laptop

Case Study (2)

W ramach niniejszej opinii rozważona zostanie możliwość transferu informacji, w ty, informacji objętych tajemnicą bankową oraz informacji zawierającej dane osobowych, w kontekście wymagań określonych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej zwanym „RODO”), ustawy Prawo bankowe oraz Wytycznych EBA w sprawie outsourcingu z dnia 25 lutego 2019 roku (dalej „Wytyczne EBA”).

 

  1. Zagadnienia wstępne

Zgodnie z dość często powtarzaną opinią Prezesa UODO, dla właściwego określenia funkcji i ról dwóch lub większej ilości podmiotów prawnych, pomiędzy którymi dochodzi do transferu danych osobowych, konieczna jest dokładna analiza treści umowy łączącej oba podmioty w kontekście powszechnie obowiązujących przepisów prawa. Powyższe spostrzeżenie dotyczy także wymiany informacji (w tym transferu danych) pomiędzy Bankiem a innym podmiotem. Tę ostatnią kwestię dodatkowo komplikują obostrzenia po stronie Banku wynikające z ustawy Prawo bankowe, które ograniczają możliwość przekazywania przez Bank podmiotom zewnętrznym informacji stanowiących tajemnicę bankową. Zgodnie z art. 104 ust. 1 Bank jest obowiązany zachować tajemnicę bankową, która obejmuje wszystkie informacje dotyczące czynności bankowych, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, oraz na podstawie której Bank tę czynność wykonuje. Zwolnienie z tego obowiązku możliwe jest wyłącznie w ramach wskazanych w ust. 2 okoliczności. W praktyce najważniejszym zwolnieniem dającym Bankowi możliwość przekazania podmiotowi zewnętrznemu informacji zawierającej tajemnicę bankową zdaje się być sytuacja, w której bez ujawnienia informacji objętej tajemnicą bankową - ze względu na istotę i charakter czynności bankowej lub obowiązujące przepisy - nie jest możliwe należyte wykonanie umowy, na podstawie której jest wykonywana ta czynność bankowa lub należyte wykonanie czynności pozostających w związku z zawarciem i wykonaniem tej umowy oraz sytuacja, w której ujawnienie informacji objętych tajemnicą bankową następuje podmiotom, którym Bank, zgodnie z art. 6a ust. 1 i art. 6b-6d, powierzył wykonywanie czynności związanych z działalnością bankową w ramach umowy outsourcingu oraz sytuacji. Na tle brzmienia tego przepisu kluczowe znaczenie ma zdefiniowanie pojęcia "działalność bankowa". Należy przyjąć, że działalnością bankową w rozumieniu art. 6a ust. 1 pkt. 2 ustawy Prawo bankowe jest zarówno wykonywanie czynności bankowych wskazanych w art. 5 ust. 1 i 2, jak również dokonywanie działań wymienionych w art. 6 ust. 1 tej ustawy. Bank może zatem zlecić wykonywanie czynności faktycznych, które pozostają w funkcjonalnym związku z działalnością bankową w powyższym znaczeniu. Ich zakres wyznacza przedmiot regulacji prawa bankowego, którym - zgodnie z art. 1 tej ustawy - są zasady prowadzenia tego rodzaju działalności. Outsourcing bankowy jest narzędziem umożliwiającym organizowanie działalności bankowej w sposób, który pozwala usprawnić przebieg poszczególnych procesów. Bank outsoursując część usług własnych, może skupić się na działalności kluczowej (core business) z punktu widzenia realizowanej strategii, posiadanej specjalizacji i doświadczenia czy wpływu na wynik finansowy. Pamiętać trzeba, iż, zgodnie art. 6a ust. 2, powierzenie wykonywania czynności, o których mowa w art. 6a ust 1 pkt. 1 ustawy nastąpić może wyłącznie w formie umowy agencyjnej. Prawo bankowe nie określa jednak rodzaju umowy, którą powinien zawrzeć Bank z podmiotem zewnętrznym w celu zlecenia czynności, o których mowa w art. 6a ust. 1 pkt 2 (czynności faktycznych związanych z działalnością bankową). Wskazuje jedynie, że powinna być ona zawarta na piśmie.

