Zasadniczym i najczęściej pojawiającym się pytaniem franczyzodawców oraz franczyzobiorców w zakresie prawa ochrony danych osobowych jest to, kto właściwie jest administratorem danych osobowych. I jest to bardzo trafna wątpliwość, ponieważ zwłaszcza wśród franczyz, sytuacja potrafi być bardzo skomplikowana. Z kolei odpowiedź na to pytanie definiuje, który z podmiotów jest zobowiązany do przygotowania procesów i dokumentacji w zakresie przetwarzania danych.
W przypadku franczyzy „twardej” bardzo częsta jest sytuacja, kiedy obydwa podmioty są zgodnie przekonane, że jedynie franczyzodawca zobowiązany jest do przygotowania organizacyjno–prawnego. Strony w sposób naturalny rozpoznają taki dodatkowy obowiązek po stronie franczyzodawcy, co bezpośrednio wynika z braku uprawnienia franczyzobiorcy do swobodnego kształtowania prowadzonej przez siebie działalności. Podmiot przyjmujący franczyzę korzysta z identyfikacji wizualnej, usług ustalonych dostawców, a przede wszystkim: z rozwiązań technologicznych.
Z kolei w przypadku franczyzy „miękkiej” i większej elastyczności w kreowaniu zasad współpracy to, kto jest administratorem danych nie jest już tak oczywiste. W swojej pracy z klientami miałam okazję zaobserwować bardzo różne sposoby rozwiązywania tej kwestii.
RODO a franczyza
Zgodnie z art. 4 pkt 7) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; dalej jako: „RODO”), administratorem danych osobowych jest podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
W myśl rozporządzenia, do oceny tego, który z podmiotów jest administratorem danych osobowych, należy najpierw ustalić po czyjej stronie leży określenie intencji przetwarzania danych osobowych oraz sposobów ich przetwarzania. Niezależnie od powyższego, w przypadku marek franczyzowych, oba podmioty są co do zasady zaangażowane w proces przetwarzania danych osobowych. Dlatego nawet jeśli za administratora danych uznany zostanie tylko jeden z podmiotów, drugi z nich może wciąż pełnić funkcję podmiotu przetwarzającego. A co za tym idzie - będzie zobowiązany do przestrzegania przepisów o ochronie danych osobowych.
W przypadku franczyzy „miękkiej” franczyzobiorca ma możliwość kształtowania swojej działalności gospodarczej. Razem z zespołem zajmuję się realizacją audytów zgodności procesów przedsiębiorstw z RODO, dlatego z własnego doświadczenia mogę powiedzieć, że przy tak swobodnym stosunku, to franczyzobiorca najczęściej jest administratorem danych swoich klientów, pracowników i kontrahentów.
Franczyzobiorca musi zatem realizować wszystkie wymogi przewidziane dla administratorów danych osobowych we właściwych przepisach, w szczególności w RODO. Co to oznacza w praktyce? Na przykład konieczność realizacji obowiązku informacyjnego względem osób, których dane pozyskano, czy zapewnienie możliwości realizacji wszelkich praw, jakie przysługują właścicielom danych osobowych. Jeśli franczyzodawca jest zaangażowany w proces przetwarzania danych tych samych osób, należy dokładnie ustalić jego rolę w całym procesie. W zależności od okoliczności konkretnego przypadku, może on wchodzić podczas tego procesu w rolę odrębnego administratora danych osobowych. Przyjmuje tym samym szereg wynikających z tej roli obowiązków. Dla przykładu, dzieje się tak choćby w sytuacji, gdy franczyzobiorca udostępnia franczyzodawcy dane osobowe klientów w ramach programów lojalnościowych marki. Teoretycznie możliwa jest również sytuacja, gdzie obydwa podmioty są współadministratorami, dzieląc zobowiązania w zakresie ochrony danych i bezpieczeństwa procesu ich przetwarzania.
