Ochrana osobních údajů společníků obchodních společností
Obchodní společnosti si za dobu účinnosti GDPR zpravidla velmi dobře osvojily zpracování osobních údajů svých zaměstnanců či zákazníků, často ale opomíjejí, že vedle dalších disponují i osobními údaji svých akcionářů a společníků (fyzických osob). Toto specifické (a často nadřazené) postavení společníků jako subjektů údajů však obchodní společnosti nezbavuje povinností, které jim z GDPR plynou. Tento článek se zaměřuje zejména na zpracování osobních údajů společníků, resp. akcionářů (fyzických osob) obchodních společností a důvody zpracování jejich osobních údajů vyplývající ze ZOK. Článek nepojednává o zpracování osobních údajů společníků, resp. akcionářů vyplývajícím z jiných právních předpisů.
Nařízení Evropského parlamentu a Rady 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“) ukládá obchodním společnostem jako správcům osobních údajů řadu povinností. Tou nejvýznamnější ve vztahu k vlastním společníkům, resp. akcionářům je plnění informační povinnosti ve smyslu čl. 13 a 14 GDPR (jako projev zásady transparentnosti zpracování).
Obchodní korporace jako správce osobních údajů zpracovává osobní údaje zejména na základě právního titulu plnění právní povinnosti, přičemž tato zákonná povinnost zpracování plyne zejména ze zákona č. 90/2012 Sb. , o obchodních společnostech a družstvech (zákon o obchodních korporacích), ve znění pozdějších předpisů (dále jen „ZOK“).
Osobní údaje, které má obchodní společnost povinnost zpracovávat se liší podle typu obchodní společnosti. Veřejná obchodní společnost musí dle § 98 ZOK uchovávat údaje jako je jméno, příjmení a bydliště nebo sídlo společníka.
Kapitálové obchodní společnosti mají zejména povinnost vést seznam společníků, resp. akcionářů.
U společnosti s ručením omezeným se do něj v souladu s § 139 ZOK zapisuje jméno a bydliště nebo sídlo společníka, případně jiná společníkem určená adresa pro doručování, jeho podíl, označení podílu, jemu odpovídající výše vkladu, počet hlasů náležející k podílu, povinnost přispět na vytvoření vlastního kapitálu peněžitými prostředky nad společníkův vklad spojenou s podílem, bude-li určena, a den zápisu do seznamu společníků. Pokud společník vlastní více podílů, uvádí se jejich výše a jim odpovídající výše vkladu u každého podílu. Vydala-li společnost více druhů podílů, uvede se i jejich označení.
U akciové společnosti je to v souladu s § 264 ZOK označení druhu akcie, její jmenovitá hodnota, jméno a bydliště nebo sídlo akcionáře, číslo bankovního účtu vedeného u osoby oprávněné poskytovat bankovní služby ve státě, jenž je plnoprávným členem Organizace pro hospodářskou spolupráci a rozvoj, označení akcie a změny zapisovaných údajů.
Vedení seznamu společníků/akcionářů však zdaleka není jediným účelem zpracování osobních údajů společníků obchodních korporací. Obchodní korporace jejich osobní údaje zpracovávají také za účelem správy korporátních záležitostí, jako svolání a konání valných hromad, včetně sepsání zápisů z těchto jednání. V některých případech jsou tyto zápisy dostupné veřejnosti ve sbírce listin obchodního rejstříku nebo mohou být na vyžádání poskytnuty ostatním společníkům či akcionářům.
Nad rámec zákonných účelů může obchodní korporace využívat údaje i např. za účelem sdělování novinek ve společnosti nebo za účelem přání příjemného prožití vánočních svátků svým společníkům a akcionářům či zaslání blahopřání k narozeninám.
V četných případech také obchodní korporace sdílejí osobní údaje společníků/akcionářů v rámci koncernu, a to včetně společností sídlících mimo Evropskou unii. Nezřídka také obchodní korporace pro správu seznamu společníků/akcionářů (typicky se s tímto případem setkáváme u akciových společností) využívají databáze nabízené poskytovatelem, který je odlišný od obchodní korporace (třetí strany). Dochází zde tedy běžně k předávání osobních údajů jiným příjemcům (ať už v postavení správců nebo zpracovatelů osobních údajů).
O všech těchto skutečnostech musí obchodní korporace, jako správce osobních údajů, společníky/akcionáře jako subjekty údajů informovat, a to právě v okamžiku, kdy získá jejich osobní údaje, nejpozději však do jednoho měsíce (pokud byly osobní údaje získány z jiného zdroje, např. z Centrálního depozitáře cenných papírů). V informaci nesmí chybět údaj o tom, po jak dlouhou dobu bude správce osobní údaje uchovávat, ani poučení o možnosti podat stížnost u dozorového úřadu a další informace uvedené v čl. 13 a 14 GDPR.
Této informační povinnosti může správce dostát různými způsoby. Volba adekvátního způsobu se samozřejmě odvíjí od konkrétní situace (zejména pak počtu společníků/akcionářů a intenzity kontaktu s nimi). Standardně užívaný je doporučený dopis zaslaný na adresu uvedenou v seznamu společníků/akcionářů. Výhodami tohoto způsobu jsou zejména spolehlivost (obchodní korporace tak bude zpravidla disponovat důkazem, že svou informační povinnost vůči subjektu údajů splnila) a skutečnost, že není zapotřebí součinnosti subjektu údajů. Obdobným způsobem je zaslání informace na e-mailovou adresu společníka (má-li ji správce k disposici).
Některé společnosti zveřejňují informaci také na svých webových stránkách, a to buď ve veřejné části, nebo v části s omezeným přístupem pouze pro společníky/akcionáře (po přihlášení). Zde je potřeba pamatovat na to, že vytvořením přístupových údajů do takovéhoto prostředí se nejen rozšíří rozsah zpracovávaných údajů, ale také účel zpracování.
V neposlední řadě lze také subjekty údajů informovat o zpracování při osobním setkání (např. na valné hromadě).
Tereza Hošková,
advokátka
Lenka Beránková,
studentka
Weinhold Legal, v.o.s. advokátní kancelář
Florentinum
Na Florenci 15
110 00 Praha 1
Tel.: +420 225 385 333
Fax: +420 225 385 444
e-mail: wl@weinholdlegal.com
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
