Kdo odpovídá za splnění požadavků GDPR v obchodní společnosti?

GDPR

Kdo odpovídá za splnění požadavků GDPR v obchodní společnosti?


Již za skoro 2 měsíce bude účinné nařízení (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) /dále jen „GDPR“/ a přestože to jsou stále 2 měsíce do účinnosti tohoto nařízení, společnosti by měly v co nejkratší době zajistit splnění požadavků z GDPR plynoucích.
Jen pro připomenutí: GDPR se vztahuje na všechny společnosti, které pracují s osobními údaji jiných osob bez ohledu na to, zda to jsou osobní údaje jejich zákazníků nebo zaměstnanců. Dnešní článek se však zaměří na otázku, kdo odpovídá za to, že obchodní společnost přijme a splní požadavky z GDPR plynoucí?

Přestože výslovné ustanovení zakládající statutárnímu orgánu obchodní společnosti povinnost zajistit podřízení se GDPR neexistuje, lze ji zcela jistě dovodit z povinností zakotvených zákonem č. 89/2012 Sb., občanský zákoník /dále jen „OZ“/ a zákonem č. 90/2012 Sb. o obchodních společnostech a družstvech (zákon o obchodních korporacích) /dále jen „ZOK“/.

Statutárnímu orgánu obchodní společnosti náleží dle ustanovení § 164 odst. 1 OZ zastupování právnické osoby ve všech záležitostech, tzv. generální zástupčí oprávnění. V tomto případě statutární orgán vystupuje za obchodní společnost vůči třetím osobám a jedná s nimi. Pro účel tohoto článku je však důležitější jiná povinnost statutárního orgánu, která směřuje dovnitř společnosti, a to obchodní vedení1. Pod pojem obchodního vedení řadíme především každodenní podnikání obchodní společnosti a rozhodování o podnikatelských záměrech (nikoliv o dlouhodobých strategií, jenž náleží nejvyššímu orgánu obchodní společnosti - př. valné hromadě). Nutno říct, že zákon požaduje, aby obchodní vedení vykonával statutární orgán osobně a neumožnuje, aby tyto povinnosti byly statutárnímu orgánu nějak omezeny či snad aby statutární orgán získával od jiných účastníků společnosti pokyny, jak své povinnosti vykonávat.

Na základě výše uvedeného rozsahu výkonu funkce statutárního orgánu je právě statutární orgán ten, kdo musí zajistit přijetí a splnění podmínek nařízení GDPR v obchodní společnosti. Zpracování ustanovení nařízení GDPR není dlouhodobou strategií obchodní společnosti či právním jednáním, které by ve svém důsledku měnilo společenskou smlouvu, ale jde o podmínku pro každodenní fungování obchodní společnosti. Řádným nepřijetím předmětných ustanovení GDRP obchodní společnost porušuje zákonné povinnosti nutné k řádnému provozování své činnosti. Za splnění požadavků stanovených nařízením GDPR zcela odpovídá statutární orgán, který jejich nezajištěním poruší povinnost péče řádného hospodáře stanovenou ustanovením § 195 OZ.

Péče řádného hospodáře v sobě zahrnuje povinnost jednat s potřebnými znalostmi a pečlivostí a vždy s potřebnou loajalitou. Statutární orgán je loajální, pokud jedná v zájmu obchodní společnosti a její zájem nadřazuje nad svůj osobní zájem.

Jako problémové se veřejnosti může zdát, že statutární orgán podle zmíněného ustanovení má jednat s potřebnými znalostmi, znamená to tedy, že statutární orgán obchodní společnosti musí znát a umět aplikovat ustanovení nařízení GDRP? Nikoliv! V žádném případě zákon ani nařízení GDPR nepožaduje po všech statutárních orgánech, aby daná ustanovení nařízení GDPR uměli právně aplikovat. Statutární orgán je oprávněn absenci jeho znalostí nahradit tak, že zajistí splnění požadavků GDPR odbornou osobou, která pro to má potřebné znalosti. V praxi pravidelně dochází k uzavírání smluv o poskytování služeb, kterou statutární orgán uzavře s odborníkem, nejčastěji advokátní kanceláří nebo společností přímo se specializující na ochranu osobních údajů. Nicméně ani v tomto případě se statutární orgán nezbaví povinnosti péče řádného hospodáře, neboť i takový odborník musí být s náležitou péčí a loajalitou vybrán. Statutární orgán odpovídá za to, že vybraný odborník bude pro obchodní společnost tím nejlepším řešením a svoji práci provede bez obtíží.