W przypadku franczyzy „twardej” sytuacja bywa mniej oczywista. Jeśli franczyzodawca ustala cele przetwarzania danych osobowych niezależnie od franczyzobiorcy, to będzie on administratorem danych osobowych. Ma to najczęściej miejsce w kontekście działań marketingowych, takich jak np. programy lojalnościowe, konkursy, które kierowane są do całej bazy klientów całej franczyzy, a nie pojedynczego punktu. Jeśli jednak w konkretnym przypadku franczyzobiorca jest podmiotem odpowiedzialnym względem swoich klientów za realizację usługi (np. hotelowej), to niewątpliwie to on będzie administratorem danych osobowych. Ponadto, trudno sobie wyobrazić sytuację, w której franczyzobiorca nie byłby w ogóle administratorem danych osobowym, ponieważ to właśnie on najczęściej zatrudnia pracowników, korzysta ze wsparcia współpracowników i w tym zakresie - w roli administratora danych osobowych - nie wyręczy go franczyzodawca.
Na „bycie” lub „nie bycie” administratorem danych osobowych nie można się umówić. Co więcej to, kto nim jest, przepisy uzależniają od mechanizmów związanych z faktycznym przetwarzaniem danych w świecie rzeczywistym. Nie można w umowie franczyzy zawrzeć zapisu, który przypisuje tę rolę jednej ze stron. W wielu przypadkach będzie też dochodziło do sytuacji w codziennym funkcjonowaniu franczyzy, gdy dane będą udostępniane lub wzajemnie przesyłane i powierzane pomiędzy franczyzobiorcą i franczyzodawcą. Strona będąca administratorem może również zlecić wykonywanie części obowiązków związanych z przetwarzaniem danych, np. obowiązku informacyjnego, innemu podmiotowi – może to być np. franczyzobiorca, lub nawet firma zewnętrzna. Jednak takie „zlecenie” nie sprawia, że podmiot przestaje być administratorem danych, odpowiedzialnym za nie w świetle obowiązujących przepisów, w tym RODO.
W dzisiejszej rzeczywistości należy również podjąć kwestię przekazywania danych osobowych poza Europejski Obszar Gospodarczy, co bardzo często ma miejsce w franczyzach. W związku z wyrokiem Trybunału Sprawiedliwości Unii Europejskiej wydanym dnia 16 lipca 2020 roku w sprawie C-311/18 (Data Protection Commissioner przeciwko Facebook Ireland Ltd i Maximillianowi Schremsowi), możliwości przekazywania danych osobowych do USA zostały istotnie ograniczone. Trybunał unieważnił w swoim orzeczeniu dotychczasową podstawę prawną, która regulowała przesyłanie danych osobowych do Stanów Zjednoczonych, znaną jako Tarcza Prywatności UE-USA (Privacy Shield). Co więcej, ten sam wyrok nałożył dodatkowe obowiązki na podmioty przesyłające dane do wszystkich państw trzecich spoza EOG. Obecnie administratorzy są zobowiązani do weryfikacji, czy w danym państwie trzecim stopień ochrony danych osobowych jest zgodny z regulacjami i standardami Unii Europejskiej, przy każdorazowym transferze danych poza Europę oraz zapewnić wszelkie możliwe środki uzupełniające celem zabezpieczenia przesyłanych danych. W sytuacji, gdy administrator uzna, że w państwie trzecim nie zostały spełnione wymagane w Unii Europejskiej standardy,
to nie powinien przesyłać danych, a w razie jakichkolwiek wątpliwości, powinien zgłosić się do właściwego, krajowego organu nadzorczego celem ich rozstrzygnięcia. Warto w tym punkcie pochylić się nad pewną subtelnością, która nierzadko umyka w komentarzach do wyroku TSUE. Należy wyraźnie podkreślić, że nałożono na administratorów danych osobowych zobowiązanie do samodzielnej weryfikacji przepisów kraju spoza EOG w zakresie ochrony danych osobowych i oceny ich zgodności ze standardami UE.
W świetle tych zmian warto sprawdzić obecnie wykorzystywane dokumenty dot. przetwarzania danych osobowych w przedsiębiorstwie. Co powinno zwrócić naszą uwagę jeszcze przed konsultacją z prawnikiem? Wszelkie odwołania do Tarczy Prywatności lub Privacy Shield. Postanowienia Tarczy są nieważne i nie mogą stanowić podstawy prawnej dla jakiegokolwiek dokumentu. Wyrok TSUE ma zatem istotne znaczenie dla właścicieli międzynarodowych franczyz, zwłaszcza, że polscy franczyzobiorcy korzystają często ze wsparcia technologicznego w krajach spoza EOG albo udostępniają dane osobowe do franczyzodawcy spoza EOG.
***
Polecamy także: