znak zapytania

Czy musimy stosować zgodę na transfer danych w ramach umowy powierzenia?

Zgodnie z dość często powtarzaną opinią Prezesa UODO, dla poprawnego określenia funkcji i ról dwóch lub większej ilości podmiotów prawnych, pomiędzy którymi dochodzi do transferu danych osobowych, konieczna jest dokładna analiza treści umowy (relacji prawnej) łączącej oba podmioty na tle powszechnie obowiązujących przepisów prawa. Z kolei właściwe określenie podstawy prawnej przekazania danych osobowych pomiędzy kilkoma podmiotami jest kluczowe dla zapewnienia zgodności takiej operacji z przepisami Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (późniejszego przetwarzania takich danych osobowych), dalej „RODO”. Co do zasady, RODO określa dwa sposoby przekazania danych pomiędzy podmiotami, tj.

  1. powierzenia danych osobowych oraz
  2. udostępnienie danych osobowych,

 

Zupełnie inne obowiązki ciążyć będą na podmiocie powierzającym dane osobowe innemu podmiotowi, inna natomiast będzie sytuacja, gdy określony podmiot udostępnia dane innemu podmiotowi. Różne będą także konsekwencje obu sytuacji. Podkreślić także trzeba, iż podmioty, pomiędzy którymi nastąpi transfer danych, będą występować w różnych rolach prawnych, w zależności od tego, czy będziemy mieć do czynienia z powierzeniem czy udostępnieniem danych osobowych, tj. administratora danych lub podmiotu przetwarzającego (tzw. procesora). Dla przypomnienia

  1. podmiot przetwarzający (procesor) jest podmiotem, który przetwarza dane osobowe w imieniu administratora, robi to wyłącznie w zakresie i celu, jakie zostały określone przez administratora danych, a jego prawa i obowiązki w zakresie przetwarzanych danych zasadniczo określa umowa powierzenia przetwarzania danych osobowych; nie interesuje go katalog przesłanek legalizujących, bo to właśnie umowa powierzenia stanowi podstawę prawną przetwarzania przez niego danych osobowych; podmiot przetwarzający nie musi również realizować w odniesieniu do osób, których dane dotyczą obowiązku informacyjnego określonego w art. 13 i 14 RODO, ponieważ obowiązek taki będzie ciążył podmiocie powierzającym dane osobowe do przetwarzania , tj. na administratorze danych.
  2. administrator to podmiot, który samodzielnie ustala cele i sposoby przetwarzania danych osobowych, ma rzeczywisty wpływ na to, co dzieje się z danymi osobowymi, to on określa w jakim celu są one gromadzone i dalej przetwarzane. Zatem to ten podmiot decyduje o tym kiedy i komu przekazać dane; wszystko to wykonuje w ramach obowiązujących przepisów prawa; przetwarzanie przez niego danych osobowych musi odbywać się na podstawie co najmniej jednej z tzw. przesłanek legalizujących. UWAGA! Ponieważ udostępnienie stanowi formę przetwarzania danych osobowych, co oznacza, że aby udostępnić dane osobowe, administrator musi dysponować ku temu odpowiednią przesłanką legalizującą. Skutkiem udostępnienia danych osobowych, jest utrata kontroli nad przetwarzaniem przekazanych danych. W momencie udostępnienia, administrator przestaje już decydować o celach i sposobach przetwarzania danych. Będzie już do tego uprawniony podmiot, który te dane odebrał. Oznacza to, że odpowiedzialność za przetwarzanie danych osobowych dla jednego podmiotu kończy się, a dla drugiego zaczyna, w momencie przekazania tych danych. Co do zasady prawnej przesłanki udostępnienia danych osobowych szukać będziemy (jak w przypadku każdego procesu przetwarzania) w ramach art. 6 ust. 1 RODO lub (zdecydowanie rzadziej) art. 9 ust. 2 RODO.