 

  1. Transfer informacji zawierających dane osobowe

Właściwe określenie formy przekazania danych osobowych pomiędzy kilkoma podmiotami jest kluczowe dla zapewnienia zgodności z przepisami RODO późniejszego przetwarzania takich danych osobowych. Co do zasady, RODO określa dwa sposoby przekazania danych pomiędzy podmiotami, tj. powierzenia danych osobowych oraz udostępnienie danych osobowych, przy czym z innymi obowiązkami będziemy mieć do czynienia przy powierzaniu,

a z innymi przy udostępnianiu danych. Dodatkowo, w obu sytuacjach podmioty, pomiędzy którymi nastąpi przekazanie danych, będą występować w różnych rolach prawnych, tj. administratora danych lub podmiotu przetwarzającego (tzw. procesora). Administrator to podmiot, który samodzielnie ustala cele i sposoby przetwarzania danych osobowych, ma rzeczywisty wpływ na to, co dzieje się z danymi osobowymi, to on określa w jakim celu są one gromadzone i dalej przetwarzane. Decyduje o tym kiedy i komu przekazać dane. Oczywiście wszystko to wykonuje w ramach obowiązujących przepisów prawa. Przetwarzanie przez niego danych osobowych musi odbywać się na podstawie co najmniej jednej z tzw. przesłanek legalizujących. Procesor jest podmiotem, który przetwarza dane osobowe w imieniu administratora, robi to wyłącznie w zakresie i celu, jakie zostały określone przez administratora danych, a jego prawa i obowiązki w zakresie przetwarzanych danych zasadniczo określa umowa powierzenia przetwarzania danych osobowych. Nie interesuje go katalog przesłanek legalizujących, bo to właśnie umowa powierzenia stanowi podstawę prawną przetwarzania przez niego danych osobowych. W zależności od tego, w jakiej konfiguracji będą występowały te dwie opisane wyżej role, będziemy mieli do czynienia albo z powierzeniem danych albo z ich udostępnieniem.

 

  1. Powierzenie danych osobowych

Najkrócej mówiąc, powierzenie przetwarzania danych osobowych to umocowanie przez administratora innego podmiotu do przetwarzania danych w jego imieniu. Podstawę prawną powierzenia danych stanowi art. 28 ust. 1 RODO. Brzmi on w następujący sposób: Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Dodatkowo art. 28 ust. 2 wyjaśnia, iż w ramach Umowy Powierzenia Administrator szczegółowo określa Procesorowi w sposób wiążący między innymi „przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora”. Dodatkowo na podmiocie przyjmującym takie zlecenie (Procesor) ciążą następujące obowiązki:

  1. Prowadzenie odrębnego Rejestru Kategorii Czynności Przetwarzania (zgodnie z art. 30 RODO);
  2. Po zakończeniu procesu kredytowego zniszczenie, usunięcie lub zwrócenie wszystkich przetwarzanych danych osobowych (zgodnie z art. 28 ust. 3 lit. g) RODO).
  3. W przypadku zaistnienia u Procesora incydentu naruszenia, Administrator może dochodzić od Procesora odszkodowania z tytułu ewentualnych strat poniesionych przez niego z tego tytułu oraz wszelkich innych kosztów odszkodowań związanych z roszczeniami osób trzecich.

 

  1. Udostępnienie danych osobowych

Udostępnienie danych osobowych stanowi przekazanie danych do podmiotu, który samodzielnie będzie decydował o celach i sposobach przetwarzania tych danych. Innymi słowy, udostępniając dane, administrator przekazuje je innemu administratorowi. Udostępnienie stanowi formę przetwarzania danych osobowych, co oznacza, że aby udostępnić dane osobowe, administrator musi dysponować ku temu odpowiednią przesłanką legalizującą. Skutkiem udostępnienia danych osobowych, jest utrata kontroli nad przetwarzaniem przekazanych danych. W momencie udostępnienia, administrator przestaje już decydować o celach i sposobach przetwarzania danych. Będzie już do tego uprawniony podmiot, który te dane odebrał. Oznacza to, że odpowiedzialność za przetwarzanie danych osobowych, dla jednego podmiotu kończy się, a dla drugiego zaczyna, w momencie przekazania tych danych.

 

