Umowa powierzenia – Na co zwrócić szczególną uwagę

4052848608_b86dc4b5d1_zPrzygotowanie skutecznego systemu ochrony danych osobowych jest związane z przygotowaniem wielu różnych elementów. Niestety w przekonaniu większości społeczeństwa ochrona danych osobowych jest utożsamiana z zebraniem zgody na przetwarzanie danych osobowych lub obowiązkiem rejestracji zbioru danych. Wielokrotnie słyszeliśmy, podczas różnego rodzaju spotkań, że ktoś zebrał zgodę lub zarejestrował zbiór danych i w związku z powyższym spełnia wszystkie wymogi ustawy o ochronie danych osobowych. Takie podejście jest zbytnim uproszczeniem. Ochrona danych osobowych to nie tylko zgody i rejestracja ale o wiele więcej elementów jakie należy spełnić.

Jednym z wymagań wynikających z ustawy o ochronie danych osobowych jest konieczność zawarcia umów powierzenia przetwarzania danych w rozumieniu art. 31 ustawy o ochronie danych osobowych. Przytoczony artykuł stanowi, iż administrator danych może powierzyć innemu podmiotowi przetwarzanie danych osobowych. Należy zaznaczyć, iż to do obowiązków administratora danych należy zawarcie komentowanej umowy. W przypadku braku umowy powierzenia administrator danych może się narazić na zarzut przekazania danych osobie nieuprawnionej i odpowiedzialność karną z art 51 oraz 52 ustawy o ochronie danych osobowych. Nie ma obowiązku, aby umowa powierzenia została zawarta na odrębnym dokumencie. Nic nie stoi na przeszkodzie aby stanowiła część umowy głównej (oddzielny paragraf czy rozdział umowy głównej).

Ustawa o ochronie danych osobowych wskazuje wprost z jakich elementów powinna być złożona umowa powierzenia. Do jej obligatoryjnych elementów należy zaliczyć wskazanie zakresu oraz celu powierzenia przetwarzania.
Zakres (czyli jakie dane powierzamy) najlepiej aby był wskazany enumeratywnie, tak samo jak w przypadku zgłoszenia zbioru do GIODO. W umowie wskazujemy więc, że zakres powierzonych danych obejmuje np. : imię, nazwisko, numer telefonu itp. Co jednak zrobić w sytuacji kiedy nie wiemy jaki dokładnie będzie zakres powierzonych danych? Taka sytuacja może mieć miejsce kiedy np. zlecamy firmie trzeciej zniszczenie dokumentów zawierających danych osobowe i nie jesteśmy wstanie wskazać zamkniętego katalogu danych. Można wtedy w umowie powierzenia nawiązać do przedmiotu umowy głównej – np. poprzez umieszczenie w niej następującej treści:  „ w zakresie niezbędnym do realizacji umowy o współpracy”.
Kolejnym elementem obligatoryjnym w umowie powierzenia jest wskazanie celu. W umowie powierzenia można wskazać więcej niż jeden cel powierzenia przetwarzania. Jeżeli np. firma zewnętrzna świadczy nam usługi outsourcingu kadr oraz usługi związane z archiwizacją dokumentacji, to nic nie stoi na przeszkodzie, aby obydwa te cele wskazać w jednej umowie powierzenia. Jeżeli wskazanie celu jest problematyczne z uwagi na skomplikowanie stosunku umownego, to również tutaj odwołałbym się do samej umowy o współpracy czyli – np. poprzez umieszczenie w niej następującej treści:  „w celu niezbędnym do realizacji przedmiotu umowy o współpracy”.

