Ochrona danych w przypadku upadłości

Szczególnie w czasach, gdy na gospodarkę wpływają przepisy i regulacje mające na celu ograniczenie rozprzestrzeniania się wirusa Covid 19, wiele firm staje przed problemem niewypłacalności.

Mimo że istniał "okres karencji" poprzez ustawę o zawieszeniu niewypłacalności COVID-19 ze względu na opóźnioną wypłatę pomocy nadzwyczajnej Corony, to po jej wygaśnięciu pod koniec kwietnia 2021 r. znów będzie wiele wniosków o niewypłacalność.

Ale co to ma wspólnego z ochroną danych? Tutaj możesz dowiedzieć się podstaw.

Co się dzieje w przypadku niewypłacalności?

Jeżeli spółka staje się niewypłacalna lub jest nadmiernie zadłużona, jest zobowiązana do złożenia wniosku o upadłość w sądzie upadłościowym zgodnie z § 15a InsO. Sąd może wówczas wszcząć postępowanie upadłościowe. Celem jest jak najlepsze zagospodarowanie pozostałego majątku i jego równy podział pomiędzy wierzycieli. Sąd może zażądać od przedsiębiorstwa (dłużnika) wszystkich niezbędnych informacji (majątkowych).

Przedmiotem postępowania upadłościowego jest masa upadłościowa. Zgodnie z art. 35 InsO jest to cały majątek należący do dłużnika w chwili wszczęcia postępowania i nabyty przez niego w jego toku. Dłużnik ma obecnie ograniczone możliwości dysponowania tym majątkiem. Zamiast tego sąd wyznacza zarządcę masy upadłościowej w celu realizacji masy upadłościowej (sekcja 56 I InsO).

W dzisiejszym społeczeństwie dane od dawna stanowią część dóbr prawnych możliwych do zrealizowania pod względem ekonomicznym, a tym samym część masy upadłościowej podlegającej realizacji. Zgodnie z sekcją 36 II nr 1 InsO następuje zajęcie masy upadłościowej. W pierwszej kolejności do masy upadłościowej przekazywane są wszystkie dane (osobowe) przetwarzane przez dłużnika, niezależnie od tego, czy były one przetwarzane na jego rzecz, czy na rzecz osób trzecich i w jakiej formie można je znaleźć u dłużnika. Jeśli nie są to dane, do których dłużnik ma pewną własność, tj. są przetwarzane tylko dla osób trzecich (art. 4 nr 8, art. 28 GDPR), są one następnie porządkowane.

Dotyczy to nie tylko danych wierzycieli (np. klientów firmy), ale także danych danego dłużnika.

I tu właśnie wkracza prawo ochrony danych osobowych.

Co wolno zrobić syndykowi masy upadłościowej?

Zadaniem syndyka jest realizacja masy upadłościowej dla jak najlepszego i równego zaspokojenia wierzycieli. W tym celu przejmuje on istniejący majątek (§ 148 I InsO) i przechodzą na niego wszystkie prawa do zarządzania i rozporządzania (§ 80 I InsO). Jak już wspomniano, obejmuje to również wszystkie zawarte w nim dane, tak że w świetle prawa o ochronie danych osobowych powstają pytania kontrolne:

Czy syndyk masy upadłościowej jest administratorem danych w rozumieniu art. 4 nr 7 GDPR?

Zarządca masy upadłościowej mógłby być administratorem danych w rozumieniu art. 4 nr 7 GDPR w odniesieniu do danych osobowych w masie upadłościowej. W takim przypadku wszystkie osoby, których dotyczy przetwarzanie danych, miałyby odpowiednie prawa na mocy art. 12 i nast. GDPR wobec syndyka masy upadłościowej.

Po wyznaczeniu przez sąd syndyka masy upadłościowej ma on szerokie uprawnienia w stosunku do masy upadłościowej. Wszelkie bieżące przetwarzanie danych w przedsiębiorstwie dłużnika jest teraz przypisane jemu, a nie dłużnikowi. Wreszcie, od tego momentu dłużnik nie ma możliwości wywierania wpływu, aby nadal być podmiotem odpowiedzialnym. Dłużnik jest wtedy tylko osobą trzecią zgodnie z art. 4 nr 10 GDPR.

Z natury rzeczy masa upadłościowa zawiera nie tylko dane dłużnika, ale także dane wierzycieli, które można zamienić na pieniądze (np. baza klientów). Zakres, w jakim GDPR wchodzi tu w grę, musi być oceniany odrębnie:

...wobec dłużnika w zakresie danych o dłużniku?

