Zawieranie umów online a RODO w kontekście nowych wytycznych Europejskiej Rady Ochrony Danych

    kontrola podatkowa

    Podejście do przetwarzania danych osobowych w celu wykonania umowy, prezentowane przez Europejską Radę Ochrony Danych w wytycznych, może mieć duże znaczenie dla przedsiębiorców, którzy oferują swoje usługi lub towary i zawierają z klientami umowy online. Wytyczne nie mają charakteru wiążącego, ale są istotną wskazówką w interpretowaniu przepisów RODO. Bardzo prawdopodobne jest, że Prezes Urzędu Ochrony Danych Osobowych będzie się na nich opierać w ramach wykonywania swoich zadań, a więc także w toku prowadzonych kontroli.

    Zgodnie z ogólnym rozporządzeniem o ochronie danych („RODO”), przetwarzanie danych musi spełniać szereg wymogów, w tym być zgodne z prawem. Innymi słowy, np. w przypadku tzw. zwykłych danych osobowych powinno zostać oparte na jednej z podstaw prawnych wskazanych w art. 6 ust. 1 RODO.

    Jedną z przesłanek legalizujących przetwarzanie jest jego niezbędność do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

    Przesłanka ta odnosi się również do umów zawieranych online. Ponieważ ten sposób zawierania umów jest coraz powszechniejszy, a jednocześnie z reguły osoba zawierająca taką umowę z dostawcą usług nie ma wpływu na jej treść, Europejska Rada Ochrony Danych („Rada”) wydała wytyczne 2/2019[1], zwracając uwagę na istotne aspekty przetwarzania danych w związku z zawarciem umowy online.

    Zgodnie z wytycznymi, aby stwierdzić, że przetwarzanie danych w celu wykonania umowy zawieranej online jest rzeczywiście zgodne z RODO, należy przeanalizować następujące kwestie:

    • ważność umowy z punktu widzenia przepisów krajowych,
    • zgodność postanowień umownych z właściwymi przepisami, w tym np. z prawem ochrony konsumentów,
    • istnienie konkretnego i jasno określonego celu, w jakim przetwarzane są dane osobowe,
      zakres przetwarzanych danych, które muszą być niezbędne do wykonania określonej umowy.

    Jedną z najważniejszych wskazówek zawartych w wytycznych jest kwestia analizy zakresu danych osobowych, które mogą być poddane przetwarzaniu w związku z wykonywaniem umowy. Rada przyjęła wąskie rozumienie tego zakresu danych, zgodnie z którym nie obejmuje on danych osobowych, które nie są obiektywnie konieczne do spełnienia świadczenia objętego umową, nawet jeśli są one przydatne administratorowi z innych biznesowych względów. Oznacza to, że w przypadku danych dodatkowych konieczne jest określenie innej podstawy prawnej ich przetwarzania – w szczególności może być to zgoda lub uzasadniony interes administratora danych osobowych.

    RODO

    Przykładowo, jeżeli zawierana online umowa sprzedaży obejmuje dostawę towaru kurierem na adres klienta, niezbędne jest przetwarzanie tego adresu. W przypadku jednak dostawy do wskazanego punktu odbioru przesyłek, wymaganie podania adresu jest zbędne i nie może być traktowane jako niezbędne do wykonania umowy (nawet jeśli stanowi to pewne ułatwienie dla sprzedawcy). W takiej sytuacji ewentualne przetwarzanie danych adresowych klienta powinno być oparte na innej podstawie prawnej. – Magdalena Podjacka, Senior Associate, radca prawny, Deloitte Legal.

    Przykładowo, jeżeli zawierana online umowa sprzedaży obejmuje dostawę towaru kurierem na adres klienta, niezbędne jest przetwarzanie tego adresu. W przypadku jednak dostawy do wskazanego punktu odbioru przesyłek, wymaganie podania adresu jest zbędne i nie może być traktowane jako niezbędne do wykonania umowy (nawet jeśli stanowi to pewne ułatwienie dla sprzedawcy). W takiej sytuacji ewentualne przetwarzanie danych adresowych klienta powinno być oparte na innej podstawie prawnej.

    W wytycznych zwrócono również uwagę na kilka sytuacji, w których przetwarzane są dane osobowe zebrane w związku z zawieraniem umów online, a które w ocenie Rady w większości przypadków nie mogą być rozumiane jako niezbędne do wykonania umowy:

    • prowadzenie niezamówionego marketingu z wyłącznej inicjatywy administratora danych lub na polecenie podmiotu trzeciego,
    • przetwarzanie danych w celu podniesienia jakości usług lub ich rozwijania,
    • przetwarzanie w celu przeciwdziałania oszustwom,
    • przetwarzanie w celu prezentowania reklam behawioralnych. Takie reklamy, jak również
    • śledzenie aktywności użytkowników i ich profilowanie są często używane w celu finansowania usług świadczonych online, jednakże nawet to zasadniczo nie uzasadnia uznawania takich działań za przetwarzanie danych osobowych w celu wykonania umowy.

    Co więcej, jeżeli umowa obejmuje kilka różnych świadczeń, które mogą być spełnione niezależnie od siebie, powinny być one oceniane indywidualnie z punktu widzenia zakresu danych, które są niezbędne do wykonania umowy w danej części.

    Aby zapewnić zgodność z przepisami RODO, interpretowanymi zgodnie z omawianymi wytycznymi, przedsiębiorcy będący administratorami danych powinni podjąć dodatkowe działania, wśród których przykładowo można wskazać:

    • weryfikację kategorii danych osobowych zbieranych w procesie zawierania umowy online z punktu widzenia ich niezbędności do wykonania umowy,
    • weryfikację istniejących klauzul informacyjnych,
    • weryfikację obowiązujących regulaminów i polityk.

    1 Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, version 2.0, 8 October 2019.

    Jak widać, podejście do przetwarzania danych osobowych w celu wykonania umowy, prezentowane przez Radę w wytycznych, może mieć duże znaczenie dla przedsiębiorców, którzy oferują swoje usługi lub towary i zawierają z klientami umowy online. Wytyczne nie mają charakteru wiążącego, ale są istotną wskazówką w interpretowaniu przepisów RODO. Bardzo prawdopodobne jest, że Prezes Urzędu Ochrony Danych Osobowych będzie się na nich opierać w ramach wykonywania swoich zadań, a więc także w toku prowadzonych kontroli. Dlatego przedsiębiorcy powinni wziąć wytyczne pod uwagę przy prowadzeniu działalności biznesowej w Internecie. – Krzysztof Owsianny, Radca prawny, Managing Associate, Deloitte Legal