Czy dane członka zarządu osoby prawnej to też dane osobowe? Na to pytanie odpowiedział w wyroku z 3 kwietnia 2025 roku Trybunał Sprawiedliwości UE (sygn. C-710/23). Wynika z niego jednoznacznie, że informacje o osobach fizycznych, które są uprawnione do składania oświadczeń w imieniu określonych podmiotów są traktowane jako dane osobowe.
Sprawa zaczęła się od złożonego przez obywatela Czeskiej Republiki do czeskiego Ministerstwa Zdrowia wniosku o udostępnienie informacji dotyczącej osób, które podpisały umowę na testy przesiewowe przeciwko COVID-19, a także certyfikatów potwierdzających dopuszczenie testów do wykorzystania. Urzędnicy Ministerstwa odmówili podania danych osób, które podpisały się pod certyfikatami, w tym także częściowo informacji o osobach prawnych, powołując się przy tym na ochronę ich prywatności.
Urzędnicy odmówili ujawnienia danych osób, które podpisały się pod certyfikatami, w tym też częściowo informacji o osobach prawnych, powołując się na ochronę ich prywatności. Skarga na odmowę trafiła do sądu, który stwierdził, że zgodnie z czeskim prawem ministerstwo nie mogło odmówić udostępnienia informacji bez uzyskania stanowiska osób, których dane miały być ujawnione. Natomiast sąd badający odwołanie powziął wątpliwość, czy dane członka zarządu osoby prawnej mogą być chronione tak samo jak dane innych osób.
Jedno z pytań prejudycjalnych skierowanych do TSUE brzmiało:
“Czy udostępnienie imienia, nazwiska, podpisu i danych kontaktowych osoby fizycznej będącej członkiem zarządu bądź przedstawicielem osoby prawnej, które ma miejsce wyłącznie w celu identyfikacji (osoby uprawnionej do działania w imieniu danej) osoby prawnej, stanowi przetwarzanie “danych osobowych” osoby fizycznej w rozumieniu art. 4 pkt l RODO, a tym samym wchodzi w zakres stosowania RODO?”
W orzeczeniu TSUE podkreślił, że „(…) art. 4 pkt 1 i 2 RODO należy interpretować w ten sposób, że udostępnienie imienia, nazwiska, podpisu i danych kontaktowych osoby fizycznej reprezentującej osobę prawną stanowi przetwarzanie danych osobowych. Bez znaczenia w tym względzie jest okoliczność, że udostępnienia tego dokonano wyłącznie w celu umożliwienia zidentyfikowania osoby fizycznej upoważnionej do działania w imieniu tej osoby prawnej”.
Zgodnie z art 4 pkt 1 RODO „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