Příkladem nevhodného výběru odborné osoby a porušením péče řádného hospodáře je výběr advokáta, který je starým známým statutárního orgánu, a přestože osoba statutárního orgánu ví, že jeho daný přítel nemá v oblasti ochrany osobních údajů žádné znalosti a zkušenosti, tak s ním uzavře smlouvu o poskytování právních služeb pro zpracování nařízení GDPR ve společnosti. Takovým jednáním statutárního orgánu dojde nejspíše k poškození obchodní společnosti, jelikož ustanovení GDPR nebudou použita správně a obchodní společností v důsledku může být uložena pokuta. Nehledě na to, že obchodní společnosti zajisté vznikne takovým jednáním škoda.

V návaznosti na povinnost řádného výběru odborníka vyvstane otázka, co když statutární orgán ke zapracování GDPR vybere odborníka specializující se na ochranu osobních údajů, ale i přesto vznikne obchodní společnosti škoda nebo budou některá ustanovení použita špatně? Má se statutární orgán obávat najmout na zpracování ustanovení nařízení GDPR jinou osobu a raději se vše naučit sám, jelikož stejnak bude mít za výběr stejnou odpovědnost?

Nikoliv. Statutární orgán musí sám usoudit, že nemá dostatečnou odbornost a znalosti a dle toho je nutné přijmout odbornou osobu. Vhodné je to ukázat na zákonném ustanovení, které statutární orgán zavazuje k vedení předepsané evidence či účetnictví. Statutárním orgánem však nemusí být vždy účetní či osoba ovládající účetnictví, ale statutární orgán má povinnost nad vedením účetnictví dohlížet a vybrat či případně zaměstnat osobu vykonávající účetní praxi. Sám zákon obsahuje ustanovení, které statutárnímu orgánu zajišťuje ochranu při výběru odborné osoby. V odborné veřejnosti je toto ustanovení nazýváno business judgement rule neboli pravidlo podnikatelského úsudku. Ustanovení § 51 ZOK stanoví, že pokud statutární orgán při výběru odborníka ke zpracování ustanovení GDPR jedná informovaně a v obhajitelném zájmu obchodní společnosti, nemůže být jeho jednání považováno za porušení péče řádného hospodáře a není odpovědný za výběr osoby.



Pokud statutární orgán intenzivně hledal mezi různými odborníky a věděl, že jím vybraný odborník má s ochranou osobních údajů zkušenosti a nařízení GDPR zná má dostatečné informace pro splnění pravidla podnikatelského úsudku. Zároveň by výběr takové osoby měl být výhodný pro samotnou obchodní společnost (př. cena, časová možnost atd.), aby byl splněn požadavek loajality vůči obchodní společnosti.

Závěr

Za to, že obchodní společnost bude po 25. květnu. 2018 vykonávat svoji činnost v souladu s nařízením GDPR a bude dostatečně chránit osobní údaje svých zaměstnanců nebo zákazníků, odpovídá statutární orgán dané obchodní společnosti. Statutární orgán je povinen v rámci obchodního vedení zajistit, že obchodní společnost bude plně podřízena nařízení GDPR. Ke splnění této povinnosti může využít odborných služeb jiných osob, avšak tyto odborníky musí řádně a náležitou péčí vybrat. Neučiní-li tak, nejedná s péčí řádného hospodáře a je vůči obchodní společnosti odpovědný za veškerou vzniklou škodu, která v důsledku porušení jeho povinnosti vznikne.


  1. Obchodní vedení má vždy statutární orgán, přičemž v každém z typů obchodních společností je statutárním orgánem jiná osoba. Pro veřejnou obchodní společnost jsou statutárním orgánem všichni společníci; v komanditní společnosti je to komplementář; ve společnosti s ručením omezeným a akciové společnosti jsou to jednatelé.
  2. Viz ustanovení § 196 ZOK pro společnost s ručením omezeným a ustanovení § 435 odst. 3 ZOK pro akciovou společnost.