza się również zdanie odrębne zgłoszone przez członka zarządu wraz z jego ewentualnym umotywowaniem. Protokół podpisuje co najmniej członek zarządu prowadzący posiedzenie lub zarządzający głosowanie, chyba że umowa spółki lub regulamin zarządu stanowi inaczej.

Od 13 października 2022 roku mamy w Kodeksie spółek handlowych wprost wyrażony obowiązek protokołowania posiedzeń zarządu spółki z ograniczoną odpowiedzialnością. Co istotne, przepisy nie rozstrzygają jednak w jakiej formie powinien zostać sporządzony protokół. Nie został również przewidziany obowiązek nagrywania posiedzeń zarządu.

Legalność nagrywania posiedzeń zarządu z punktu widzenia RODO

Nagrywanie posiedzeń zarządu wiąże się z przetwarzaniem danych osobowych. W zależności od rodzaju nagrania będzie to głos (nagranie dźwiękowe) lub głos i wizerunek (w przypadku nagrania audio i wideo).

Przetwarzanie takich danych osobowych jest natomiast zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej 1 z poniższych warunków:

  • osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w 1 lub większej liczbie określonych celów,
  • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.

Spółka jako administrator danych osobowych osób biorących udział w posiedzeniu zarządu musi zatem rozważyć, jaki jest cel nagrywania posiedzeń, a w konsekwencji również dobrać do tego celu odpowiednią podstawę prawną przetwarzania. W związku z tym, że w ksh, jak to już zostało wskazane wyżej, nie ma wprost obowiązku wykonywania nagrań z posiedzeń zarządu – najprawdopodobniej nie będzie to przetwarzanie, które jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Można natomiast rozważyć przyjęcie za podstawę uzasadniony interes administratora.

Zgodnie z motywami RODO podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć np. w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, np. gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz.

Przykład 1.

Jak zbadać, czy uzasadniony interes jest właściwą podstawą prawną przetwarzania danych osobowych?

Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych, w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania.

Jeżeli żadna inna podstawa prawna nie wchodzi w grę, należy rozważyć zebranie zgód od uczestników posiedzenia zarządu. Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Warto więc pamiętać, że jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Konsekwencją jest jednak to, że osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.

Nagrywanie posiedzeń zarządu a obowiązki wynikające z RODO

W związku z przetwarzaniem danych osobowych uczestników posiedzenia zarządu spółka jako administrator powinna mieć na uwadze, że dane osobowe muszą być:

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”),
  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami („ograniczenie celu”),
  • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”),
  • prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”),
  • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”),
  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Należy także pamiętać, że administrator podczas pozyskiwania danych osobowych ma obowiązek podać uczestnikom posiedzenia zarządu wszystkie następujące informacje:

  • swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela,
  • gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych,
  • cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania,
  • jeżeli przetwarzanie odbywa się na podstawie uzasadnionego interesu – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią,
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
  • gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony.

Poza informacjami, o których mowa powyżej, podczas pozyskiwania danych osobowych spółka jako administrator podaje nagrywanym uczestnikom posiedzenia zarządu następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
  • jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
  • informację o prawie wniesienia skargi do organu nadzorczego,
  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów