iSecure logo
Blog

Pośrednictwo, leady i RODO, czyli jak to możliwe, że procesor jest jednocześnie administratorem?

W celu maksymalizacji zysków, a także zapewnienia wysokiej jakości usług, outsourcing jest coraz częstszym zjawiskiem w świecie biznesu. Gdy słyszymy “outsourcing usług” najczęściej przychodzą nam do głowy usługi prawne lub księgowe. Nie możemy jednak zapominać, że coraz częstszą formą outsourcingu jest szeroko pojęte pośrednictwo. Jedną z najpopularniejszych form pośrednictwa jest poszukiwanie klientów, zwanych przez biznes “leadami”, zawieranie w imieniu kontrahenta umów lub przygotowywanie draftów umów w celu sfinalizowania umowy przez kontrahenta.

Kto jest kim na gruncie RODO w takiej współpracy?  Na pierwszy rzut oka sprawa wydaje się oczywista. Skoro spółka działa w imieniu i na rzecz kontrahenta, to pośrednik musi być podmiotem przetwarzającym dane osobowe. Jednak czy taka sentencja jest prawdziwa? W większości przypadków jest to prawda. Pytanie brzmi: czy jest to cała prawda i czy oddaje to prawdziwą naturę relacji łączących strony?

 

Pośrednik i leady. Kto to i co to?

Przez pojęcie „leadów” na potrzeby niniejszego artykułu należy rozumieć osoby lub firmy zainteresowane usługami danej spółki, których dane pozyskane zostały za pośrednictwem reklamy, newsletterów, formularzy kontaktowych etc. Jednym z coraz bardziej popularnych metod pozyskiwania leadów są pośrednicy. W biznesie są stosowane obecnie głównie dwa sposoby uregulowania zasad przetwarzania danych osobowych na linii pośrednik- kontrahent.

 

Administrator – Administrator

Pierwsza forma, która jest zdecydowanie bardziej utrwalona historycznie na rynku, to ustanowienie pomiędzy stronami relacji dwóch odrębnych administratorów. W takim przypadku pośrednik, który pozyska potencjalnego klienta dla swojego kontrahenta, wypełnia wraz z tym klientem formularz zawierający dane osobowe, które ma przetwarzać kontrahent. Następnie klient wyraża zgodę (najczęściej za pośrednictwem checkbox’a lub oświadczenia) na przekazanie (udostępnienie) danych do kontrahenta, celem umożliwienia nawiązania przez kontrahenta kontaktu handlowego bezpośrednio. Jest to co prawda rozwiązanie występujące dłużej na rynku, jednakże ze względu na rosnącą świadomość zasad ochrony danych osobowych, biznes zaczyna zaprzestawać stosowania niniejszej metody z powodu wielu ryzyk ciążących zarówno na kontrahencie, jak i pośredniku.

