Umowa franczyzy zdecydowanie nie kojarzy się w pierwszej kolejności z tematem ochrony danych osobowych. Franczyza jest rozumiana jako system sprzedaży towarów lub technologii czy świadczenia usług, wiążący się z bliską współpracą niezależnych prawnie podmiotów (franczyzodawcy i franczyzobiorcy). Jest to jeden ze sposobów na rozpoczęcie własnego biznesu, gdy nie za bardzo mamy na niego pomysł. Możemy wówczas skorzystać z doświadczenia innego podmiotu (franczyzodawcy), który ma określoną markę na rynku, doświadczenie, know-how i pomoże nam rozwinąć skrzydła, oferując m. in. wsparcie techniczne, szkoleniowe i organizacyjne. Franczyzobiorca jest przedsiębiorcą zupełnie niezależnym prawnie i w dużej mierze – finansowo od franczyzodawcy, ale decyzja o rozpoczęciu działalności gospodarczej w tej formie wymaga przyjęcia przez franczyzobiorcę zasad prowadzenia biznesu ustalonych przez franczyzodawcę.
No dobrze, ale jaki ma to związek z RODO…?
Całkiem spory, ale szczegóły za chwilę. Dla dalszych rozważań kluczowe znaczenie ma podział na franczyzę tzw. „twardą” i „miękką”. W tym pierwszym modelu franczyzobiorca nie ma praktycznie żadnej swobody co do kształtowania prowadzonej działalności i podejmowanych działań. Jest związany z franczyzodawcą praktycznie w każdym możliwym aspekcie – m. in. korzysta z jego logo i identyfikacji wizualnej, musi korzystać z dostawców i rozwiązań (np. systemów informatycznych) narzuconych przez franczyzodawcę, nie może prowadzić własnych działań marketingowych, ma uczestniczyć w określonych działaniach promocyjnych itp. W przypadku franczyzy „miękkiej” franczyzobiorca ma większą swobodę, np. sam decyduje o swoich dostawcach czy udziale w akcjach promocyjnych.
Franczyza „miękka” i obowiązki w zakresie ochrony danych osobowych
W przypadku tego modelu franczyzobiorca zazwyczaj ma (a przynajmniej powinien mieć) większą świadomość co do tego, że ciążą na nim obowiązki wynikające z RODO. Jest on administratorem danych osobowych swoich klientów, pracowników, kontrahentów (lub osób ich reprezentujących), a więc musi wobec tych osób realizować obowiązki informacyjne, spełniać żądania w zakresie praw podmiotów danych, samodzielnie zapewnia środki ochrony przetwarzanych danych, ustala samodzielnie standardy ochrony danych osobowych. W przypadku korzystania np. z usług zewnętrznych firm IT, obsługi księgowej i kadrowej będzie musiał samodzielnie zawrzeć umowy powierzenia przetwarzania danych osobowych z tymi podmiotami.
Nie jest wykluczone, że w odniesieniu do tych samych danych osobowych ich administratorem będzie również franczyzodawca. Może on być odrębnym administratorem, któremu franczyzobiorca w określonych celach udostępnia dane osobowe np. klientów. Moim zdaniem zdecydowanie mniej prawdopodobne będzie w tym modelu współadministrowanie danymi osobowymi przez franczyzobiorcę i franczyzodawcę. Zależy to jednak oczywiście od okoliczności konkretnego stanu faktycznego i wymaga każdorazowej analizy.
Schody zaczynają się przy franczyzie „twardej”…
Zaryzykuję tezę, że franczyzobiorcy funkcjonujący w tym modelu co do zasady uważają, że obowiązki dotyczące ochrony danych osobowych ich nie dotyczą, bo „wszystko” jest po stronie franczyzodawcy. Jest to myślenie na zasadzie: mamy narzucone zasady działania, mamy pracować na określonych systemach informatycznych i korzystać z określonych dostawców, nie możemy się promować, nie mamy praktycznie żadnej swobody, więc za nic nie odpowiadamy, w szczególności w zakresie RODO.
Podam konkretne przykłady, z którymi się zetknęłam:
Przykład 1.