  1. Outsourcing bankowy

Zgodnie z informacją zawartą w pkt. 1 powyżej Bank jest obowiązany zachować tajemnicę bankową, która obejmuje wszystkie informacje dotyczące czynności bankowych, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, oraz na podstawie której Bank tę czynność wykonuje. Zwolnienie z tego obowiązku możliwe jest wyłącznie w ramach zwolnień określonych, spośród których w praktyce bankowej najważniejszym jest sytuacja, w której ujawnienie informacji objętych tajemnicą bankową następuje podmiotom, którym Bank powierzył wykonywanie czynności bankowych lub czynności związanych z działalnością bankową w ramach umowy outsourcingu bankowego. Dodatkowo, zgodnie z Wytycznymi EBA, do zawarcia umowy outsourcingu bankowego powinno dojść także wówczas, gdy Bank powierza podmiotowi zewnętrznemu realizację procesu, usługi lub zadania, które w przeciwnym razie mogłoby być realizowane samodzielnie przez Bank, z uwzględnieniem przedmiotowych i podmiotowych zwolnień określonych w samych Wytycznych EBA. Biorąc pod uwagę powyższe informacje można przyjąć, iż konieczność zawarcia przez Bank z podmiotem zewnętrznym umowy outsourcingu będzie miała miejsce zawsze, gdy zajdzie jedna z przesłanek wskazanych przez nas w ramach Case Study (1). Dla przypomnienia:

  1. w każdej sytuacji, w której dochodzi do powierzenia przez Bank podmiotowi zewnętrznemu czynności bankowych na zasadach określonych w ramach ustawy Prawo bankowe,
  2. w każdej sytuacji, w której dochodzi do powierzenia przez Bank podmiotowi zewnętrznemu czynności faktycznej, tj. czynności związanych z działalnością bankową, a usługodawca wykonuje czynności, które przyczyniają się do uzyskania dostępu do danych objętych tajemnicą bankową,
  3. w przypadku zlecenia przez Bank podmiotowi zewnętrznemu wykonanie usługi lub zadania, które w przeciwnym razie mogłoby być realizowane samodzielnie przez Bank, z uwzględnieniem przedmiotowych i podmiotowych zwolnień określonych w Wytycznych EBA.

 

  1. Analiza przypadku

Przypadek, który zostanie rozważony opiera się na następujących założeniach, które wprost będą rzutować na kształt oraz formę umów, które będą musiały zostać podpisane pomiędzy współpracującymi podmiotami, tj. Bankiem, Sklepem, Spółką udostępniającą platformę do wprowadzania i przetwarzania danych oraz Spółką wykonującą obsługę w/w platformy. W ramach analizowanego przypadku będziemy mieli do czynienia z dwoma różnymi sytuacjami w zakresie obowiązków powierzonych przez Bank współpracującemu z nim Sklepowi, tj:

  1. Bank powierza Sklepowi zbieranie i przekazywanie w ramach dostarczonej platformy oraz w formie papierowej informacji, w tym danych osobowych, dotyczących Klientów Sklepu, którzy wyrazili zainteresowanie skorzystaniem z kredytu udzielonego przez Bank w celu sfinansowania zakupu ,
  2. Bank powierza Sklepowi zbieranie i przekazywanie w ramach dostarczonej platformy oraz w formie papierowej informacji, w tym danych osobowych, dotyczących Klientów Sklepu, którzy wyrazili zainteresowanie skorzystaniem z kredytu udzielonego przez Bank w celu sfinansowania zakupu i jednocześnie Bank powierza do wykonywania Sklepowi zawieranie i zmiana umów kredytu z Klientami Banku.

 

Z punktu widzenia przepisów regulujących możliwość zawarcia takiej współpracy mamy tu do czynienia z różnymi sytuacjami wymagającymi zastosowania nieco innych rozwiązań prawnych. Omówimy je teraz.

 

Ad. A)

