Przetwarzanie danych osobowych we franczyzie

21 Wrz 2020
artykuł eksperta

Zasadniczym i najczęściej pojawiającym się pytaniem franczyzodawców oraz franczyzobiorców w zakresie prawa ochrony danych osobowych jest to, kto właściwie jest administratorem danych osobowych. I jest to bardzo trafna wątpliwość, ponieważ zwłaszcza wśród franczyz, sytuacja potrafi być bardzo skomplikowana. Z kolei odpowiedź na to pytanie definiuje, który z podmiotów jest zobowiązany do przygotowania procesów i dokumentacji w zakresie przetwarzania danych.

W przypadku franczyzy „twardej” bardzo częsta jest sytuacja, kiedy obydwa podmioty są zgodnie przekonane, że jedynie franczyzodawca zobowiązany jest do przygotowania organizacyjno–prawnego. Strony w sposób naturalny rozpoznają taki dodatkowy obowiązek po stronie franczyzodawcy, co bezpośrednio wynika z braku uprawnienia franczyzobiorcy do swobodnego kształtowania prowadzonej przez siebie działalności. Podmiot przyjmujący franczyzę korzysta z identyfikacji wizualnej, usług ustalonych dostawców, a przede wszystkim: z rozwiązań technologicznych.

Z kolei w przypadku franczyzy „miękkiej” i większej elastyczności w kreowaniu zasad współpracy to, kto jest administratorem danych nie jest już tak oczywiste. W swojej pracy z klientami miałam okazję zaobserwować bardzo różne sposoby rozwiązywania tej kwestii.

RODO a franczyza

Zgodnie z art. 4 pkt 7) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; dalej jako: „RODO”), administratorem danych osobowych jest podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

W myśl rozporządzenia, do oceny tego, który z podmiotów jest administratorem danych osobowych, należy najpierw ustalić po czyjej stronie leży określenie intencji przetwarzania danych osobowych oraz sposobów ich przetwarzania. Niezależnie od powyższego, w przypadku marek franczyzowych, oba podmioty są co do zasady zaangażowane w proces przetwarzania danych osobowych. Dlatego nawet jeśli za administratora danych uznany zostanie tylko jeden z podmiotów, drugi z nich może wciąż pełnić funkcję podmiotu przetwarzającego. A co za tym idzie - będzie zobowiązany do przestrzegania przepisów o ochronie danych osobowych.

W przypadku franczyzy „miękkiej” franczyzobiorca ma możliwość kształtowania swojej działalności gospodarczej. Razem z zespołem zajmuję się realizacją audytów zgodności procesów przedsiębiorstw z RODO, dlatego z własnego doświadczenia mogę powiedzieć, że przy tak swobodnym stosunku, to franczyzobiorca najczęściej jest administratorem danych swoich klientów, pracowników i kontrahentów.

Franczyzobiorca musi zatem realizować wszystkie wymogi przewidziane dla administratorów danych osobowych we właściwych przepisach, w szczególności w RODO. Co to oznacza w praktyce? Na przykład konieczność realizacji obowiązku informacyjnego względem osób, których dane pozyskano, czy zapewnienie możliwości realizacji wszelkich praw, jakie przysługują właścicielom danych osobowych. Jeśli franczyzodawca jest zaangażowany w proces przetwarzania danych tych samych osób, należy dokładnie ustalić jego rolę w całym procesie. W zależności od okoliczności konkretnego przypadku, może on wchodzić podczas tego procesu w rolę odrębnego administratora danych osobowych. Przyjmuje tym samym szereg wynikających z tej roli obowiązków. Dla przykładu, dzieje się tak choćby w sytuacji, gdy franczyzobiorca udostępnia franczyzodawcy dane osobowe klientów w ramach programów lojalnościowych marki. Teoretycznie możliwa jest również sytuacja, gdzie obydwa podmioty są współadministratorami, dzieląc zobowiązania w zakresie ochrony danych i bezpieczeństwa procesu ich przetwarzania.

W przypadku franczyzy „twardej” sytuacja bywa mniej oczywista. Jeśli franczyzodawca ustala cele przetwarzania danych osobowych niezależnie od franczyzobiorcy, to będzie on administratorem danych osobowych. Ma to najczęściej miejsce w kontekście działań marketingowych, takich jak np. programy lojalnościowe, konkursy, które kierowane są do całej bazy klientów całej franczyzy, a nie pojedynczego punktu. Jeśli jednak w konkretnym przypadku franczyzobiorca jest podmiotem odpowiedzialnym względem swoich klientów za realizację usługi (np. hotelowej), to niewątpliwie to on będzie administratorem danych osobowych. Ponadto, trudno sobie wyobrazić sytuację, w której franczyzobiorca nie byłby w ogóle administratorem danych osobowym, ponieważ to właśnie on najczęściej zatrudnia pracowników, korzysta ze wsparcia współpracowników i w tym zakresie - w roli administratora danych osobowych - nie wyręczy go franczyzodawca.