Hotel działający na licencji międzynarodowej sieci
Franczyzobiorca – przedsiębiorca niezależny pod względem prawnym od franczyzodawcy, działający pod marką znanej międzynarodowej sieci hoteli (w 100% franczyza twarda – brak jakiejkolwiek swobody działania, wszelkie działania marketingowe prowadzone wyłącznie przez franczyzodawcę, korzystanie z narzuconych dostawców) był przekonany, że w żadnym wypadku nie jest administratorem danych osobowych gości hotelu. Franczyzodawca posiadał klientów będących członkami globalnego programu lojalnościowego i był w tym zakresie faktycznie wyłącznym administratorem danych osobowych, prowadził także na własnej stronie internetowej system rezerwacji pobytu w hotelach na całym świecie, w tym prowadzonych przez franczyzobiorców, jak również zawarł umowy z pośrednikami rezerwacyjnymi. Franczyzobiorca otrzymywał dane osobowe klientów (gości) z systemów rezerwacyjnych franczyzodawcy i pośredników. Możliwe było jednak dokonywanie rezerwacji także bezpośrednio w hotelu prowadzonym przez franczyzobiorcę, jak również wynajęcie pokoju przez osobę, która przyszła „z ulicy”, tj. bez wcześniejszej rezerwacji.
Rola w procesie przetwarzania danych osobowych, w jakiej widział siebie franczyzobiorca (podmiot przetwarzający/nikt?), nie była prawidłowo określona. Pełną odpowiedzialność za świadczenie usług hotelowych, w tym za wyrządzenie gościom szkody, ponosił bowiem właśnie franczyzobiorca. Także on mógł bezpośrednio dochodzić od gości roszczeń z tytułu zapłaty za usługi czy za wyrządzone w hotelu szkody. Zdarzało się również, że goście życzyli sobie wystawiania faktur za usługi hotelowe czy gastronomiczne, a to wymagało przetwarzania danych osobowych związanych z prowadzoną przez osobę fizyczną działalnością gospodarczą. W hotelu zainstalowany był monitoring wizyjny znajdujący się pod wyłączną kontrolą franczyzobiorcy.
W powyższym zakresie franczyzobiorca niewątpliwie pełnił rolę administratora, i to odrębnego od franczyzodawcy. Przetwarzał dane osobowe we własnych celach i był zobowiązany lub uprawniony (w zależności od tego, czy spoczywały na nim obowiązki prawne, czy posiadał prawnie uzasadniony interes w przetwarzaniu danych) do przechowywania dokumentacji dotyczącej świadczenia usług hotelowych lub gastronomicznych, w tym dokumentów rozliczeniowych, które mogły zawierać dane osobowe.
Franczyzobiorca miał również dostęp do danych osobowych członków programu lojalnościowego franczyzodawcy i wskazanych tam np. preferencji gości. Dodatkowo, zbierał od gości deklaracje przystąpienia do programu lojalnościowego franczyzodawcy. Pytanie, jaką rolę pełnił podmiot prowadzący hotel w zakresie przetwarzania danych osobowych we wskazanych dwóch procesach? Moim zdaniem zbieranie danych osobowych w celu przystąpienia do programu lojalnościowego odbywało się wyłącznie w imieniu i interesie franczyzodawcy, a więc powinno wiązać się z powierzeniem franczyzobiorcy przetwarzania danych osobowych. Z kolei dostęp do danych osobowych franczyzodawcy mógł wiązać się ze współadministrowaniem lub z powierzeniem przetwarzania danych osobowych – wymagałoby to głębszej analizy.
Jak widać na powyższym przykładzie, mieliśmy tu do czynienia z szeregiem procesów przetwarzania danych osobowych, a role, jakie w nich pełnili franczyzodawca i franczyzobiorca były różne i konieczne było dokładniejsze przeanalizowanie stanu faktycznego. Na pewno jednak franczyzobiorca nie mógł twierdzić, że nie ciążą na nim żadne obowiązki w zakresie ochrony danych osobowych.
Przykład 2.
