Ogólne rozporządzenie o ochronie danych, tak powszechnie znane jako RODO, w art. 1 ust. 2 wskazuje wyraźnie, iż regulacja ta ma za zadanie chronić podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych. Dane osobowe to zaś zgodnie z definicją „wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. Na gruncie tych informacji wykreowało się przekonanie, że gdy mamy do czynienia z osobami prawnymi, RODO nie ma zastosowania, a to z kolei powoduje brak konieczności realizowania obowiązku informacyjnego. Tym bardziej, że przecież motyw 14 RODO stanowi wyraźnie, że [RODO] „nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej”.

Powyższe wynika wprost z przepisów rozporządzenia, zatem należy tym twierdzeniom przyznać słuszność. Niestety często owo wyłączenie ze stosowania jest w sposób nadmiarowy rozszerzane, co już nie znajduje uzasadnienia. Wśród wielu osób panuje przykładowo błędne przekonanie, że w sytuacji, gdy przykładowo drugą stroną czynności jest spółka, nie mamy w ogóle do czynienia z przetwarzaniem danych osobowych, a nawet jeśli to nie podlega RODO. Nie należy się z tym stanowiskiem zgodzić, gdyż jest to zbyt duże uproszczenie. RODO co prawda nie ma zastosowania do danych osób prawnych, jednak przy okazji dokonywania pewnych czynności z osobą prawną może dochodzić do przetwarzania danych osobowych jej reprezentantów, pełnomocników, czy kontaktujących się z jej ramienia pracowników i innych osób fizycznych.

Stanowisko to potwierdził również Prezes Urzędu Ochrony Danych Osobowych, wskazując wyraźnie, że „dane osób fizycznych pełniących funkcje członków organów osoby prawnej będą stanowiły dane osobowe, a nie będą zaś mieściły się w zakresie pojęcia danych osoby prawnej”. W tym kontekście, na uwagę zasługuje również treść wyroku Trybunału Sprawiedliwości UE z dnia 9 marca 2017 r., sygn. C-398/15, zgodnie z którym „okoliczność, iż informacje wpisują się ramy działalności zawodowej, nie oznacza, że nie można ich scharakteryzować jako dane osobowe”.

W świetle przytoczonych argumentów należy przyjąć, że dane członków zarządu reprezentujących osobę prawną, dane pełnomocników osób prawnych, a także dane pracowników, którzy są osobami kontaktowymi osoby prawnej, będących możliwymi do zidentyfikowania osobami fizycznymi, będą danymi osobowymi podlegającymi ochronie RODO, a skoro tak, to administrator jest zobowiązany do wypełnienia względem tych osób obowiązku informacyjnego określonego w art. 13 lub 14 RODO.