Czy członek zarządu lub prokurent samoistny powinien posiadać upoważnienie do przetwarzania danych osobowych w imieniu administratora?

SZCZEGÓŁOWE PYTANIE

Czy dla członka zarządu – jako osoby uprawnionej do reprezentacji spółki, tj. administratora danych osobowych – który działa w imieniu spółki, trzeba wystawiać upoważnienie do przetwarzania danych osobowych? Czy dla prokurenta samoistnego, który jest również uprawniony do reprezentowania spółki, wymagane jest wystawienie upoważnienia do przetwarzania danych osobowych?

ODPOWIEDŹ

Członkowie zarządu spółek prawa handlowego, które są administratorami danych osobowych w rozumieniu art. 4 pkt 7 RODO, tj. podmiotami decydującymi o celach i sposobach przetwarzania danych osobowych, są uprawnieni do reprezentacji administratora danych osobowych w całym zakresie prowadzonych spraw w imieniu spółki, zgodnie z zasadami reprezentacji wskazanymi w umowie spółki oraz w rejestrze przedsiębiorców Krajowego Rejestru Sądowego. Stąd też przyjmuje się, że członkom zarządu uprawnionym do reprezentacji administratora danych osobowych nie nadaje się upoważnień do przetwarzania danych osobowych.

Odmiennie stanowisko należy jednak przyjąć w odniesieniu do prokurenta. Prokurent jest pełnomocnikiem, osobą dokonującą określonych czynności w imieniu przedsiębiorcy, ale nie posiadającym, co do zasady kompetencji do podejmowania decyzji w imieniu przedsiębiorcy. Uznać należy zatem, że nie może on samodzielnie decydować o celach i sposobach przetwarzania danych osobowych, gdyż w tym aspekcie jest podporządkowany administratorowi danych. Wobec powyższego zasadnym będzie nadanie mu upoważnienia do przetwarzania danych osobowych na podstawie art. 29 RODO.