Pomiń nawigację

3 czerwca 2022

Umowa jako podstawa przetwarzania danych osobowych

Udostępnij

Minęły 4 lata od rozpoczęcia obowiązywania RODO[1]. Świadomość istnienia ochrony danych osobowych oraz zakresu praw gwarantowanych na mocy rozporządzenia, zwiększa się z każdym rokiem. Nadal pozostają jednak obszary, które mimo swojego podstawowego znaczenia dla tej tematyki, budzą istotne wątpliwości praktyczne. Jednym z takich zagadnień jest kwestia umowy jako jednej z podstaw przetwarzania danych osobowych.

Podstawy przetwarzania danych osobowych

RODO nie definiuje pojęcia „podstawa przetwarzania danych”. Lektura przepisów rozporządzenia prowadzi do wniosku, że badanie istnienia podstaw przetwarzania danych ma na celu udzielenie odpowiedzi na pytanie, w jakich kategoriach sytuacji jest dopuszczalne przetwarzanie danych osobowych. Innymi słowy określenie „podstawa przetwarzania danych” służy do wskazania, kiedy przetwarzanie ma charakter działania zgodnego z prawem.

RODO w odmienny sposób reguluje przesłanki przetwarzania danych zwykłych i szczególnych kategorii danych osobowych (zwyczajowo zwanych danymi wrażliwymi). Podstawy przetwarzania danych osobowych zwykłych określa art. 6 ust. 1 RODO. Zgodnie z powołanym przepisem dane zwykłe mogą być przetwarzane na następujących podstawach:

  • za zgodą osoby, której dane dotyczą,

a także jeśli przetwarzanie jest niezbędne do:

  • wykonania umowy lub podjęcia działań przed zawarciem umowy, na żądanie osoby fizycznej, która jest stroną umowy,
  • wypełnienia obowiązku prawnego ciążącego na administratorze,
  • ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
  • wykonania zadania realizowanego w interesie publicznym,
  • celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

Przetwarzanie danych zwykłych w celu zawarcia umowy

Jak zostało wskazane powyżej, zgodnie z art. 6 ust. 1 lit. b RODO przetwarzanie danych osobowych jest dopuszczalne, gdy służy do wykonania umowy, której stroną jest podmiot danych (czyli osoba fizyczna, której dane są przetwarzane lub osoba, której dane dotyczą) lub do podjęcia działań na jego żądanie przed zawarciem umowy.

Zakres stosowania powyższego przepisu można zatem podzielić na dwie kategorie sytuacji:

  • przetwarzanie w celu podjęcia działań przed zawarciem umowy,
  • przetwarzanie w celu wykonania umowy.

Innymi słowy RODO dopuszcza przetwarzanie danych na etapie poprzedzającym zawarcie umowy (w celu podjęcia czynności przygotowujących), jak i w celu realizacji umowy (podjęcia czynności wykonawczych).

Przetwarzanie danych w celu podjęcia działań „na żądanie” przed zawarciem umowy

W praktyce obrotu gospodarczego znaczny zakres danych osobowych strony wymieniają nie w trakcie wykonywania umowy, ale jeszcze zanim umowa zostanie zawarta. Strony muszą w pierwszej kolejności nawiązać stosunki gospodarcze, ustalić warunki współpracy oraz treść postanowień, które mają zostać podpisane lub zaakceptowane. Zakres przekazywanych w tym celu danych może być różny, w zależności od rodzaju umowy oraz charakteru relacji istniejących pomiędzy stronami.

Artykuł 6 ust. 1 lit. b RODO stanowi podstawę do przetwarzania danych w celu podjęcia działań przed zawarciem umowy, ale jedynie w tych sytuacjach, gdy następuje to „na żądanie” strony będącej podmiotem danych. Inicjatorem zawarcia umowy powinna być zatem osoba, której dane dotyczą, a nie administrator.

Przykład: Konsument zwraca się do przedsiębiorcy prowadzącego biuro podróży z prośbą o przesłanie oferty aktualnego katalogu ofertowego, w celu podjęcia przez klienta decyzji o ewentualnym zawarciu umowy.