 

Może być jednak tak, że jakiś podmiot wykonujących zlecenie administratora danych działa na podstawie własnych, sektorowych przepisów prawa. Zdaniem Prezesa UODO, w takiej sytuacji kluczowe dla określenia, czy podmiot w danych operacjach przetwarzania występuje w roli administratora czy podmiotu przetwarzającego jest ustalenie czy realizuje „własne cele” w sposób przez siebie określony, czy też przetwarza dane na zlecenie administratora realizując „jego cel”. Jeśli zatem dane podmioty, wykonując swoje zadania, nie są związane poleceniami klienta oraz muszą działać zgodnie z obowiązującymi je przepisami, znaczyć to będzie, że istotą aktywności takiego podmiotu jest niezależność i obiektywizm w realizacji danego procesu przetwarzania (np. w przygotowaniu i przeprowadzeniu szkolenia). Tym samym, charakter relacji pomiędzy takimi podmiotami a ich klientami wskazuje na to, że występują one w roli samodzielnych administratorów. W sposób wskazany powyżej Prezes UODO wypowiadał się wielokrotnie i w odniesieniu do wielu różnych podmiotów, które przetwarzają dane osobowe na podstawie ich transferu z innego podmiotu. Przykładowo stanowisko takie Prezes UODO zajął w odniesieniu do:

 

  1. biegłych rewidentów - https://uodo.gov.pl/pl/225/1248),
  2. brokerów ubezpieczeniowych - https://uodo.gov.pl/pl/225/2137
  3. firm prowadzących szkolenia BHP - https://uodo.gov.pl/pl/225/1736

 

We wszystkich w/w przypadkach czynności realizowane przez te podmioty (w tym czynności przetwarzania danych) objęte są katalogiem zadań wskazanych w ramach sektorowych przepisów, co przemawiałoby za traktowaniem takich podmiotów - w zakresie przetwarzania danych osobowych w ramach wskazanych celów - jako administratora tych danych. Jeśli tak, to podstawą transferu danych (przekazaniu takiemu podmiotowi danych osobowych) byłoby ich udostępnienie, a nie umowa powierzenia.

 

W sytuacji, w której jeden podmiot (podmiot „A”) zleca innemu podmiotowi (podmiot „B”) pozyskiwanie za stosownym wynagrodzeniem potencjalnych klientów pod kątem usług świadczonych przez podmiot „A” sprawa podziału funkcji wydaje się dość oczywista. Podmiot „A”, jako podmiot zlecający oraz samodzielnie ustalający cele i sposoby przetwarzania danych osobowych, mający rzeczywisty wpływ na to, co dzieje się z danymi osobowymi, określający w jakim celu dane osobowe są gromadzone i dalej przetwarzane, staje się automatycznie administratorem danych. Z kolei podmiot „B”, przetwarzający dane osobowe w imieniu administratora, wyłącznie w zakresie i celu, jakie zostały określone przez administratora danych, staje się podmiotem przetwarzającym. Co ważne, takiego podmiotu nie interesuje katalog przesłanek legalizujących transfer danych do administratora, ponieważ to sama umowa powierzenia stanowi podstawę prawną przetwarzania przez niego danych osobowychw tym ich transferu do administratora. Podmiot przetwarzający co prawda nie musi „samodzielnie” realizować obowiązku informacyjnego określonego w art. 13 i 14 RODO, ponieważ obowiązek taki będzie ciążył podmiocie powierzającym dane osobowe do przetwarzania , tj. na administratorze danych. Z reguły w umowie podpisanej przez oba podmioty znajduje się zapis zobowiązujący podmiot przetwarzający do przekazania Klauzuli Informacyjnej w imieniu administratora osobom akwirowanym.

 

Jeśli jest tak, jak wyżej, to z oczywistych powodów zapisywanie w treści umowy głównej lub umowy powierzenia podpisywanej przez obie Strony klauzuli, na mocy której podmiot przetwarzający zobowiązany jest do pobrania od osoby akwirowanej jej zgody na udostępnienie jej danych osobowych administratorowi danych w celu złożenia przez ten ostatni oferty handlowej osobie akwirowanej jest niecelowe, a nawet sprzeczne z istotą samej umowy powierzenia. Co więcej, taka praktyka jest również niezgodna ze stanowiskiem Prezesa UODO, w myśl którego niedopuszczalna jest sytuacja, w której prawną przesłanką przetwarzania danych jest zgoda osoby, której dane dotyczą, jeśli administrator może lub powinien przyjąć inną podstawę prawną przetwarzania. W tym konkretnym przypadku taką podstawę tworzy umowa powierzenia.