Wraz z wyznaczeniem przez sąd zarządcy masy upadłościowej dłużnik traci wszelkie uprawnienia decyzyjne w stosunku do swojego przedsiębiorstwa i wszystkiego, co do niego należy. W przypadku braku porozumienia umownego między zarządcą a dłużnikiem, zarządcę należy uznać za osobę odpowiedzialną w świetle prawa o ochronie danych. Na nim spoczywają odpowiednie obowiązki.

...wobec wierzycieli lub klientów w zakresie ich danych?

Zarządca masy upadłościowej ma oczywiście również dostęp do danych osób trzecich, które znajdują się w masie upadłościowej jako dobra prawne możliwe do zrealizowania pod względem ekonomicznym. Są to najczęściej dane z bazy klientów.

W przypadku sprzedaży firmy w ramach transakcji majątkowej w celu zaspokojenia wierzycieli z uzyskanych środków, dane te są przekazywane nabywcy firmy.

Tutaj osoby, których dane dotyczą, mogą wyraźnie dochodzić swoich praw na podstawie art. 12 i nast. GDPR. Muszą zostać poinformowane o przetwarzaniu danych, mieć możliwość uzyskania informacji oraz poprawienia, usunięcia lub ograniczenia przetwarzania swoich danych. W przeciwnym razie syndykowi masy upadłościowej jako administratorowi danych grożą grzywny lub roszczenia odszkodowawcze na podstawie art. 82 f. GDPR.

W przypadku asset deal nabywca jest traktowany jako osoba trzecia w rozumieniu art. 4 nr 10 GDPR. Jeśli dane wierzyciela zostaną mu przekazane, stanowi to transfer zgodnie z art. 4 nr 2 GDPR. Czy jest to dopuszczalne (art. 6 I GDPR), należy ocenić w zależności od tego, czy udzielono zgody lub czy jest to w inny sposób prawnie dozwolone. Jeśli chodzi o przekazanie danych wierzyciela z trwającego stosunku umownego, nabywca nie jest już stroną trzecią od momentu przekazania umowy (wymaga porozumienia między wierzycielem, dłużnikiem i nabywcą) i może przetwarzać dane. Podsumowując, przekazanie danych jest wtedy również dopuszczalne.

W praktyce może to być bardzo długotrwałe (np. konieczne może być dostosowanie OWU i oczekiwanie na zgodę wszystkich wierzycieli), dlatego wskazane jest obejście tego problemu poprzez przyznanie wierzycielowi rozsądnego terminu na zgłoszenie sprzeciwu (tak też DSK i BayLDA).

Zgoda jest jednak wymagana, jeśli przetwarzanie danych ma wykraczać poza poprzedni stosunek umowny.

Przekazywanie i przetwarzanie danych pracowników jest i tak dopuszczalne ze względu na § 613a BGB.

Jeśli nie są przekazywane żadne istniejące umowy, a jedynie pojedyncze dane, należy wyrazić dobrowolną i świadomą zgodę, która musi spełniać wysokie standardy. Bez zgody przekazanie danych jest dopuszczalne na podstawie art. 6 I 1 lit. f DSGVO tylko wtedy, gdy istnieje uzasadniony interes. To również musi być starannie wyważone w stosunku do interesów osoby, której dane dotyczą, które muszą być ustalane indywidualnie, dlatego procedura ta jest w praktyce bardzo ryzykowna.

Czy syndyk może dochodzić roszczeń o informacje dotyczące dłużnika?

Pozycja jako administratora danych nie daje oczywiście syndykowi masy upadłościowej żadnych kompleksowych praw do informacji. Nie jest on przecież osobą, której dane dotyczą w rozumieniu art. 15 GDPR. Prawo do informacji jest uznawane za prawo wysoce osobiste i nie przechodzi wraz z masą upadłościową, gdyż nie może bezpośrednio prowadzić do zaspokojenia wierzycieli. Potwierdza to również orzecznictwo (OVG Lüneburg, wyrok z 26 czerwca 2019 r., 11 LA 274/1).

Co najwyżej można by sobie wyobrazić, że dłużnik w ramach swoich obowiązków współpracy z zarządcą na podstawie § 97 InsO byłby zobowiązany do odpowiedniego upoważnienia zarządcy, tak aby zarządca mógł sam uzyskać wymagane informacje w imieniu dłużnika.

Relacje między GDPR a Kodeksem upadłościowym (InsO)

GDPR nie zawiera żadnych szczególnych przepisów dotyczących postępowania upadłościowego. Zarządca masy upadłościowej regularnie znajduje się w stanie napięcia między swoimi obowiązkami wynikającymi z kodeksu upadłościowego a obowiązkami wynikającymi z GDPR.

Dla wszystkich osób dotkniętych tym problemem niezbędne jest fachowe doradztwo w tym skomplikowanym temacie.