RODO nie precyzuje formy, w jakiej powinno zostać zgłoszone żądanie podjęcia działań przed zawarciem umowy. Należy uznać, iż może ono zostać wyrażone w dowolnej formie, w tym e-mailowej, na piśmie, a także w kontakcie bezpośrednim (np. telefonicznie).

Omawiana podstawa prawna nie może być stosowana w tych przypadkach, gdy podjęcie czynności przed zawarciem umowy następuje z inicjatywy administratora, a nie osoby, której dane dotyczą. Nie oznacza to jednak, że RODO wyklucza prawną dopuszczalność zwracania się przez administratorów danych z propozycjami zawarcia umowy. W takim przypadku powinna być jednak stosowana inna podstawa przetwarzania danych osobowych niż przesłanka podjęcia czynności przed zawarciem umowy. Podstawami, które mogą być w tym kontekście brane pod uwagę, są prawnie uzasadniony interes administratora lub zgoda. Ta ostatnia przesłanka znajdzie zastosowanie m.in. w sytuacji, gdy inicjatywa zawarcia umowy pochodzi od administratora i polega na przesłaniu, za zgodą adresata, informacji handlowych drogą elektroniczną.

Analizując różne stany faktyczne związane z zawieraniem umów, warto mieć na uwadze, że przetwarzanie danych w okresie poprzedzającym zawarcie umowy może zachodzić również w stosunkach pomiędzy osobami prawnymi (np. spółkami z o.o. lub akcyjnymi) i jednostkami organizacyjnymi (np. spółkami osobowymi). Czynności w imieniu wskazanych podmiotów wykonują osoby uprawnione do reprezentacji (np. członkowie zarządu, prokurenci) lub pracownicy. Dane przedstawicieli stron nie mieszczą się jednak w zakresie przetwarzania opisanym w art. 6 ust. 1 lit. b RODO. Dane reprezentantów mogą być jednak przetwarzane w oparciu o wspomniany w poprzednim akapicie prawnie uzasadniony interes strony administratora (art. 6 ust. 1 lit. f RODO).

Przetwarzanie danych w celu wykonania umowy

Drugim aspektem, o którym mowa w art. 6 ust. 1 lit. b RODO, jest przetwarzanie danych w celu wykonania umowy, której stroną jest podmiot danych. Ta podstawa zachodzi wtedy, kiedy są spełnione następujące przesłanki:

  • pomiędzy stronami istnieje (jest zawarta) umowa,
  • przetwarzanie dotyczy danych strony umowy,
  • przetwarzanie jest niezbędne, aby wykonać przedmiotową umowę.

Ad. 1) RODO nie zawiera własnej definicji pojęcia „umowa”. Zatem aby ustalić zakres stosowania art. 6 ust. 1 lit. b RODO, konieczne jest sięgnięcie do dorobku cywilistyki. Na potrzeby wskazanej gałęzi prawa przyjmuje się, że umowa stanowi wielostronną (obejmującą dwie lub więcej stron) czynnością prawną dochodzącą do skutku przez złożenie przez wszystkie strony zgodnych oświadczeń woli[2].

Umową nie jest czynność prawna o charakterze jednostronnym (np. konkurs prowadzony w oparciu o przepisy kodeksu cywilnego o przyrzeczeniu publicznym – art. 919 i następne Kodeksu cywilnego, dalej: k.c.). Tym samym w odniesieniu do jednostronnych oświadczeń, art. 6 ust. 1 lit. b RODO nie znajdzie zastosowania.

Ad. 2) Zgodnie z RODO, dla wystąpienia komentowanej podstawy przetwarzania, konieczne jest, aby osoba, której dane dotyczą, była drugą stroną umowy. Powyższe nie budzi wątpliwości w odniesieniu do stosunków prawnych, w których uczestniczą jedynie dwa podmioty. Bardziej skomplikowany charakter ma ocena relacji o charakterze wielopodmiotowym, z udziałem osób trzecich, np. ubezpieczonego (zgodnie z art. 808 k.c.) lub uposażonego w ramach umowy ubezpieczenia (art. 831 k.c.). Wypada jednak stwierdzić, że osoba trzecia, nawet jeśli posiada pewne uprawnienia wynikające z umowy, nie posiada statusu jej strony. Zatem przetwarzanie danych tej osoby nie może odbywać się na podstawie art. 6 ust. 1 lit. b RODO. 