W sytuacji przedstawionej na grafie poniżej, w ramach współpracy Banku ze Sklepem, z pewnością dochodzi do transferu danych osobowych, tzn. Sklep będzie przekazywał do Banku za pomocą platformy udostępnionej Bankowi przez Spółkę zewnętrzną dane osobowe Klientów Sklepu zainteresowanych sfinansowaniem swojego zakupu w drodze kredytu lub pożyczki. Skoro tak, to transfer taki musi się opierać o formę udostępnienia danych lub powierzenia danych. W opisanej sytuacji Sklep będzie pełnił funkcję „pośrednika” pomiędzy Bankiem a potencjalnym Klientem Banku, przy czym w ramach zaproponowanej umowy z Bankiem transfer danych będzie miał miejsce wyłącznie ze Sklepu do Banku i dotyczył będzie osób „akwirowanych” przez Sklep. Prawidłową formułą będzie tutaj zatem podpisanie przez Bank ze Sklepem umowy powierzenia, w ramach której Bank określi sposób i cel przetwarzania danych osobowych. Jednocześnie w ramach współpracy pomiędzy Bankiem a Sklepem nie będziemy mieli do czynienia z żadną z sytuacji wskazanych w pkt. 3 powyżej, definiujących konieczność zawarcia przez Bank z podmiotem zewnętrznym umowy outsourcingowej. Bank, podpisując umowę ze Sklepem, nie powierza podmiotowi zewnętrznemu (Sklepowi) czynności bankowych lub faktycznych na zasadach określonych w ustawie Prawo bankowe. Bank nie będzie przekazywał podmiotowi zewnętrznemu (Sklepowi) informacji objętych tajemnicą bankową w celu wykonania przez Sklep przedmiotu umowy. Bank nie zleca Sklepowi w ramach proponowanej umowy wykonania usługi lub zadania, które w przeciwnym razie mógłby realizować samodzielnie, tzn. że Bank nie mógłby samodzielnie akwirować jako swoich potencjalnych Klientów osób, będących Klientami Sklepu. Może to robić wyłącznie w ramach udzielonego Sklepowi zlecenia i przy jego bezpośrednim zaangażowaniu. Bank będzie dodatkowo zobowiązany do podpisania ze Spółką udostępniającą Bankowi narzędzie do przetwarzania danych (platforma) umowy o współpracy, która powinna przyjąć formę umowy outsourcingowej, ponieważ Bank, w celu wykonania przez Spółkę przedmiotu umowy, powierzał jej będzie wykonanie czynności związanych z działalnością bankową, w ramach której przekazywał jej będzie informacje objęte tajemnicą bankową (dane osobowe potencjalnych Klientów Banku). Ponadto dojdzie tutaj do udzielenia przez Bank podmiotowi zewnętrznemu zlecenia wykonania usługi (zadania), które w przeciwnym razie Bank musiałby zrealizować samodzielnie. Jakie to zadanie?. Zadanie (usługa) polega na „opracowaniu systemu przyjęcia transferu danych osobowych” przekazywanych do Banku przez Sklep. Narzędziem tym jest platforma dostarczona przez Spółkę i obsługiwana przez firmę informatyczną. Zatem, gdyby nie Spółka, Bank musiałby samodzielnie przygotować narzędzie umożliwiające przyjmowanie do swojego środowiska teleinformatycznego danych osobowych transferowanych przez Sklep. Bank nie posiada stosownej wiedzy w tym zakresie i dlatego zleca to zadanie podmiotowi zewnętrznemu. Ponieważ nie zachodzą tutaj znamiona określone w art. 6a ust. 2ustawy Prawo bankowe, tj. nie dochodzi do powierzenia przez Bank wykonywania czynności, o których mowa w ust. 1 pkt. 1 lit. a-j, powierzenie Spółce czynności nie musi zostać zrealizowane w postaci umowy agencyjnej. Dodatkowo, w celu wykonania w/w umowy, Bank podpisze ze Spółką umowę powierzenia. Spółka będzie za to zobowiązana do podpisania umowy podoutsourcingu oraz podpowierzenia z firmą informatyczną obsługującą platformę.

 

Zestawienie koniecznych dokumentów:

  1. Umowa Główna o współpracy zawarta pomiędzy Bankiem a Sklepem,
  2. Umowa Powierzenia zawarta pomiędzy Bankiem a Sklepem w celu wykonania Umowy

  Głównej oraz dodatkowo Umowa o zachowaniu poufności,

  1. Umowa Główna zawarta w formie outsourcingu pomiędzy Bankiem a Spółką,
  2. Umowa Powierzenia zawarta pomiędzy Bankiem a Spółką w celu wykonania Umowy

  Głównej oraz dodatkowo Umowa o zachowaniu poufności,

  1. Umowa o współpracy zawarta w formie podoutsourcingu pomiędzy Spółką a Firmą

  Informatyczną,

  1. Umowa Podpowierzenia zawarta pomiędzy Spółką a Firmą Informatyczną w celu

  wykonania Umowy o współpracy oraz dodatkowo Umowa o zachowaniu poufności.

 

Ad. B)