Ostatnim obligatoryjnym elementem związanym z zawarciem poprawnej umowy powierzenia jest forma pisemna. Art. 31 ustawy o ochronie danych osobowych przewiduje wymóg zawarcia umowy powierzenia przetwarzania danych osobowych w formie pisemnej. Należy jednak podkreślić, iż komentowany przepis nie określa jednak skutków niedochowania formy pisemnej. Zgodnie ze stanowiskiem doktryny przyjmuje się, że w odniesieniu do formy zawierania umowy powierzenia należy stosować przepisy kodeksu cywilnego  o formie czynności prawnych[1]. W mojej ocenie jest, to prawidłowe podejście, gdyż art. 31 ustawy o ochronie danych osobowych korzysta z pojęcia „umowy”, które jest definicją zaczerpniętą z prawa cywilnego. W związku z powyższym należy uznać, że do umowy, czyli dwustronnej czynności prawnej, należy stosować przepisy kodeksu cywilnego o formie czynności prawnych. Zgodnie zaś z art. 73 § 1 kodeksu cywilnego należy uznać, iż umowa powierzenia przetwarzanie danych osobowych zawarta w formie innej niż pisemna jest ważna, a zastrzeżenie formy w ustawie o ochronie danych osobowych zostało dokonane do celów dowodowych (o czym stanowi art. 74 § 1 kodeksu cywilnego). W tym miejscu należy jednak przytoczyć odmienne stanowisko GIODO w omawianej kwestii – konieczność zawarcia umowy powierzenia w formie pisemnej.[2] W mojej ocenie wskazane w sprawozdaniu stanowisko GIODO jest zbyt rygorystyczne i nie współgra z literalnym brzmieniem przepisów.[3]
Z dokonanej analizy wynika, iż do umowy powierzenia przetwarzania danych osobowych należy stosować przepisy kodeksu cywilnego, a te nie przewidują w omawianej sytuacji nieważności czynności prawnej w przypadku braku formy pisemnej. Należy również podkreślić, iż brak formy pisemnej pozostaje bez wpływu na kwestie dowodowe związane z samą umową. Postawiona teza wynika wprost z art. 74 § 1 kodeksu cywilnego stanowiącego, iż ograniczenia dowodowe nie dotyczą relacji pomiędzy przedsiębiorcami, a taka sytuacja ma miejsce w związku z zawieraniem umów powierzenia.

W umowie powierzenia warto również uwzględnić inne elementy niż wyłącznie cel i zakres. Do dobrych praktyk przy zawieraniu umów powierzenia można zaliczyć dodawanie postanowień związanych z prawem do przeprowadzenia kontroli u procesora (podmiot, któremu powierzono przetwarzanie danych). Warto również podkreślić, iż niektóre dokumenty branżowe wręcz obligują do tego administratora danych (np. Rekomendacja D). Do pozostałych postanowień dodatkowych jakie można uwzględnić w umowie powierzenia zaliczyłbym: sposób wydawania upoważnień, informowanie o kontroli GIODO, kary umowne za niezgodne z umową i ustawą o ochronie danych osobowych przetwarzanie powierzonych danych oraz uregulowanie kwestii związanych z dalszym podpowierzeniem przetwarzania danych.

[1] J. Barta, R. Markiewicz, Ochrona danych osobowych Komentarz, s. 464

[2] Sprawozdanie GIODO za rok 2003, s. 130

[3] Patrz orzeczenie WSA z 6 lutego 2007 r. II SA/Wa 1786/06

Gwarancja – czy sprzedawca może przekazać dane klienta z związku z reklamacją?

reklamacjaDostaliśmy niedawno na naszą skrzynkę bardzo ciekawe pytanie dotyczące dopuszczalności przekazania przez sprzedawcę towaru (konkretnie komputera przenośnego) danych osobowych klienta w związku ze zgłoszonym roszczeniem opartym o udzieloną gwarancję. Stan faktyczny wyglądał w następujący sposób. Klient, nazwijmy go – „Kowalski”, kupił u sprzedawcy (X Sp. z o.o.) oficjalnego importera marki (Y Sp. z o.o.) komputer przenośny. Niestety wkrótce po zakupie okazało się, że komputer posiadał pewne istotne wady związane z nierównomiernym oświetleniem matrycy ekranu, co zdaniem Klienta, w znaczny sposób obniżało komfort jego użytkowania. Dokument gwarancyjny (gwarancja), który otrzymał od sprzedawcy klient, wystawiony był przez importera sprzętu. Klient skorzystał ze swoich uprawnień wynikających z gwarancji i zażądał od sprzedawcy zamiany sprzętu na nowy – wolny od wad. Sprzedawca zebrał od klienta dane osobowe w postaci: imię, nazwisko, adres poczty elektronicznej, numer telefonu. Po przyjęciu zgłoszenia od klienta, sprzedawca postanowił zgłosić sprzęt do naprawy do importera – który pełnił funkcję gwaranta. Ten ostatni, oprócz wymienionych powyżej danych osobowych, zażądał również – co wynikało z rodzaju wady zgłoszonej przez klienta – w jakich okolicznościach usterka się pojawiała, a więc kiedy ekran nie był podświetlany równomiernie.