Ad. 3) Przetwarzanie danych w oparciu o powołany przepis może nastąpić, gdy jest to niezbędne, by wykonać umowę, tj. zrealizować wynikające z niej prawa i obowiązki. Źródłem obowiązków umownych może być nie tylko podpisany przez strony dokument, czy ustalenia dokonane w innej formie (np. e-mailowo), ale też przepisy prawa. Na wykonanie umowy składa się zarówno realizacja głównych świadczeń stron (np. wydanie rzeczy, wykonanie usługi, czy zapłata należności), ale także czynności pobocznych, jak np. żądanie zapłaty kary umownej. Mimo iż nie wynika to z literalnej treści art. 6 ust. 1 lit. b RODO, przyjmuje się, że powołana podstawa znajduje zastosowanie również do rozwiązania umowy oraz jej zmiany[3].

Poza czynnościami wykonawczymi, omawiany przepis może być stosowany jako podstawa do przetwarzania danych w celu wykazania, w postępowaniach sądowych i polubownych, że umowa została prawidłowo zrealizowana[4].

Zgodnie z art. 6 ust. 1 lit. b RODO przetwarzanie danych ma nie tylko służyć wykonaniu umowy, ale być do tego celu niezbędne. Innymi słowy, pomiędzy przetwarzaniem danych a realizacją umowy powinien zachodzić bezpośredni i nieprzerwany związek (przetwarzanie danych warunkuje należyte wykonanie umowy). Przy analizie powyższej przesłanki należy uwzględniać zasadę minimalizacji danych wyrażoną w art. 5 RODO. W myśl powołanej reguły, dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Przystępując do realizacji umowy należy każdorazowo ustalić, jaki jest zakres praw i obowiązków stron, a co za tym idzie, jakie dane są niezbędne do realizacji wskazanych świadczeń. Przetwarzanie nadmiarowych danych może zostać w takim przypadku uznane za naruszenie RODO.

Przykład: strony umowy sprzedaży uzgodniły, że płatność ceny nastąpi na rachunek bankowy sprzedawcy. Zatem dopuszczalny zakres przetwarzania danych obejmuje numer konta każdej ze stron. Jeśli jednak płatność miałaby nastąpić w postaci gotówkowej, to nie ma podstaw, aby którakolwiek ze stron domagała się od drugiej strony wskazania numeru rachunku bankowego.

Przekazywanie danych innemu podmiotowi w celu wykonania umowy

W praktyce zdarza się, że administrator nie posiada możliwości samodzielnej realizacji całości obowiązków związanych z umową i musi posługiwać się w określonym zakresie podmiotami trzecimi. W związku z powyższym powstaje praktyczne zagadnienie, czy w takim przypadku administrator może przekazać innemu podmiotowi dane osobowe drugiej strony umowy i czy dla przekazania danych konieczna jest zgoda tej osoby.

Należy zaznaczyć, że w oparciu o przepisy RODO wyróżnia się dwie podstawy przekazywania danych osobowych podmiotom trzecim:

  • udostępnienie danych,
  • powierzenie przetwarzania danych osobowych.

Pierwsza z wymienionych podstaw dotyczy sytuacji, gdy dane są przekazywane pomiędzy podmiotami, z których każdy posiada status administratora danych w rozumieniu art. 4 pkt 7 RODO. Powyższe dotyczy m.in. przekazywania danych bankom lub podmiotom świadczącym usługi pocztowe i kurierskie. Wskazane podmioty w zakresie swojej podstawowej działalności posiadają status administratora otrzymywanych danych osobowych.

Drugi przypadek to taki, w którym podmioty otrzymują dostęp do danych osobowych w celu ich przetwarzania w imieniu i na rzecz administratora. Warunkiem zgodnego z prawem przetwarzania jest w takiej sytuacji zawarcie pomiędzy administratorem a otrzymującym (podmiotem przetwarzającym) umowy o powierzenie przetwarzania danych, stosownie do treści art. 28 RODO. Wskazana podstawa może być stosowana przede wszystkim w przypadku outsourcingu określonego zakresu czynności realizowanych przez administratora (np. zlecenia zewnętrznemu podmiotowi świadczenia usług księgowych, informatycznych czy też powierzenia wykonania części prac podwykonawcom).