Przetwarzanie danych osobowych we franczyzie

Na „bycie” lub „nie bycie” administratorem danych osobowych nie można się umówić. Co więcej to, kto nim jest, przepisy uzależniają od mechanizmów związanych z faktycznym przetwarzaniem danych w świecie rzeczywistym. Nie można w umowie franczyzy zawrzeć zapisu, który przypisuje tę rolę jednej ze stron. W wielu przypadkach będzie też dochodziło do sytuacji w codziennym funkcjonowaniu franczyzy, gdy dane będą udostępniane lub wzajemnie przesyłane i powierzane pomiędzy franczyzobiorcą i franczyzodawcą. Strona będąca administratorem może również zlecić wykonywanie części obowiązków związanych z przetwarzaniem danych, np. obowiązku informacyjnego, innemu podmiotowi – może to być np. franczyzobiorca, lub nawet firma zewnętrzna. Jednak takie „zlecenie” nie sprawia, że podmiot przestaje być administratorem danych, odpowiedzialnym za nie w świetle obowiązujących przepisów, w tym RODO.

W dzisiejszej rzeczywistości należy również podjąć kwestię przekazywania danych osobowych poza Europejski Obszar Gospodarczy, co bardzo często ma miejsce w franczyzach. W związku z wyrokiem Trybunału Sprawiedliwości Unii Europejskiej wydanym dnia 16 lipca 2020 roku w sprawie C-311/18 (Data Protection Commissioner przeciwko Facebook Ireland Ltd i Maximillianowi Schremsowi), możliwości przekazywania danych osobowych do USA zostały istotnie ograniczone. Trybunał unieważnił w swoim orzeczeniu dotychczasową podstawę prawną, która regulowała przesyłanie danych osobowych do Stanów Zjednoczonych, znaną jako Tarcza Prywatności UE-USA  (Privacy Shield). Co więcej, ten sam wyrok nałożył dodatkowe obowiązki na podmioty przesyłające dane do wszystkich państw trzecich spoza EOG. Obecnie administratorzy są zobowiązani do weryfikacji, czy w danym państwie trzecim stopień ochrony danych osobowych jest zgodny z regulacjami i standardami Unii Europejskiej, przy każdorazowym transferze danych poza Europę oraz zapewnić wszelkie możliwe środki uzupełniające celem zabezpieczenia przesyłanych danych. W sytuacji, gdy administrator uzna, że w państwie trzecim nie zostały spełnione wymagane w Unii Europejskiej standardy,
to nie powinien przesyłać danych, a w razie jakichkolwiek wątpliwości, powinien zgłosić się do właściwego, krajowego organu nadzorczego celem ich rozstrzygnięcia. Warto w tym punkcie pochylić się nad pewną subtelnością, która nierzadko umyka w komentarzach do wyroku TSUE. Należy wyraźnie podkreślić, że nałożono na administratorów danych osobowych zobowiązanie do samodzielnej weryfikacji przepisów kraju spoza EOG w zakresie ochrony danych osobowych i oceny ich zgodności ze standardami UE.

W świetle tych zmian warto sprawdzić obecnie wykorzystywane dokumenty dot. przetwarzania danych osobowych w przedsiębiorstwie. Co powinno zwrócić naszą uwagę jeszcze przed konsultacją z prawnikiem? Wszelkie odwołania do Tarczy Prywatności lub Privacy Shield. Postanowienia Tarczy są nieważne i nie mogą stanowić podstawy prawnej dla jakiegokolwiek dokumentu. Wyrok TSUE ma zatem istotne znaczenie dla właścicieli międzynarodowych franczyz, zwłaszcza, że polscy franczyzobiorcy korzystają często ze wsparcia technologicznego w krajach spoza EOG albo udostępniają dane osobowe do franczyzodawcy spoza EOG.

***

Polecamy także:

Pierwsze kroki franczyzodawcy

Pierwsze kroki franczyzodawcy

Opublikowane przez: Daria Kania-Baran
facebook
x
Zapisz się do newslettera