Prokurent powinien posiadać nadane upoważnienie do przetwarzania danych osobowych albowiem jako osoba fizyczna działa w imieniu i na rzecz spółki jako administratora, zaś jego decyzje podporządkowane są decyzjom spółki.
Przepisy dotyczące ochrony danych osobowych wyróżniają trzy rodzaje podmiotów: administratora danych osobowych, podmiot, któremu powierzono dane do przetwarzania (procesora danych), oraz współadministratora danych osobowych.
Administratorem danych w rozumieniu art. 4 pkt. 7 RODO jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Procesor danych to podmiot zewnętrzny, któremu administrator danych zleca przetwarzanie danych osobowych w jego imieniu zgodnie z art. 28 RODO.
Umowę powierzenia administrator danych powinien zawrzeć wówczas, gdy powierza innemu zewnętrznemu podmiotowi dane osobowe do przetwarzania w jego imieniu.
Podmiot przetwarzający dane w imieniu administratora danych realizuje zatem w ramach operacji przetwarzania danych osobowych cele i sposoby przetwarzania danych osobowych administratora danych (nie swoje własne).
W spółce z o.o. wyróżnia się trzy organy: zgromadzenie wspólników (organ uchwałodawczy); zarząd spółki (organ wykonawczy) oraz rada nadzorcza/komisja rewizyjna (organ kontrolny).
Członkowie zarządu spółek prawa handlowego, które są administratorami danych osobowych w rozumieniu art. 4 pkt. 7 RODO tj. podmiotami decydującymi o celach i sposobach przetwarzania danych osobowych, są uprawnieni do reprezentacji administratora danych osobowych w całym zakresie prowadzonych spraw w imieniu spółki, zgodnie z zasadami reprezentacji wskazanymi w umowie spółki oraz w rejestrze przedsiębiorców Krajowego Rejestru Sądowego. Stąd też przyjmuje się, że członkom zarządu uprawnionym do reprezentacji administratora danych osobowych nie nadaje się upoważnień do przetwarzania danych osobowych. Mogą oni zatem wykonując swoje zadania na rzecz spółki mieć dostęp do wszystkich danych osobowych jakie spółka jako administrator przetwarza.
Prokurent jest pełnomocnikiem, osobą dokonującą określonych czynności w imieniu przedsiębiorcy, ale nie posiadającym, co do zasady kompetencji do podejmowania decyzji w imieniu przedsiębiorcy. Prokurentowi powinno zatem nadawać się upoważnienie do przetwarzania danych osobowych w rozumieniu art. 29 RODO. Powyższa sytuacja dotyczy jednak osoby, która świadczy na rzecz spółki jako osoba fizyczna swoją usługę np. w oparciu o umowę o pracę, umowę zlecenia czy kontraktu i w ramach tej umowy pracuje na infrastrukturze spółki jako administratora danych i wykonuje swoje obowiązki jako osoba reprezentująca spółkę. Prokurent jako pełnomocnik działa wewnątrz struktury administratora, realizując jego cele, co wyklucza co do zasady bycie odrębnym podmiotem przetwarzającym. Rolą prokurenta jest bowiem działanie w imieniu i na rzecz spółki jako administratora, albowiem jego decyzje podporządkowane są decyzjom spółki.
Jeśli jednak prokurent prowadzi swoją np. jednoosobową działalność gospodarczą i na rzecz spółki jako administratora danych świadczy swoje usługi wówczas przyjmuje się, że taka osoba z punktu widzenia przepisów o ochronie danych osobowych nie stanowi „pracownika” administratora, a stanowi podmiot, któremu dane powierza się do przetwarzania „procesora”.
Jeśli prokurent prowadzi odrębną działalność gospodarczą i na podstawie umowy powierzenia świadczy usługi przetwarzania dla spółki, jednocześnie pełniąc rolę prokurenta to teoretycznie mogłoby dojść do takiej sytuacji gdzie powinna być zawarta zarówno umowa powierzenia przetwarzania danych osobowych (dla czynności obejmujących umowę łączącą strony) jak i nadanie upoważnienia do przetwarzania danych dla celów pełnienia roli prokurenta. Nie ma bowiem prawnego zakazu, aby osoba pełniąca funkcję prokurenta (reprezentująca spółkę) świadczyła jednocześnie na jej rzecz usługi zewnętrzne wymagające przetwarzania danych (np. usługi księgowe lub IT jako zewnętrzny kontrahent). Wówczas występuje w dwóch rolach, jest to jednak w ocenie autora sytuacja rzadka i ryzykowna z punktu widzenia możliwości wystąpienia konfliktu interesów.
