Konsorcjum bankowe a RODO. Revisited.
Raz jeszcze wracamy na blogu do problemu skutecznego i zgodnego z prawem wypełnienia obowiązków wynikających z RODO przez banki tworzące konsorcjum bankowe w celu udzielenia konkretnemu klientowi finansowania. Czynimy tak, ponieważ stosowany w tym zakresie praktyka budzi szereg wątpliwości w kontekście zgodności z RODO. Chcemy także nieco szerszej spojrzeć na problem, uwzględniając możliwie kompletne omówienie wszystkich obowiązków dotyczących RODO leżących po stronie banków tworzących konsorcjum.
Zagadnienia wstępne
Zgodnie z opinią Prezesa UODO dla właściwego określenia funkcji i ról dwóch lub większej ilości podmiotów prawnych, pomiędzy którymi dochodzi do transferu danych osobowych, a także prawidłowe wskazanie podstawy prawnej transferu takich danych, konieczna jest dokładna analiza treści umowy łączącej te podmioty w kontekście powszechnie obowiązujących przepisów prawa. Powyższe spostrzeżenie dotyczy także sytuacji budowania przez banki konsorcjum bankowego. Nie ulega wątpliwości, iż pomiędzy bankami tworzącymi konsorcjum dochodzi do transferu licznych danych osobowych, przy czym dotyczy to także sytuacji, w której kredytobiorcą jest podmiot będący osobą prawną. Jeśli kredytobiorcą jest osoba fizyczna (w tym osoba fizyczna prowadząca działalność gospodarczą lub osoby tworzące spółki osobowe), zakres przetwarzanych, a w konsekwencji transferowanych pomiędzy bankami, danych osobowych jest bardzo duży. W sytuacji, gdy kredytobiorcą jest podmiot będący osobą prawną, zakres transferowanych danych ograniczony jest głównie do danych osób reprezentujących kredytobiorcę (np. zarząd spółki) oraz dane osób wdrażających umowę po stronie kredytobiorcy (z reguły są to dane osobowe pracowników działy rachunkowego kredytobiorcy). Praktyka tworzenia konsorcjów bankowych wygląda najczęściej w ten sposób, iż lider konsorcjum „bierze na siebie” wszystkie obowiązki dotyczące przygotowania umowy kredytowej, w tym pozyskanie od kredytobiorcy wniosku kredytowego oraz wskazanych przez banki dokumentów. Na tym etapie na podmiocie pełniącym funkcję lidera konsorcjum spoczywa obowiązek wskazania kredytobiorcy podstawy prawnej transferu danych osobowych do banków uczestniczących w konsorcjum, wypełnienie obowiązku informacyjnego wobec osób, których dane będą przetwarzane w ramach procesu kredytowego (art. 13 oraz 14 RODO) oraz pozyskania odpowiednich zgód kredytowych, w przypadku gdy kredytobiorcą jest osoba fizyczna, osoby tworzące spółki osobowe lub osoba prowadząca działalność gospodarczą.
Co do zasady, RODO określa dwa sposoby przekazania danych pomiędzy podmiotami, tj. powierzenia danych osobowych oraz udostępnienie danych osobowych, przy czym z innymi obowiązkami będziemy mieć do czynienia przy powierzaniu, a z innymi przy udostępnianiu danych. Dodatkowo, w obu sytuacjach podmioty, pomiędzy którymi nastąpi przekazanie danych, będą występować w różnych rolach prawnych, tj. administratora danych lub podmiotu przetwarzającego (tzw. procesora). Administrator to podmiot, który samodzielnie ustala cele i sposoby przetwarzania danych osobowych, ma rzeczywisty wpływ na to, co dzieje się z danymi osobowymi, to on określa w jakim celu są one gromadzone i dalej przetwarzane. Decyduje o tym kiedy i komu przekazać dane. Oczywiście wszystko to wykonuje w ramach obowiązujących przepisów prawa. Przetwarzanie przez niego danych osobowych musi odbywać się na podstawie co najmniej jednej z tzw. przesłanek legalizujących. Procesor jest podmiotem, który przetwarza dane osobowe w imieniu administratora, robi to wyłącznie w zakresie i celu, jakie zostały określone przez administratora danych, a jego prawa i obowiązki w zakresie przetwarzanych danych zasadniczo określa umowa powierzenia przetwarzania danych osobowych. Nie interesuje go katalog przesłanek legalizujących, bo to właśnie umowa powierzenia stanowi podstawę prawną przetwarzania przez niego danych osobowych. W zależności od tego, w jakiej konfiguracji będą występowały te dwie opisane wyżej role, będziemy mieli do czynienia albo z powierzeniem danych albo z ich udostępnieniem.