W tym momencie sprzedawca skontaktował się z nami zadając pytanie, czy może przekazać do gwaranta kontaktowe dane osobowe oraz czy może gwarantowi przekazać opis usterki, w ramach którego klient opisał dokładnie w jakich okolicznościach, korzystając z jakiego oprogramowania, objawia się wspomniana powyżej usterka. Oczywiście stwierdzić należy, że taki opis usterki również może być nośnikiem informacji stanowiących dane osobowe. Tego wątku nie będziemy tutaj rozwijać. Powstaje jednak pytanie, czy sprzedawca może w takiej sytuacji przekazać do gwaranta dane kontaktowe klienta i dodatkowo, opis usterki. Sprzedawca posiada status administratora danych w rozumieniu art. 7 pkt 4 ustawy o ochronie danych osobowych odnośnie danych osobowych klienta związanych z realizacją umowy sprzedaży. W tym katalogu oczywiście znajdzie się imię, nazwisko, adres poczty elektronicznej oraz numer telefonu. Wskazać jednak należy, że z uwagi na skorzystanie przez klienta z uprawnień wynikających z tytułu gwarancji, a nie np. rękojmi za wady, odpowiedzialnym za wady jest w tym wypadku gwarant, a więc (w omawianej sytuacji) importer i to ten ostatni jest administratorem danych osobowych związanych z usunięciem usterki w związku z udzieloną gwarancją. Sprzedawca nie posiada zatem statusu administratora danych osobowych w stosunku do danych osobowych zawartych w opisie usterki. Zastosowanie powinna tutaj znaleźć instytucja powierzenia przetwarzania danych osobowych (art. 31 ustawy o ochronie danych osobowych). Importer jako gwarant powinien powierzyć na rzecz sprzedawcy czynności związane z zebranie i przekazaniem danych osobowych związanych z opisem usterki na jego rzecz. Pozostałe dane osobowe, z uwagi na to, że ich administratorem jest sprzedawca, powinny być przez niego udostępnione na rzecz gwaranta. Podstawą udostępnienia danych osobowych, wbrew pojawiającym się poglądom, że powinna to być zgoda na udostępnienie danych osobowych, będzie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, a więc prawnie usprawiedliwiony interes administratora danych. Jako ciekawostkę można dodać, że gwarant będzie przetwarzał dane osobowe z kolei na podstawie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w zw. z art. 577 kodeksy cywilnego oraz art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

O czym powinien pamiętać sprzedawca? Powinien poinformować klienta o tym, że przekaże jego dane osobowe do gwaranta (a więc dopełnić w tym zakresie obowiązku informacyjnego). Dodatkowo, należy pamiętać o tym, aby przekazanie danych osobowych odbywało się w bezpieczny sposób, a więc w taki, który ograniczy dostęp do przekazywanych danych osobowych tylko i wyłącznie do kręgu osób upoważnionych do ich przetwarzania.

Przepływy danych w grupach kapitałowych

Wielu przedsiębiorców ma problem z właściwym zastosowaniem ustawy o ochronie danych osobowych. Problem dotyczą zwłaszcza przekazywania danych osobowych do

 innych podmiotów. O ile nie budzi wątpliwości np. sprzedaż bazy danych, to już przekazanie danych do podmiotu z grupy kapitałowej nie jest w ogóle analizowane pod kątem dopuszczalności takiego działania z punktu widzenia ustawy o ochronie danych osobowych.