Salony fitness
Franczyzobiorca – salon oferujący zabiegi wyszczuplające i zajęcia fitness – również był przekonany, że skoro franczyzodawca narzucił mu zasady prowadzenia biznesu, w tym korzystanie z konkretnego pośrednika rezerwacji wizyt w salonie (podmiot ten udostępniał aplikację internetową i posiadał swoje polityki z zakresu ochrony danych osobowych, ale był podmiotem trzecim wobec franczyzodawcy i franczyzobiorcy), to na franczyzobiorcy nie ciążyły już żadne dodatkowe obowiązki wynikające z RODO.
System rezerwacji online wymagał podania przez klientów danych osobowych w celu utworzenia profilu w aplikacji. Po dokonaniu rezerwacji dane osobowe klientów były udostępniane właścicielowi danego salonu – czyli franczyzobiorcy. Pośrednik rzeczywiście informował o przetwarzaniu danych osobowych, ale wyłącznie w zakresie korzystania z aplikacji i udostępnienia danych osobowych konkretnemu dostawcy usług fitness.
Nieświadomy franczyzobiorca dokonywał wobec swoich klientów następujących działań: zbierał ankiety dotyczące stanu zdrowia w celu stwierdzenia ewentualnych przeciwwskazań do przeprowadzanych przez niego zabiegów, dokonywał pomiarów masy ciała i parametrów klientów w zakresie BMI, wieku metabolicznego, zawartości tłuszczu i wody w organizmie oraz masy mięśni. Dodatkowo w związku z koronawirusem personel franczyzobiorcy mierzył klientom temperaturę ciała i notował ją wraz z nazwiskami (nawet jeśli temperatura była w normie).
Franczyzobiorca całkowicie błędnie przyjął, że nie ma żadnych odrębnych od franczyzodawcy i pośrednika obowiązków dotyczących ochrony danych osobowych. Podmiot ten ewidentnie pełnił rolę administratora danych osobowych. Przetwarzał dane osobowe niezależnie od pozostałych podmiotów, z którymi łączyły go relacje biznesowe. Powinien więc realizować wobec klientów obowiązek informacyjny, należycie zabezpieczać dane osobowe (zwłaszcza, że przetwarzał dane wrażliwe – dotyczące zdrowia), przeszkolić personel i wdrożyć odpowiednie procedury ochrony danych osobowych.
Wnioski
Jako franczyzobiorca, zarówno jeśli działasz w modelu „miękkim”, jak i „twardym”, co do zasady będziesz musiał realizować obowiązki wynikające z RODO w związku z przetwarzaniem danych osobowych w ramach prowadzonej przez Ciebie działalności gospodarczej. Nie poprzestawaj na zapewnieniach franczyzodawcy, że nie musisz nic robić w tym zakresie. Rozpoczęcie biznesu w modelu franczyzowym będzie wymagało od Ciebie dokonania analizy m.in. właśnie pod kątem ustalenia roli, jaką pełnisz w procesie przetwarzania danych osobowych i określenia relacji pomiędzy Tobą i franczyzodawcą w zakresie przekazywania tych danych, a także w relacjach z dostawcami.
Na pewno będziesz administratorem danych osobowych swoich pracowników lub współpracowników, kontrahentów lub osób ich reprezentujących, a jeśli prowadzona przez Ciebie działalność wymaga przekazania Ci przez klientów ich danych osobowych – będziesz administratorem również w zakresie ich danych. Niezbędne jest więc dostosowanie przez Ciebie Twojego biznesu do wymagań RODO i ewentualnie innych przepisów prawa.
Jeśli korzystasz z dostawców, w tym zwłaszcza systemów informatycznych, narzuconych przez franczyzodawcę, i dostawcy Ci mają dostęp do przetwarzanych przez Ciebie danych osobowych, konieczne jest podjęcie dodatkowych działań, takich jak zawarcie umowy powierzenia przetwarzania danych osobowych. Aktualnie szczególnie istotna będzie kwestia ustalenia, czy franczyzodawca oraz narzuceni przez niego dostawcy przetwarzają dane osobowe Twoich pracowników czy klientów poza obszarem Europejskiego Obszaru Gospodarczego – np. czy posiadają serwery w USA. W związku z niedawnym wyrokiem Trybunału Sprawiedliwości Unii Europejskiej w tzw. sprawie „Schrems II” istotnie zostały bowiem ograniczone możliwości przekazywania danych osobowych do Stanów Zjednoczonych Ameryki.