  • Niewygodna podstawa prawna – zgoda wbrew powszechnemu przekonaniu, jest najmniej korzystną dla administratora podstawą prawną. Podmiot danych osobowych może w każdej chwili ją wycofać. Jest ona także najmniej elastyczna, ponieważ administrator posiada bardzo ograniczone możliwości zmiany lub rozszerzenia celu przetwarzania danych osobowych.
  • Nadmierna archiwizacja – administrator danych powinien dla celów dowodowych posiadać dowód wyrażenia zgody. W niniejszej wersji występuje dwóch administratorów, co oznacza konieczność przechowywania dowodu wyrażenia zgody zarówno przez pośrednika, jak i przez kontrahenta. W celu minimalizacji przechowywania nadmiernej dokumentacji papierowej bardzo częstym rozwiązaniem jest jak najszybsze wprowadzenie skanów wyrażonych zgód i niszczenie papierowych dokumentów. Należy uznać, iż przechowywanie skanów wyrażonych zgód w systemie jest działaniem rozsądnym i prawidłowym. Dokumentacja papierowa jest narażona na dodatkowe ryzyka, w szczególności ryzyko zgubienia lub zestarzenia się dokumentu w przypadku złego składowania. Bardzo częstym w biznesie rozwiązaniem jest przerzucenie na pośrednika obowiązku przechowywania dowodów wyrażenia zgody, nawet po rozwiązaniu umowy. Należy takie zapisy uznać za ryzykowne z punktu widzenia RODO. Administrator jest zobowiązany do weryfikacji legalności swej bazy danych i w szczególności być w stanie wykazać posiadanie podstawy prawnej. Zobowiązanie pośrednika nie jest równoznaczne z rzeczywistym posiadaniem dowodu pozyskania zgody, a ponadto wiąże się to z dodatkowymi ryzykami – co przypadku rozwiązania działalności przez pośrednika? Jeżeli chcemy, by dokumenty były przechowywane przez pośrednika to powinno wynikać to z umowy powierzenia i powinny zostać zwrócone po rozwiązaniu umowy.
  • Przedłużanie procedowania – lead który zbyt długo czeka na kontakt ze strony kontrahenta może przestać być zainteresowany, w związku z powyższym zarówno dla pośrednika, jak i kontrahenta istotny jest czas. Pośrednik chce uzyskać wynagrodzenie z tytułu znalezienia leada, zaś kontrahent chciałby uzyskać korzyści z tytułu zawarcia umowy. Zbieranie zgód „własnych” przez pośrednika spowalnia procesy, powoduje to konieczność wypełnienia dodatkowych dokumentów, przeczytania dodatkowych klauzul informacyjnych.
  • Nakładanie obowiązków wynikających z RODO na pośrednika – nie każdy pośrednik ma cele działania jako administrator danych względem leadów i przez to nie chce przypisywać sobie statusu administratora bezpodstawnie. Administrator na gruncie RODO ma znacznie więcej obowiązków, występowanie jako procesor jest dla procesorów rozwiązaniem zdecydowanie mniej ryzykownym.
  • Odpowiedzialność za pomysły kontrahenta – w celu przesłania do kontrahenta danych, pośrednik musi je najpierw zebrać. Oznacza to konieczność posiadania podstawy prawnej oraz przestrzegania zasad ochrony danych osobowych, w tym zasady minimalizacji danych. Zgoda, która dla wielu administratorów błędnie wydawała się rozwiązaniem pozwalającym na wszystko, nie może być stosowana w każdym przypadku. Nawet zgoda, pomimo iż jest dobrowolna, powinna być uzasadniona. Jeżeli zbieramy dane potrzebne do zawarcia przez kontrahenta umowy, to po co nam informacje dotyczące zdrowia lub skany dowodu osobistego? Pośrednik działający jako administrator musi przykładać znacznie większą uwagę do zakresu danych, o które prosi na mocy umowy kontrahent.
  • Ograniczony zakres stosowania relacja ADO-ADO może dotyczyć tylko zbierania leadów i ich przekazywania do kontrahenta. Zawieranie umów w imieniu kontrahenta, jak sama nazwa wskazuje wynika z nadania pełnomocnictwa, które ze swej natury umożliwia działanie na podstawie i w granicach nadanych przez Kontrahenta. Jeżeli chcemy rozszerzyć zakres pośrednictwa, by obejmował także zawieranie w imieniu kontrahenta umowy, to konieczne jest zawarcie umowy powierzenia.

 

Administrator – Procesor

Coraz większą popularność zyskuje relacja, w której kontrahent, jako administrator danych powierza pośrednikowi pozyskiwanie leadów. Taka forma współpracy pozwala na uniknięcie wielu ryzyk i wad występujących w relacji dwóch odrębnych administratorów.

  • Odrębne zgody nie są konieczne – pośrednik działa jako podmiot przetwarzający dane osobowe leadów w imieniu kontrahenta, a kontrahent zamierza te dane przetwarzać w celu zawarcia umowy, na żądanie klienta (uwaga – nie dotyczy to sytuacji, kiedy kontrahent poza samym celem zawarcia umowy z leadem chciałby przechować pozyskane dane osobowe w bazie marketingowej na potrzeby kierowania ofert w przyszłości). W związku z powyższym wszelkie działania względem leadu są dokonywane w celu zawarcia umowy z kontrahentem. W takim przypadku podstawą przetwarzania danych przez kontrahenta (a w jego imieniu, na podstawie umowy powierzenia – pośrednika), jest wykonanie umowy, nie zaś zgoda klienta. Występuje mniejszy formalizm – skoro nie pozyskujemy zgód, to posiadamy o dwa dokumenty mniej do archiwizowania przez strony.
  • Mniejsza odpowiedzialność pośrednika co do zasady, działając jako pośrednik-procesor grozi nam mniejszy zakres podstaw odpowiedzialności (mniej obowiązków nakładanych bezpośrednio przez RODO), niż w przypadku działania jako administrator. Nie musimy także zastanawiać się nad odrębną podstawą prawną dla pośrednika. Trzeba mieć na uwadze, iż nie zwalnia to w pełni z odpowiedzialności, ponieważ ciąży na nas odpowiedzialność umowna, która może być rażąco wygórowana. Ponadto, RODO także i na podmiot przetwarzający nakłada pewne obowiązki bezpośrednio. Warto tez wspomnieć, że jeżeli działamy wbrew poleceniom kontrahenta, to w odniesieniu do przetwarzania danych osobowych „z przekroczeniem uprawnień” stajemy się ich administratorem, a w takim przypadku nasza odpowiedzialność będzie taka sama jak w relacji ADO-ADO. Nie możemy także zapomnieć, że procesor jest zobowiązany poinformować administratora, jeżeli jego zdaniem polecone działania są niezgodne z prawem. Przepisy jednakże nie wskazują, czy po poinformowaniu administratora, procesor jest zobowiązany do zaprzestania działania. W mojej opinii pośrednik nie może ponosić odpowiedzialności za polecenia kontrahenta pod warunkiem, iż przedstawi swoje zastrzeżenia, gdyż pośrednik nie ma możliwości posiadania pełnych informacji o motywach przyświecających kontrahentowi.