Pierwszy problem, który należy rozwiązać, to czy Spółki w grupie to odrębni administratorzy danych. Zgodnie z ustawą o ochronie danych osobowych, administratorem danych jest podmiot, który decyduje o celach i środkach przetwarzania danych osobowych (art. 7 ust. 4 ustawy o ochronie danych osobowych). W przypadku Spółki za administratora danych uznaje się właśnie Spółkę (reprezentowaną zgodnie z KSH czyli zazwyczaj przez Zarząd). Nie ma znaczenia fakt, że prezesem wszystkich Spółek jest ta sama osoba. Z punktu widzenia ustawy o ochronie danych osobowych obojętny jest również układ właścicielski (czyli np. że jedna ze Spółek ma 100% udziałów albo akcji w innej Spółce). Każda ze Spółek powiązanych kapitałowo jest odrębnym administratorem danych.

Kolejną kwestią jest właściwe określenie przepływu danych osobowych pomiędzy Spółkami. Zgodnie z ustawą o ochronie danych osobowych każde przekazywanie danych należy zakwalifikować jako udostępnienie danych (np. sprzedaż bazy danych) lub powierzenie przetwarzania danych (np. zlecenie niszczenie dokumentów innej firmie)[1]. Jeżeli w grupie kapitałowej jedna ze Spółek prowadzi np. obsługę kadrową, płacową, IT, to pozostałe Spółki powinny podpisać umowy powierzenia przetwarzania danych. Umowa powierzenia powinna zawierać przynajmniej zakres powierzonych danych, cel ich przetwarzania oraz powinna być zawarta w formie pisemnej (art. 31 ustawy o ochronie danych osobowych). Spółka świadcząca usługi outsourcingu pełnić będzie rolę procesora, a Spółki zlecające rolę administratorów danych. Odmiennie wygląda sytuacja jeżeli dane osobowe są udostępniane do pozostałych Spółek. Ww. sytuacja ma miejsce jeżeli dane zostały pozyskane przez Spółkę z grupy (Spółka córka), która np. zajmuje się sprzedażą pożyczek, a Spółka matka chce mieć te dane dla siebie aby realizować marketing własnych produktów / usług lub po prostu w ramach sprawowania tzw. kontroli zarządczej, a więc prowadzenia statystyk i raportowania wyników. Mamy wtedy do czynienia z udostępnieniem danych pomiędzy dwoma administratorami danych. Spółka córka w takim przypadku powinna mieć co do zasady zgodę osoby, której dane dotyczą na udostępnienie danych oraz w klauzuli obowiązku informacyjnego poinformować przynajmniej o kategorii odbiorców (warto w tym miejscu wspomnieć o stanowisku GIODO, który w jednej ze swoich decyzji nakazał aby poinformować o pełnej nazwie i adresie Spółek z grupy do których dane będą udostępnienie). Sytuacja komplikuje się, gdy Spółka do której przekazujemy dane osobowe ma siedzibę za granicą lub w państwie trzecim w rozumieniu art. 7 pkt 7 ustawy o ochronie danych osobowych, ale to temat na odrębny wpis…

W przypadku udostępniania danych bez podstawy prawnej lub też bez zawarcia umów powierzenie podmiot (a właściwie osoba reprezentująca) może narazić się na odpowiedzialność karną określoną w ustawie o ochronie danych osobowych. Nie jest wykluczona sytuacje, w której będzie odpowiadał prezes za to, że dane zostały przekazane z naruszeniem ustawy o ochronie danych osobowych do innej Spółki w której też jest prezesem.



[1]     Na potrzeby niniejszego wpisu pomijam kwestię szczególnych form nabycia praw i obowiązków, które nie mieszczą się w zakresie instytucji udostępnienia danych osobowych lub powierzenia ich przetwarzania.