W marcu na łamach naszego bloga opublikowany został artykuł, który rozpoczął serię poświęconą podstawom przetwarzania danych osobowych. Zawierał on ogólne informacje o przesłankach legalizujących przetwarzanie danych osobowych oraz o pierwszej z nich – czyli zgodzie osoby, której dane dotyczą.
W tym miesiącu kontynuujemy rozpoczęty cykl i przybliżamy kolejną podstawę przetwarzania danych osobowych, uregulowaną przez prawodawcę unijnego w art. 6 ust. 1 lit. b RODO, związaną z wykonaniem umowy.
Po lekturze publikacji czytelnik będzie wiedział:
- W jakich sytuacjach możliwe jest oparcie przetwarzania danych osobowych na art. 6 ust. 1 lit. b RODO;
- Kiedy przetwarzanie danych jest niezbędne do wykonania umowy;
- Czy w oparciu o wykonanie umowy możliwe jest przetwarzanie danych osób reprezentujących strony umowy;
- Jakie dane można przetwarzać w związku z wykonaniem umowy;
- Kiedy możliwe jest przetwarzanie danych przed zawarciem umowy;
Sytuacje uzasadniające niezbędność przetwarzania danych osobowych do wykonania umowy
W art. 6 ust. 1 lit. b RODO prawodawca unijny wskazał dwie sytuacje, w jakich możliwe jest oparcie przetwarzania danych osobowych na tej podstawie prawnej. Po pierwsze, przetwarzanie danych osobowych jest zgodne z prawem, jeżeli jest niezbędne do wykonania umowy, której stroną jest podmiot tych danych. Po drugie, przetwarzanie danych jest możliwe do podjęcia działań na żądanie osoby, której dane dotyczą jeszcze przed zawarciem umowy. Mówiąc prościej prawodawca unijny dopuścił przetwarzanie danych zarówno na etapie poprzedzającym zawarcie umowy (np. negocjacje warunków), jak i podczas jej realizacji.
Kiedy przetwarzanie danych jest niezbędne do wykonania umowy
Z brzmienia omawianego przepisu wynika, że zgodność przetwarzania z prawem zachowamy wyłącznie w przypadku, gdy „przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, (…)”. W związku z tym nie każda umowa będzie uzasadniać powołanie się na tę przesłankę. Nie budzi większych wątpliwości, że w przepisie tym mowa o wykonaniu już zawartej umowy. Istotny jest również fakt, że przepis legalizuje przetwarzanie wyłącznie danych osobowych stron umowy i w dodatku w celu jej wykonania.
W związku z powyższym nie może być mowy o przetwarzaniu na tej podstawie danych osób innych niż strony umowy. Zakaz ten obowiązuje również w przypadku, gdy umowa dotyczy ich szeroko rozumianego interesu. Przykładowo szkoły prywatne nie mogą przetwarzać danych osobowych swoich uczniów na podstawie art. 6 ust. 1 lit. b RODO, ponieważ umowa o naukę zawierana jest pomiędzy ich rodzicami a szkołą. Natomiast w zakresie przetwarzania danych rodziców, z którymi umowa została zawarta, przesłanka ta jest jak najbardziej zasadna. Innym przykładem może być przetwarzanie danych pracowników przez pracodawców w celu realizacji umowy o pracę.
Osoby reprezentujące
Podczas zawierania umów przez osoby fizyczne ustalenie stron stosunku umownego nie budzi wątpliwości. Natomiast mogą się one pojawić podczas zawierania umów przez osoby prawne czy też jednostki organizacyjne nieposiadające osobowości prawnej. Wówczas w komparycji umowy obok nazwy i siedziby podmiotu zamieszczone są również informacje o osobach go reprezentujących.
Bywa, że administratorzy opierają przetwarzanie danych tych osób o art. 6 ust. 1 lit. b RODO. Jest to jednak nieprawidłowa praktyka. Należy pamiętać, że osoba prawna czy też jednostka organizacyjna nieposiadająca osobowości prawnej jest tylko reprezentowana przez konkretne osoby fizyczne. Podczas zawierania umowy działają one zatem w imieniu innego podmiotu, który jest stroną umowy.
W związku z tym przetwarzanie danych reprezentantów osób prawnych nie może opierać się na przesłance wykonania umowy. Właściwą podstawą przetwarzania danych tych osób jest prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).