Zgodnie z RODO, co do zasady udostępnienie ani powierzenie przetwarzania danych nie wymaga uzyskania zgody osoby, której dane dotyczą. Zgodnie z art. 13 ust. 1 lit. e i 14 ust. 1 lit. e RODO administrator ma jedynie obowiązek poinformować podmiot danych o odbiorcach lub kategoriach odbiorców. Innymi słowy, wykonując obowiązek informacyjny wynikający z powołanych wyżej przepisów, administrator powinien wskazać osobie, której dane dotyczą, komu będą przekazywane jej dane.

Umowa o pracę – podstawa przetwarzania danych

Wykonanie umowy jako przesłanka przetwarzania danych osobowych dotyczy różnego rodzaju umów – zarówno nazwanych, mających swe źródło w przepisach kodeksu cywilnego lub ustaw szczególnych, jak i umów nienazwanych, zawieranych przez strony w ramach swobody kontraktowania. Na tym tle wyjątek stanowi umowa o pracę.

Podstawą przetwarzania danych pracowniczych (mimo faktu podpisania dokumentu umowy) nie jest art. 6 ust. 1 lit. b RODO, ale konieczność wypełnienia obowiązku prawnego ciążącego na administratorze (pracodawcy), czyli art. 6 ust. 1 lit. c RODO. Szczegółowe kwestie dotyczące zakresu danych pracownika, do których pracodawca może posiadać dostęp określa art. 22(1), 22(1a) i 22(1b) kodeksu pracy, rozporządzenia wykonawcze oraz ewentualnie dodatkowo przepisy regulujące wykonywanie poszczególnych zawodów (np. Karta Nauczyciela). Strony stosunku pracy nie mogą, opierając się na zasadzie swobody umów, rozszerzyć ustawowego zakresu o dane osobowe, do których pracodawca nie jest uprawniony.

Przykład: zgodnie z obowiązującymi przepisami pracodawca może żądać od pracownika przedstawienia zaświadczenia o niekaralności z Krajowego Rejestru Karnego jedynie w takim zakresie, w jakim w odniesieniu do danej kategorii pracowników istnieje ustawowy obowiązek niekaralności. Chodzi np. o nauczycieli czy pracowników straży granicznej. W stosunku do pozostałych pracowników żądanie okazania przedmiotowego dokumentu nie posiada podstawy prawnej. Powyższego zakazu nie uchyla zamieszczenie w umowie o pracę stosownego postanowienia obligującego pracownika do przedstawienia wskazanego zaświadczenia.

Nie sposób pominąć, że obowiązujące przepisy regulują nie tylko uprawnienia pracodawcy do przetwarzania danych, ale też nakładają na podmiot zatrudniający określone obowiązki w tym zakresie. W szczególności źródłem wskazanych obowiązków jest rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej. Rozporządzenie precyzuje zakres, sposób i warunki prowadzenia przedmiotowej dokumentacji, w tym akt osobowych pracownika. Należy pamiętać, że poza realizacją obowiązków podmiotu zatrudniającego, pracodawca pełni także funkcję płatnika składek na ubezpieczenia społeczne i ubezpieczenie zdrowotne oraz płatnika zaliczek na podatek dochodowy pracownika, co również wiąże się z dodatkowym, przewidzianym przepisami prawa, zakresem danych do przetwarzania.

Realizacja umowy a działania marketingowe

Co do zasady podejmowanie działań marketingowych stanowi uprawnienie przedsiębiorcy i wyraz jego prawnie uzasadnionego interesu. Tym samym podstawą przetwarzania danych w celu prowadzenia wskazanych czynności jest art. 6 ust.1 lit. f RODO. Inną podstawą przetwarzania danych w celu realizacji marketingu bezpośredniego może być zgoda. Obowiązujące przepisy stanowią, że podejmowanie niektórych działań marketingowych wiąże się bowiem z koniecznością uzyskania zgody adresata przedmiotowych komunikatów. Powyższy obowiązek dotyczy w szczególności wysyłania niezamówionych informacji handlowych drogą elektroniczną (w tym e-mailową) oraz komunikacji za pośrednictwem tzw. telekomunikacyjnych urządzeń końcowych w celu marketingu bezpośredniego (w tym wykonywania połączeń telefonicznych lub smsowych).