 

Pośrednik – hybryda?

Opisane powyżej schematy wydają się proste i zrozumiałe, dlaczego więc tematem niniejszego artykułu jest możliwość występowania przez pośrednika jednocześnie jako administrator jak i procesor?

Unikatowość pośredników wynika z bardzo prostej potrzeby biznesowej – pośrednik co do zasady nie działa tylko względem jednego kontrahenta. Zdarza się i tak, że działa w imieniu kilkunastu kontrahentów jednocześnie, w związku z powyższym pojawia się pytanie biznesowe, dlaczego swój ciężko pozyskany lead ma przekazywać tylko jednemu z nich? Skoro pośrednik sam decyduje, któremu kontrahentowi chce przekazać leady to znaczy, że działa jako administrator. Czy w takim przypadku pośrednik może w jakikolwiek sposób uzasadniać, iż działa jako procesor?

TAK, jest to jak najbardziej dozwolone. Na pierwszy rzut oka może się to wydawać ciężkie do rozróżnienia w praktyce, jednakże teoretycznie pośrednik może pełnić dwie role jednocześnie.

 

Pośrednik jako Administrator głównym powodem, dla którego pośrednik (choć nie dotyczy to wszystkich pośredników), chce być niezależnym administratorem danych, to posiadanie danych osobowych osób do których może przesyłać oferty marketingowe swoich kontrahentów. W związku z powyższym pośrednik zbiera samodzielnie i na własną rzecz zgody leadów na przesyłanie im informacji handlowych i ofert marketingowych pośrednika związanych z prowadzoną przez pośrednika współpracą z kontrahentami. Jakie dane są przetwarzane przez pośrednika, jako administratora w takim scenariuszu? Są to dane potrzebne do prowadzenia marketingu bezpośredniego, a więc najczęściej: adres korespondencyjny w celu przesyłania listów, adres email do przesyłania newslettera oraz numer telefonu do kontaktu telefonicznego lub przesyłania SMS. Inne dane zazwyczaj nie są pośrednikowi potrzebne.

Kiedy pozyskiwana jest taka zgoda marketingowa przez pośrednika na przetwarzanie przez siebie danych osobowych? Najczęściej występują dwie metody działania:

  • pozyskiwanie za pośrednictwem własnej strony internetowej,
  • pozyskiwanie w czasie kontaktu z leadem podczas reprezentowania kontrahenta.

Nie wyklucza to oczywiście stosowania innych metod pozyskiwania zgód przez pośrednika.

 

Pośrednik jako procesor pośrednik jest procesorem, gdy bezpośrednio reprezentuje swego kontrahenta. Skoro pośrednik przetwarza już dane jako administrator (na własną rzecz), to kiedy zaczyna się moment działania jako procesor? Może się wydawać to ciężkie do rozróżnienia, jednakże w większości przypadków, jeżeli zachowamy pewne formy prewencyjne, jest to proste do wykazania. W chwili w której lead informuje nas, iż jest zainteresowany ofertą naszego kontrahenta, nasze działania w szczególności przedstawienie dokumentów kontrahenta jest dokonywane jako procesor. Jak wskazywałem wcześniej, pośrednik dla własnych celów potrzebuje tylko danych kontaktowych, a więc inne pozyskiwane już w celu dążenia do zawarcia umowy z kontrahentem będą przetwarzane przez pośrednika w imieniu kontrahenta (czyli jako procesora).