Zakres przetwarzanych danych
Źródłem i celem przetwarzania danych jest nawiązanie i realizacja umowy pomiędzy osobą, której dane dotyczą a administratorem. W związku z tym zakres przetwarzania danych uzależniony jest od przedmiotu świadczenia oraz przepisów prawa odnoszących się do danego rodzaju umowy.
Niekiedy wystarczające są podstawowe dane identyfikujące daną osobę (np. imię i nazwisko) oraz dane teleadresowe (np. w przypadku zwykłej umowy kupna-sprzedaży). W innych przypadkach zakres danych potrzebnych do wykonania umowy może być szerszy i obejmować różnego rodzaju dane osobowe. W przypadku umowy kredytowej są to również m.in. informacje o zarobkach, zatrudnieniu itp. Należy jednak pamiętać, aby zakres danych był zgodny z zasadą minimalizacji danych.
Przetwarzanie danych przed zawarciem umowy
Przetwarzanie danych osobowych w oparciu o art. 6 ust. 1 lit. b RODO jest możliwe również przed zawarciem umowy. Służy ono przygotowaniu do jej zawarcia. Warunkiem determinującym tego typu działanie jest inicjatywa osoby, której dane dotyczą. Aby administrator mógł skorzystać z tej przesłanki, podmiot danych musi w sposób jednoznaczny wyrazić chęć zawarcia umowy. Może być to przykładowo akceptacja oferty przedstawionej publicznie przez administratora.
Przetwarzanie danych osobowych w oparciu o drugą przesłankę z art. 6 ust. 1 RODO jest możliwe również na wczesnym etapie zawierania umów. Może mieć to zastosowanie np. podczas realizacji procedury przetargowej, w fazie zawierania umowy przedwstępnej czy też umowy ramowej.
Natomiast w oparciu o art. 6 ust. 1 lit. b RODO nie jest możliwe przetwarzanie danych w celach marketingowych, tj. przesyłanie ofert z inicjatywy administratora. Natomiast w przypadku gdy podmiot danych wyrazi realne zainteresowanie usługami administratora, sam się skontaktuje z usługodawcą, to wówczas można mu przedstawić ofertę i przetwarzać jego dane osobowe w oparciu o art. 6 ust. 1 lit. b RODO.
Zatem jeżeli administrator nie jest w stanie wykazać, że podmiot danych był rzeczywiście zainteresowany jego usługami, nie powinien opierać przetwarzania danych na omawianej przesłance. Właściwe będzie wówczas spełnienie innego warunku określonego w art. 6 ust. 1 RODO, np. uzyskanie zgody albo oparcie przetwarzania na prawnie uzasadnionym interesie administratora.
Podsumowanie
Zdarza się, że administratorzy błędnie interpretują podstawę przetwarzania danych, jaką jest wykonanie umowy. Uzasadniają oni omawianą przesłanką przetwarzanie danych wszystkich osób, których umowa ta dotyczy (w tym osób fizycznych reprezentujących osoby prawne). Oparcie przetwarzania danych na art. 6 ust. 1 lit. b RODO jest jednak możliwe tylko w ściśle określonych sytuacjach. Należy o tym pamiętać przy wyborze podstawy przetwarzania danych.
Naturalną koleją rzeczy jest, że umowa, w związku z którą przetwarzane są dane osobowe, zostaje rozwiązana lub zrealizowana. Wówczas nie jest możliwe dalsze przetwarzanie danych w oparciu o tę podstawę. Nie oznacza to jednak, że administrator musi natychmiast usunąć wszystkie dane osobowe strony umowy. Na ADO ciążą bowiem obowiązki uzasadniające przechowywanie pewnych danych przez określony czas. Mogą być to np. przepisy prawa podatkowego. Wówczas przetwarzanie danych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Zatem podstawą przetwarzania danych powinien być wówczas art. 6 ust. 1 lit. c RODO. Administrator może zechcieć również zrealizować swoje inne, prawnie uzasadnione cele, opierając dalsze przetwarzanie na art. 6 ust. 1 lit. f RODO. Musi jednak pamiętać o uwzględnieniu tych wtórnych celów przy realizacji obowiązku informacyjnego.