 

Co ciekawe, administrator lub podmiot przetwarzający działający w imieniu administratora powinien pozyskać od osoby, której dane dotyczą stosowną zgodę, ale wyłącznie po to, aby dać możliwość administratorowi na przetwarzania jej danych osobowych w celach marketingowych, tj. w celu złożenia takiej osobie oferty handlowej. Zgoda taka nie ma nic wspólnego ze zgodą na transfer danych do administratora i nie wynika ona z przepisów dotyczących ochrony danych osobowych. Jest ona obowiązkiem wynikającym z dwóch innych ustaw, tj.

 

  1. ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, oraz
  2. ustawa z dnia 16 lipca 2014 r. Prawo Telekomunikacyjne.

 

Warto tutaj przypomnieć, iż art. 10 Ustawy o świadczeniu usług drogą elektroniczną przed niezamówioną informacją handlową chroni wyłącznie osoby fizyczne, natomiast art. 172 Ustawy Prawo Telekomunikacyjne chroni odpowiednio osoby fizyczne oraz prawne. Dodatkowo na podstawie art. 172 Ustawy Prawo Telekomunikacyjne zakazem objęta jest zarówno komunikacja z użyciem maila, sms, mms, jak również wykonywanie połączeń telefonicznych. Oba akty prawne wymagają od podmiotu chcącego złożyć ofertę handlową posiadania „uprzedniej zgody” osoby, do której kierujemy naszą ofertę handlową. Aby więc wysłanie maila z ofertą zakupu nowego produktu lub wykonanie połączenia telefonicznego informującego o możliwości skorzystania z oferty handlowej pozostawało w zgodzie z tymi przepisami, konieczne jest posiadanie zgody osoby, której dane dotyczą na taki kontakt.

 

Jeśli wrócimy teraz do naszego przykładu, to oczywista staje się konieczność posiadania przez administratora zgody osoby, której dane dotyczą na przetwarzanie jej danych osobowych w celach marketingowych. Właśnie taką zgodę powinien pozyskać w imieniu i na rzecz administratora podmiot przetwarzający. Zatem jest oczywiście prawidłową sytuacja, której podmiot przetwarzający pozyskuje od osoby. której dane dotyczą zgodę na „kontakt marketingowy”. Nieprawidłowa i niezgodna z RODO jest sytuacja, w której podmiot przetwarzający pozyskuje od osoby. której dane dotyczą zgodę na udostępnienie jej danych osobowych administratorowi w celu złożenia przez ten ostatni oferty handlowej osobie, której dane dotyczą. Kiedy dochodzi do tej drugiej sytuacji, mamy do czynienia z niezgodnym z RODO ustaleniem podstawy prawnej do transferu danych pomiędzy dwoma podmiotami. Co więcej, takie postępowanie rodzi także wątpliwość dotyczącą określenia tego, z jakim rodzajem transferu danych mamy w ogóle do czynienia. Pozyskując od osoby, której dane dotyczą zgodę na dokonanie takiego transferu, tj. na udostępnienie danych takiej osobie innemu podmiotowi, siłą rzeczy szukamy podstawy prawnej legalizującej przetwarzanie przez nas danych osobowych w ramach art. 6 ust. 1 RODO, tj. postępujemy jak niezależny administrator danych, podczas gdy w rzeczywistości z innym podmiotem łączy nas umowa powierzenia, na podstawie której pełnimy funkcję podmiotu przetwarzającego. Być może generujemy w ten sposób nowy typ transferu danych, tj. coś w rodzaju „udo-wierzenia” danych osobowych, będące po części udostępnieniem danych, po części ich powierzeniem. Z pewnością jednak taki typ transferu nie mieści się w ramach określonych w RODO.

 

Opracował

Arkadiusz Kraus