Druga sytuacja jest nieco inna, ponieważ w ramach umowy podpisanej przez Bank ze Sklepem dojdzie do powierzenia przez Bank podmiotowi zewnętrznemu czynności bankowych na zasadach określonych w ustawie Prawo bankowe, ponieważ Sklep, oprócz akwizycji Klientów, będzie również mógł zawierać i zmieniać umowy kredytów udzielanych Klientom Banku. Skoro tak, to będziemy mieli tutaj do czynienia z koniecznością podpisania prze Bank ze Sklepem umowy outsourcingowej, a dodatkowo (zgodnie z art. 6a ust. 2 ustawy Prawo bankowe) powierzenie przez Bank wykonywania przedmiotowej czynności musi nastąpić na podstawie umowy agencyjnej. Oczywiście Bank będzie zobowiązany do podpisania ze Sklepem także umowy powierzenia. Zwracam uwagę, iż w tym przypadku dane osobowe będą przekazywane także przez Bank do Sklepu, a więc transfer danych będzie realizowany „w obie strony”. Bank, podobnie jako to ma miejsce w pierwszej sytuacji, będzie dodatkowo zobowiązany do podpisania ze Spółką udostępniającą Bankowi narzędzie do przetwarzania danych (platforma) umowy o współpracy, która powinna przyjąć formę umowy outsourcingowej (podobnie jak w przykładzie pierwszym). Dochodzi tutaj również do udzielenia przez Bank podmiotowi zewnętrznemu zlecenia wykonania usługi (zadania), które w przeciwnym razie Bank musiałby zrealizować samodzielnie. Podobnie jak w pierwszej sytuacji Bank będzie dodatkowo zobowiązany do podpisania ze Spółką udostępniającą Bankowi narzędzie do przetwarzania danych (platforma) umowy o współpracy, która powinna przyjąć formę umowy outsourcingowej. Bank, w celu wykonania przez Spółkę powierzonej czynności faktycznej, przekazywał jej będzie informacje objęte tajemnicą bankową (dane osobowe potencjalnych Klientów Banku). Na podobnych zasadach, jak w przykładzie pierwszym, dochodzi tutaj także do udzielenia przez Bank podmiotowi zewnętrznemu zlecenia wykonania usługi (zadania), które w przeciwnym razie Bank musiałby zrealizować samodzielnie. Dodatkowo, w celu wykonania w/w umowy, Bank podpisze ze Spółką umowę powierzenia, natomiast sama Spółka będzie zobowiązana podpisać umowę podoutsourcingu oraz podpowiedzenia z firmą informatyczną obsługującą platformę.

 

Zestawienie koniecznych dokumentów:

  1. Umowa Główna zawarta w formie outsourcingu pomiędzy Bankiem a Sklepem na

  podstawie Umowy agencyjnej,

  1. Umowa Powierzenia zawarta pomiędzy Bankiem a Sklepem w celu wykonania Umowy

  Głównej oraz dodatkowo Umowa o zachowaniu poufności,

  1. Umowa Główna zawarta w formie outsourcingu pomiędzy Bankiem a Spółką,
  2. Umowa Powierzenia zawarta pomiędzy Bankiem a Spółką w celu wykonania Umowy

  Głównej oraz dodatkowo Umowa o zachowaniu poufności,

  1. Umowa o współpracy zawarta w formie podoutsourcingu pomiędzy Spółką a Firmą

  Informatyczną,

  1. Umowa Podpowierzenia zawarta pomiędzy Spółką a Firmą Informatyczną w celu

  wykonania Umowy o współpracy oraz dodatkowo Umowa o zachowaniu poufności.

 

  1. Konkluzje

W ramach analizowanego case study trzeba zwrócić głownie uwagę na fakt, iż w zależności od sytuacji, Bank będzie podpisywał ze Sklepem albo ogólną umowę o współpracy wraz z umową powierzenia (Bank powierza Sklepowi zbieranie i przekazywanie w ramach dostarczonej platformy oraz w formie papierowej informacji, w tym danych osobowych, dotyczących Klientów Sklepu, którzy wyrazili zainteresowanie skorzystaniem z kredytu udzielonego przez Bank w celu sfinansowania zakupu), albo umowę outsourcingową w formule umowy agencyjnej wraz z umową powierzenia (Bank powierza Sklepowi zbieranie i przekazywanie w ramach dostarczonej platformy oraz w formie papierowej informacji, w tym danych osobowych, dotyczących Klientów Sklepu, którzy wyrazili zainteresowanie skorzystaniem z kredytu udzielonego przez Bank w celu sfinansowania zakupu i jednocześnie Bank powierza do wykonywania Sklepowi zawieranie i zmiana umów kredytu z Klientami Banku). Pozostałe elementy case study pozostają bez zmian. Jeśli będzie tak, iż w okresie początkowym Bank będzie współpracował ze Sklepem wyłącznie w ramach opisanych w pierwszej sytuacji, a następnie (po jakimś czasie) zostanie zaproponowane Sklepowi rozszerzenie tej współpracy, to Bank będzie zobowiązany w postaci aneksu do wcześniej zawartej umowy dokonać jej transferu na umowę outsourcingową, wraz ze wszystkimi zobowiązaniami wynikającymi z Prawa bankowego oraz Wytycznych EBA.

 

Opracował  

Arkadiusz Kraus

A2KP KANCELARIA Sp. z o.o.