1) Powierzenie danych osobowych
Najkrócej mówiąc, powierzenie przetwarzania danych osobowych to umocowanie przez administratora innego podmiotu do przetwarzania danych w jego imieniu. Podstawę prawną powierzenia danych stanowi art. 28 ust. 1 RODO. Brzmi on w następujący sposób: Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Dodatkowo art. 28 ust. 2 wyjaśnia, iż w ramach Umowy Powierzenia Administrator szczegółowo określa Procesorowi w sposób wiążący między innymi „przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora”.
2) Udostępnienie danych osobowych
Udostępnienie danych osobowych stanowi przekazanie danych do podmiotu, który samodzielnie będzie decydował o celach i sposobach przetwarzania tych danych. Innymi słowy, udostępniając dane, administrator przekazuje je innemu administratorowi. UWAGA! Udostępnienie stanowi formę przetwarzania danych osobowych, co oznacza, że aby udostępnić dane osobowe, administrator musi dysponować ku temu odpowiednią przesłanką legalizującą. Skutkiem udostępnienia danych osobowych, jest utrata kontroli nad przetwarzaniem przekazanych danych. W momencie udostępnienia, administrator przestaje już decydować o celach i sposobach przetwarzania danych. Będzie już do tego uprawniony podmiot, który te dane odebrał. Oznacza to, że odpowiedzialność za przetwarzanie danych osobowych, dla jednego podmiotu kończy się, a dla drugiego zaczyna, w momencie przekazania tych danych.
Określenie podstawy prawnej transferu danych
Często stosowaną podstawą prawną transferu danych pomiędzy bankami tworzącymi konsorcjum jest zawieranie pomiędzy liderem konsorcjum a uczestnikami konsorcjum umowy powierzenia. Zdaniem autora niniejszej opinii nie jest to poprawne rozwiązanie. Dla przypomnienia art. 28 RODO, który określa status Podmiotu Przetwarzającego oraz warunki definiujące sytuację, w których powinno dojść do zawarcie Umowy Powierzenia, brzmi: Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Dodatkowo w art. 28 ust. 2 mówi się, iż: Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które (…) określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. W przypadku konsorcjum bankowego nie mamy do czynienia z sytuacją, w której lider konsorcjum samodzielnie decyduje o celu przetwarzania danych osobowych oraz sposobach takiego przetwarzania, a następnie przekazuje dalej dane osobowe pozostałym bankom do przetwarzania, określając przy tym warunki takiego przetwarzania takie jak: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Z pewnością banki uczestniczące w konsorcjum nie przetwarzają tych danych w imieniu banku inicjującego. Zasadą jest, iż w przypadku konsorcjum bankowego wszystkie banki wspólnie ustalają cel i sposoby przetwarzania danych osobowych, a następnie każdy z nich samodzielnie określa rodzaj i zakres danych, które w procesie kredytowym będzie przetwarzał, kategorie osób, których dane dotyczą, częstotliwość i sposób audytu klienta. W przypadku przyjęcia przez bank uczestniczący w konsorcjum konstrukcji powierzenia mu danych osobowych przez bank inicjujący i w konsekwencji podpisanie przez taki bank Umowy Powierzenia, to zgodnie z treścią takiej umowy bank uczestniczący w konsorcjum powinien:
- prowadzić odrębny Rejestr Kategorii Czynności Przetwarzania, w którym byłby zobowiązany rejestrować w imieniu administratora czynności przetwarzania danych (art. 30 RODO);
- po zakończeniu procesu kredytowego zniszczyć, usunąć lub zwrócić wszystkie przetwarzane przez siebie dane osobowe dotyczącego kredytobiorcy ze wszystkich nośników znajdujących się w posiadaniu takiego banku, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych - art. 28 ust. 3 lit. g) RODO,
- w przypadku uchybienia zasadom przetwarzania danych osobowych przez bank uczestniczący w konsorcjum, to administrator (bank inicjujący) będzie samodzielnie ustalał wysokość ewentualnych strat poniesionych przez Administratora oraz wysokość wszelkich innych kosztów odszkodowań związanych z roszczeniami osób trzecich.
Wykonanie powyższych zapisów przez bank uczestniczący jest z oczywistych powodów niemożliwe. Dotyczy to zwłaszcza pkt. b) powyżej. Bank kredytujący nie może pozbawić się takich danych po zakończeniu celu określonego zwyczajowo w Umowie Powierzenia Konsorcjum, czyli rozpatrzenie wniosku i ewentualnie zawarcie i obsługa umowy kredytowej. Co prawda art. 28 ust. 3 lit. g) RODO wskazuje wyjątek od w/w zasady, tj. pozwala na odstąpienie od zwrócenia/zniszczenia danych w sytuacji, gdy prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych, ale ustawa Prawo bankowe albo inne powszechnie obowiązujące przepisy prawa nie nakazują bankom przetwarzania danych osobowych kredytobiorcy po zakończeniu okresu kredytowania. Prawo bankowe w art. 105a ust. 3 – 5 posługuje się formułą, zgodnie z którą banki mogą przetwarzać informacje stanowiące tajemnicę bankową bez zgody osób, których dane dotyczą po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, co wskazuje jedynie na „możliwość” takiego przetwarzania (w oparciu o prawnie uzasadniony interes administratora), a nie na „konieczność” takiego przetwarzania (w oparciu o obowiązek prawny administratora). Z oczywistych powodów nie może znaleźć również zastosowania formuła transferu danych pomiędzy bankami oparta na ich udostępnieniu pomiędzy kilkoma samodzielnymi administratorami danych osobowych, a to głownie z tego powodu, iż banki uczestniczące w konsorcjum nie są samodzielnymi administratorami danych osobowych. Banki tworzące konsorcjum są niezależnymi administratorami, wspólnie decydującymi o celach przetwarzania danych osobowych (samodzielność odbiera bankom treść umowy konsorcjum, w myśl której wszystkie banki wspólnie podejmują decyzję o zasadach i warunkach kredytowania klienta). Banki tworzące konsorcjum nie mogą samodzielnie podejmować decyzji w tym zakresie. Poza tym trudno byłoby wskazać w takiej sytuacji skuteczną podstawę prawną do takiego udostępnienia wskazaną w art. 6 ust. 1 RODO. W sytuacji podpisywania przez banki umowy konsorcjum mamy do czynienia raczej z sytuacją określoną w art. 26 RODO, czyli taką, w której bank inicjujący oraz bank biorący udział w konsorcjum:
- wspólnie ustalają cele i sposoby przetwarzania danych osobowych podmiotu kredytowanego;
- w drodze wspólnych uzgodnień współadministratorzy określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO;
- treść wspólnych uzgodnień w w/w zakresie udostępniają podmiotowi, których dane dotyczą.
Najprostszym rozwiązaniem jest załączenie w umowie konsorcjum oraz w umowie kredytowej informacji o następującej treści: Do niniejszej Umowy odnoszą się wprost przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, a zwłaszcza art. 26, dotyczący współadministratorów danych. Dodatkowo należy zwrócić uwagę na następujące okoliczności:
- w umowie konsorcjalnej (lub w porozumieniu załączonym do takiej umowy), a także w umowie kredytowej, należy określić odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14 (Klauzula Informacyjna),
- zwykle tę funkcję pełni Bank inicjujący i to on w imieniu wszystkich współadministratorów wydaje osobom, których dane dotyczą Klauzulę Informacyjną. Treść Klauzuli powinna uwzględniać oparcie transferu danych na podstawie art. 26 RODO, tj. powinna co najmniej wskazywać wszystkich współadministratorów oraz osoby powołane przez nich na stanowisko IOD,
- powyższe uzgodnienia, co do zasady, powinny odzwierciedlać zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą. Zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą w umowie kredytowej,
- w umowie kredytowej należy wpisać formułę, wmyśl której osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z RODO wobec każdego ze współadministratorów,
- należy pozyskać od kredytobiorcy nie będącym osobą prawną stosowne zgody kredytowe na rzecz wszystkich współadministratorów.
W praktyce można uniknąć podpisania umowy powierzenia, wskazując w umowie konsorcjum oraz umowie kredytowej wprost podstawy prawne transferu danych pomiędzy bankami (np. art. 26 RODO), przy czym nie zwalnia to banków z innych obowiązków wskazanych w RODO. Bez wskazania podstawy prawnej transferu danych może się okazać, iż taki transfer jest nielegalny.