Ponadto w większości przypadków dane objęte przedmiotem powierzenia są przetwarzane w dwóch miejscach – systemie kontrahenta oraz papierowej dokumentacji. W związku z powyższym możemy przyjąć, że naruszeniem umowy powierzenia będzie ujawnienie lub zniszczenie dokumentacji kontrahenta lub nieautoryzowany dostęp do jego systemów z winy pośrednika.  W celu uniknięcia ryzyka “zmieszania” danych, nie powinny one być przechowywane przez pośrednika wspólnie w jednym systemie typu CRM. Takie jednoczesne przechowywanie danych przetwarzanych w odmiennych celach niesie ze sobą wiele ryzyk niezgodności z RODO.

 

Czy zbieranie leadów jako administrator, gdy jednocześnie jesteśmy procesorem nie stanowi naruszenia umowy powierzenia?

 NIE

Proces zbierania danych jako administrator i procesor występuje jednocześnie podczas pierwszego spotkania z leadem. Najłatwiej opisać niniejszy mechanizm za pomocą przykładu.

Zainteresowany klient zgłasza się do pośrednika informując go, że jest zainteresowany mieszkaniem należącym do dewelopera X. Pośrednik jako procesor przedstawia ofertę oraz dokumenty do wypełnienia. Klientowi są przedstawiane 3 dokumenty:

  • umowa zakupu mieszkania,
  • klauzula informacyjna oraz zgoda na przetwarzanie danych osobowych przez dewelopera w celach marketingowych
  • klauzula informacyjna oraz zgoda na przetwarzanie danych w celach marketingowych przez pośrednika.

 

Jak widzimy, pośrednik nie wykradł danych ani nie „przechwycił” danych osobowych pozostawionych deweloperowi (tzn. jakie lead przekazał do wykorzystania przez dewelopera). W niniejszym przypadku, pośrednik przy okazji działania w imieniu dewelopera, postanowił (równocześnie) w imieniu własnej firmy bezpośrednio od zainteresowanego pozyskać zgodę na przetwarzanie danych przez siebie (tj. w celach własnych pośrednika). Sam proces wypełniania dokumentów jest dla zainteresowanego czytelny i przejrzysty. Taki mechanizm pozwala na zapewnienie komfortu dla klienta, zaś sam klient w żaden sposób nie zostaje wprowadzony w błąd.  Formularz pośrednika jest też odrębnym dokumentem, dzięki czemu możemy w łatwy sposób określić które dokumenty należą do kogo oraz kto ponosi odpowiedzialność za zapewnienie bezpieczeństwa.

Pośrednictwo jest bardzo szerokim pojęciem, może dotyczyć sprzedaży nieruchomości, ubezpieczeń, towarów, usług etc. W związku z powyższym należy mieć na uwadze, że w niektórych przypadkach pośrednik lub kontrahent może podlegać szczególnym rygorom ograniczającym elastyczność działań stron. Może to wynikać, np. z tajemnicy ubezpieczeniowej, bankowej, czy farmaceutycznej. Należy pamiętać, iż uwzględniając RODO w projektowaniu modelu biznesowego własnej spółki, istotne jest uwzględnienie specyfiki sektora biznesowego.

Pobierz wpis w wersji pdf

Podobne wpisy:

Co powinna zawierać procedura wykonywania kopii zapasowych?

Procedura wykonywania kopii zapasowych (backupów) jest jednym z istotniejszych elementów budowania systemu ochrony danych osobowych, ale też zapewnienia ciągłości działania w kontekście szerszym, bo dotyczącym wszystkich istotnych dla organizacji informacji. Kiedy taka procedura może się przydać (przy założeniu, że została wdrożona i jest stosowana)? Na pewno w przypadku awarii systemu informatycznego, ale też w sytuacji […]

3 powody, dla których warto zastrzec PESEL

Piątek, 17 listopada 2023 r. śmiało można nazwać przełomową datą w historii polskiego cyberbezpieczeństwa. Tego dnia została uruchomiona usługa „Zastrzeż PESEL”, dzięki której zyskaliśmy potężne narzędzie do obrony przed przykrymi i kosztownymi skutkami naruszeń ochrony danych osobowych (mówiąc wprost: wycieków lub kradzieży naszych danych). PESEL jest unikalnym numerem identyfikującym konkretną osobę fizyczną. W dobie cyfrowego […]

Fuzje i przejęcia – jak przeprowadzić ten proces zgodnie z RODO?

Przeprowadzone w 2019 r. przez Euromoney Thought Leadership Consulting badanie ponad 500 praktyków zajmujących się fuzjami i przejęciami w Europie, na Bliskim Wschodzie i w Afryce (EMEA) wykazało, że ogólne rozporządzenie o ochronie danych (RODO) miało znaczący wpływ na proces fuzji i przejęć wielu organizacji. 55% ankietowanych praktyków zajmujących się fuzjami i przejęciami potwierdziło, że […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki