Czy członek rady nadzorczej może odpowiadać za naruszenie RODO?

Spis treści

1. Wprowadzenie
2. Podstawy prawne odpowiedzialności członków rady nadzorczej
3. Obowiązki wynikające z RODO
4. Odpowiedzialność cywilna
5. Odpowiedzialność karna
6. Odpowiedzialność administracyjna
7. Rola standardów międzynarodowych i ESG
8. Praktyczne wskazówki dla członków rady
9. Podsumowanie

Wprowadzenie

Rada nadzorcza pełni kluczową rolę w systemie ładu korporacyjnego spółek kapitałowych w Polsce. Jednym z obszarów, w którym jej członkowie muszą wykazywać szczególną staranność, jest ochrona danych osobowych. Pytanie, czy członek rady nadzorczej może ponieść odpowiedzialność za naruszenie przepisów RODO, wymaga analizy przepisów krajowych, regulacji unijnych oraz wytycznych międzynarodowych.

Podstawy prawne odpowiedzialności członków rady nadzorczej

Podstawowym aktem prawnym regulującym funkcjonowanie rady nadzorczej w Polsce jest Kodeks spółek handlowych (KSH). Art. 374 § 1 KSH nakłada na członków rady obowiązek działania w interesie spółki i zachowania należytej staranności. Ponadto, ustawa o ochronie danych osobowych (UODO) oraz Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) określają obowiązki administratora i podmiotu przetwarzającego dane. W praktyce organem nadzorczym w zakresie ochrony danych jest Prezes Urzędu Ochrony Danych Osobowych (UODO), a także Komisja Nadzoru Finansowego (KNF) w sektorze finansowym.

Obowiązki wynikające z RODO

RODO wymaga od administratora danych (czyli spółki) wprowadzenia i utrzymania odpowiednich środków technicznych i organizacyjnych, które zapewnią i będą w stanie wykazać, iż przetwarzanie odbywa się zgodnie z przepisami. Do obowiązków organizacyjnych należy wyznaczenie Inspektora Ochrony Danych (IOD), prowadzenie rejestru czynności przetwarzania oraz zapewnienie szkoleń personelu. Rada nadzorcza, jako organ nadzorczy, jest zobowiązana do monitorowania, czy zarząd wywiązuje się z tych obowiązków.

Odpowiedzialność cywilna

Zgodnie z art. 361 KSH, członek rady nadzorczej może ponieść odpowiedzialność cywilną wobec spółki, jeśli działania lub zaniechania skutkowały szkodą wynikającą z naruszenia przepisów RODO. Sąd może nałożyć obowiązek naprawienia szkody wyrządzonej osobom, których dane zostały naruszone, na podstawie art. 82 RODO, który przyznaje osobom fizycznym prawo do odszkodowania za szkody materialne i niematerialne.

Odpowiedzialność karna

RODO wprowadza kary pieniężne, które mogą sięgać do 20 % rocznego światowego obrotu lub 4 % globalnego przychodu, ale nie przewiduje bezpośredniej odpowiedzialności karnej osób fizycznych. Jednakże, zgodnie z art. 55 ust. 1 UODO, członek rady, który umyślnie lub w wyniku rażącego niedbalstwa dopuszcza naruszenie, może zostać pociągnięty do odpowiedzialności karnej na podstawie przepisów Kodeksu karnego (np. art. 267 § 1 – przestępstwo przeciwko ochronie danych). W praktyce takie przypadki są rzadkie, ale istnieje ryzyko, gdy członek rady świadomie ignoruje zalecenia IOD.

Odpowiedzialność administracyjna

Prezes UODO ma kompetencje do nakładania administracyjnych sankcji, w tym kar pieniężnych, na podmioty nieprzestrzegające RODO. Rada nadzorcza, jako organ kontrolny, może zostać wskazana w decyzji jako osoba odpowiedzialna za niewłaściwe nadzór, co skutkuje obowiązkiem zapłaty kary w imieniu spółki. Dodatkowo, w sektorze giełdowym, Komisja Nadzoru Finansowego (KNF) może nałożyć kary administracyjne za brak odpowiedniego zarządzania ryzykiem ochrony danych, co znajduje odzwierciedlenie w rekomendacjach KNF 2022/04.

Rola standardów międzynarodowych i ESG

Międzynarodowe wytyczne, takie jak OECD Principles of Corporate Governance, podkreślają konieczność transparentnego zarządzania ryzykiem, w tym ryzykiem związanym z danymi osobowymi. Standardy ESG (Environmental, Social, Governance) wprowadzają wymóg raportowania działań w obszarze ochrony danych jako elementu „Social”. W praktyce, spółki notowane na GPW zobowiązane są do ujawniania ryzyk związanych z RODO w raportach rocznych, co zwiększa odpowiedzialność członków rady nadzorczej za ich monitorowanie.

Praktyczne wskazówki dla członków rady

1. Regularnie otrzymuj raporty od zarządu i IOD dotyczące stanu ochrony danych.
2. Zadbaj o udział w szkoleniach z zakresu RODO i cyberbezpieczeństwa.
3. Włącz kwestie ochrony danych do agendy posiedzeń rady, zwłaszcza w kontekście nowych projektów i procesów przetwarzania.
4. Wymagaj od zarządu wdrożenia polityk zgodnych z wytycznymi KNF i rekomendacjami WSE dotyczącymi zarządzania ryzykiem.
5. Monitoruj realizację zaleceń UODO oraz dokumentuj podjęte działania, aby w razie kontroli móc wykazać staranność.

Podsumowanie

Członek rady nadzorczej w Polsce może ponieść odpowiedzialność za naruszenie RODO, przede wszystkim w wymiarze cywilnym i administracyjnym, a w skrajnych przypadkach także karnym. Odpowiedzialność wynika z ogólnego obowiązku działania z należytą starannością określonego w KSH oraz z konkretnych wymogów RODO. Przestrzeganie międzynarodowych standardów OECD i ESG oraz uwzględnianie wytycznych KNF i WSE zwiększa przejrzystość i minimalizuje ryzyko. Członkowie rady powinni aktywnie monitorować politykę ochrony danych, aby zapewnić zgodność i ochronę interesów spółki oraz jej interesariuszy.