Pozostałe obowiązki dotyczące przetwarzania danych osobowych
Jak wskazano powyżej, obowiązki dotyczące RODO nie ograniczają się w przypadku tworzenia konsorcjum bankowego wyłącznie do ustalenia prawidłowej podstawy prawnej do transferu danych osobowych pomiędzy bankami tworzącymi konsorcjum. Głównym obowiązkiem będzie prawidłowe wypełnienie przez wszystkie banki obowiązku informacyjnego wobec osób, których dane będą przetwarzane w ramach procesu kredytowego (art. 13 RODO) oraz pozyskania odpowiednich zgód kredytowych, w przypadku, gdy kredytobiorcom nie jest osoba prawna. Wiąże się to ze wskazaniem kredytobiorcy banku, który będzie pełnił w tym zakresie główną rolę (lider konsorcjum). Zgodnie z art. 4 pkt. 1) RODO dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. W przypadku konsorcjum kredytującego spółkę prawa handlowego będą to z pewnością
dane osobowe osób reprezentujących kredytobiorcę (np. zarząd spółki) oraz dane osób lub osoby wdrażającej umowę po stronie kredytobiorcy (z reguły są to dane osobowe pracowników działy rachunkowego kredytobiorcy). Jednak w praktyce transfer danych dotyczy szeregu innych podmiotów (np. udziałowcy Spółki, kontrahenci, klienci, itp.). Pamiętajmy, iż pierwsza kara administracyjna nałożona przez Prezesa UODO wynikała z nieskutecznego zrealizowania przez administratora obowiązku informacyjnego wobec osób których dane dotyczą. Obowiązek informacyjny w imieniu wszystkich banków tworzących konsorcjum w praktyce realizuje lider konsorcjum.
Konkluzje
Podstawowym obowiązkiem banków tworzących konsorcjum bankowe jest określenie podstawy prawnej transferu danych osobowych pomiędzy nimi, przy czym podstawa transferu musi zostać przedstawiona osobom, których dane dotyczą, tzn. iż osoby takie muszę wiedzieć, na jakiej podstawie prawnej ich dane osobowe będą transferowane pomiędzy bankami. Zgodnie z zasadą rozliczalności określoną w art. 5 ust. 2 RODO administrator musi być w stanie wykazać przestrzeganie wskazanych w RODO obowiązków, zatem podstawa prawna transferu danych powinna zostać wskazana oficjalnym dokumencie przekazanym kredytobiorcy, np. w Klauzuli Informacyjnej. Podobnie każdy administrator zobowiązany jest podczas pozyskiwania danych osobowych do podania osobie, której dane dotyczą wszystkich informacje określone w art. 13 RODO (obowiązek informacyjny). Jeśli kredytobiorcą nie jest podmiot będący osobą prawną, należy pozyskać od takiego kredytobiorcy stosowne zgody kredytowe. W przypadku oparcia transferu danych na art. 26 RODO, Klauzulę Informacyjną osobom, których dane dotyczą przekazuje lider konsorcjum w imieniu wszystkich banków uczestniczących w konsorcjum, a sama klauzula powinna wskazywać jako współadministratorów wszystkie banki uczestniczące w konsorcjum. Zgodnie z zasadą rozliczalności każdy bank uczestniczący w konsorcjum powinien móc wykazać, iż zrealizował ten obowiązek. Jeśli banki jako podstawę transferu danych wskażą powierzenie danych osobowych (lider konsorcjum jako „administrator”, banki uczestniczące w konsorcjum jako „podmioty przetwarzające”), informacja w tym zakresie powinna zostać wskazana przez lidera konsorcjum w jego Klauzuli Informacyjnej (wyszczególnienie podmiotów przetwarzających). Obowiązek informacyjny wykonuje w takiej sytuacji wyłącznie lider konsorcjum, jako jedyny administrator. Jeśli banki jako podstawę transferu wskażą udostępnienie danych osobowych odrębnym i niezależnym administratorom, to odpowiednia informacja w tym zakresie powinna zostać wskazana w Klauzuli Informacyjnej lidera konsorcjum (wskazuje on w klauzuli „odbiorców danych” w rozumieniu art. 4 pkt. 9 RODO), a obowiązek informacyjny w tym przypadku wykonują wszystkie banki samodzielnie, jako niezależni i samodzielni administratorzy danych osobowych. Jeśli jednak banki jako podstawę transferu wskażą art. 26 RODO, powinny postępować zgodnie z wskazanymi w niniejszej opinii zaleceniami. Zdaniem autora opinii, prawidłowy sposób postępowania w odniesieniu do obu kwestii (ustalenie podstawy prawnej transferu danych oraz wykonanie obowiązku informacyjnego) opiera się na przyjęciu zasady, wmyśl której wszystkie banki tworzące konsorcjum bankowe stają się współadministratorami danych osobowych i działają na podstawie art. 26 RODO.
Arkadiusz Kraus
Prezes Zarządu
A2KP KANCELARIA Sp. z o.o.