Jak zostało wskazane powyżej, prowadzenie działań marketingowych na etapie poprzedzającym zawarcie umowy co do zasady nie może być uznane za realizowane w oparciu o przesłankę wskazaną w art. 6 ust. 1 lit. b RODO. Wyjątkiem jest sytuacja, gdy osoba, której dane dotyczą sama zwróci się z żądaniem określonych działań (np. o przesłania oferty).

W praktyce istnieją sytuacje, gdy wykonywanie działań marketingowych względem drugiej strony umowy stanowi obowiązek umowny. Dotyczy to w szczególności stałych relacji handlowych opartych na umowach ramowych, zgodnie z którymi strona (np. sprzedawca) jest zobligowana regularnie dostarczać drugiej stronie (np. kupującemu) swoje katalogi, informacje o promocjach lub nowościach. Objęcie takiego obowiązku warunkami współpracy powoduje, że wykonywanie wskazanych działań nie następuje w oparciu o prawnie uzasadniony interes, ale o przesłankę realizacji umowy (art. 6 ust. 1 lit. b RODO).

Zapłata danymi osobowymi za wykonanie umowy

Aktualnie nierzadkie są sytuacje, gdy strona może korzystać z określonych świadczeń bez konieczności uiszczania dodatkowej zapłaty, pod warunkiem wyrażenia zgody na przetwarzanie danych osobowych w określonych celach marketingowych. Wiąże się to głównie z umowami o świadczenie usług drogą elektroniczną, których realizacja następuje nieodpłatnie, a przekazanie danych i udzielenie zgód na otrzymywanie informacji handlowych stanowi formę zapłaty za świadczenie (np. umowy o korzystanie z usług poczty elektronicznej).

Obowiązujące przepisy polskiego prawa aktualnie nie regulują kwestii tego rodzaju działań. Rozwiązania w tym zakresie przedstawia Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/2161 z dnia 27 listopada 2019 r. zmieniająca dyrektywę Rady 93/13/EWG i dyrektywy Parlamentu Europejskiego i Rady 98/6/WE, 2005/29/WE oraz 2011/83/UE w odniesieniu do lepszego egzekwowania i unowocześnienia unijnych przepisów dotyczących ochrony konsumenta,  czyli tzw. Dyrektywa Omnibus. Nie została ona jeszcze implementowana do polskiego porządku prawnego. Projekt ustawy obejmującej wdrożenie dyrektywy zakłada wprowadzenie zmian ustawy o prawach konsumenta[5]. Zgodnie z przedstawionymi propozycjami, przepisy tej ustawy będą znajdowały zastosowanie również do umów, na podstawie których przedsiębiorca zobowiązał się dostarczyć treści lub usługi cyfrowe, w zamian za co konsument ma udostępnić przedsiębiorcy dane osobowe. Powyższy projekt usuwa istniejącą dotychczas wątpliwość prawną co do dopuszczalności „płacenia” za usługi danymi osobowymi.

Skoro ustawa o prawach konsumenta będzie wprost dopuszczać możliwość zawierania wskazanych umów, należy uznać, iż przetwarzanie danych stanowiących „zapłatę” za usługi znajdzie swoją podstawę w art. 6 ust. 1 lit. b RODO.

Przedstawione w artykule prawne kwestie związane z przetwarzaniem danych osobowych w oparciu o przesłankę wykonania umowy pokazują, że tematyka podstaw przetwarzania danych ma charakter złożony i wymaga wnikliwej analizy oraz badania każdego konkretnego przypadku. Wiele aspektów omawianego zagadnienia wciąż jeszcze się kształtuje, w miarę rozwoju prawodawstwa oraz tworzenia praktyki orzeczniczej. Kolejne lata obowiązywania RODO pokażą, w jakim kierunku będą podążały wskazane procesy.

radca prawny Dominik Bala

Kancelaria Prawna Capital Legal


[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679  z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

[2] Z. Radwański [w:] System Prawa Prywatnego. Prawo cywilne - część ogólna, t. 2, 2008

[3] E. Bielak – Jomaa, [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak – Jomaa, D. Lubasz, 2018

[4] Tamże

[5] Projekt ustawy

Zobacz więcej podobnych artykułów