iSecure logo
  • pl
  • en
    • Blog

    Franczyza i RODO

    Agnieszka Rapcewicz
    Kategorie

    Umowa franczyzy zdecydowanie nie kojarzy się w pierwszej kolejności z tematem ochrony danych osobowych. Franczyza jest rozumiana jako system sprzedaży towarów lub technologii czy świadczenia usług, wiążący się z bliską współpracą niezależnych prawnie podmiotów (franczyzodawcy i franczyzobiorcy). Jest to jeden ze sposobów na rozpoczęcie własnego biznesu, gdy nie za bardzo mamy na niego pomysł. Możemy wówczas skorzystać z doświadczenia innego podmiotu (franczyzodawcy), który ma określoną markę na rynku, doświadczenie, know-how i pomoże nam rozwinąć skrzydła, oferując m. in. wsparcie techniczne, szkoleniowe i organizacyjne. Franczyzobiorca jest przedsiębiorcą zupełnie niezależnym prawnie i w dużej mierze – finansowo od franczyzodawcy, ale decyzja o rozpoczęciu działalności gospodarczej w tej formie wymaga przyjęcia przez franczyzobiorcę zasad prowadzenia biznesu ustalonych przez franczyzodawcę. 

     

    No dobrze, ale jaki ma to związek z RODO…?

    Całkiem spory, ale szczegóły za chwilę. Dla dalszych rozważań kluczowe znaczenie ma podział na franczyzę tzw. „twardą” i „miękką”. W tym pierwszym modelu franczyzobiorca nie ma praktycznie żadnej swobody co do kształtowania prowadzonej działalności i podejmowanych działań. Jest związany z franczyzodawcą praktycznie w każdym możliwym aspekcie – m. in. korzysta z jego logo i identyfikacji wizualnej, musi korzystać z dostawców i rozwiązań (np. systemów informatycznych) narzuconych przez franczyzodawcę, nie może prowadzić własnych działań marketingowych, ma uczestniczyć w określonych działaniach promocyjnych itp. W przypadku franczyzy „miękkiej” franczyzobiorca ma większą swobodę, np. sam decyduje o swoich dostawcach czy udziale w akcjach promocyjnych.

     

    Franczyza „miękka” i obowiązki w zakresie ochrony danych osobowych

    W przypadku tego modelu franczyzobiorca zazwyczaj ma (a przynajmniej powinien mieć) większą świadomość co do tego, że ciążą na nim obowiązki wynikające z RODO. Jest on administratorem danych osobowych swoich klientów, pracowników, kontrahentów (lub osób ich reprezentujących), a więc musi wobec tych osób realizować obowiązki informacyjne, spełniać żądania w zakresie praw podmiotów danych, samodzielnie zapewnia środki ochrony przetwarzanych danych, ustala samodzielnie standardy ochrony danych osobowych. W przypadku korzystania np. z usług zewnętrznych firm IT, obsługi księgowej i kadrowej będzie musiał samodzielnie zawrzeć umowy powierzenia przetwarzania danych osobowych z tymi podmiotami.

    Nie jest wykluczone, że w odniesieniu do tych samych danych osobowych ich administratorem będzie również franczyzodawca. Może on być odrębnym administratorem, któremu franczyzobiorca w określonych celach udostępnia dane osobowe np. klientów. Moim zdaniem zdecydowanie mniej prawdopodobne będzie w tym modelu współadministrowanie danymi osobowymi przez franczyzobiorcę i franczyzodawcę. Zależy to jednak oczywiście od okoliczności konkretnego stanu faktycznego i wymaga każdorazowej analizy.

     

    Schody zaczynają się przy franczyzie „twardej”…

    Zaryzykuję tezę, że franczyzobiorcy funkcjonujący w tym modelu co do zasady uważają, że obowiązki dotyczące ochrony danych osobowych ich nie dotyczą, bo „wszystko” jest po stronie franczyzodawcy. Jest to myślenie na zasadzie: mamy narzucone zasady działania, mamy pracować na określonych systemach informatycznych i korzystać z określonych dostawców, nie możemy się promować, nie mamy praktycznie żadnej swobody, więc za nic nie odpowiadamy, w szczególności w zakresie RODO.

    Podam konkretne przykłady, z którymi się zetknęłam:

     

    Przykład 1. 

    Hotel działający na licencji międzynarodowej sieci

    Franczyzobiorca – przedsiębiorca niezależny pod względem prawnym od franczyzodawcy, działający pod marką znanej międzynarodowej sieci hoteli (w 100% franczyza twarda – brak jakiejkolwiek swobody działania, wszelkie działania marketingowe prowadzone wyłącznie przez franczyzodawcę, korzystanie z narzuconych dostawców) był przekonany, że w żadnym wypadku nie jest administratorem danych osobowych gości hotelu. Franczyzodawca posiadał klientów będących członkami globalnego programu lojalnościowego i był w tym zakresie faktycznie wyłącznym administratorem danych osobowych, prowadził także na własnej stronie internetowej system rezerwacji pobytu w hotelach na całym świecie, w tym prowadzonych przez franczyzobiorców, jak również zawarł umowy z pośrednikami rezerwacyjnymi. Franczyzobiorca otrzymywał dane osobowe klientów (gości) z systemów rezerwacyjnych franczyzodawcy i pośredników. Możliwe było jednak dokonywanie rezerwacji także bezpośrednio w hotelu prowadzonym przez franczyzobiorcę, jak również wynajęcie pokoju przez osobę, która przyszła „z ulicy”, tj. bez wcześniejszej rezerwacji.

    Rola w procesie przetwarzania danych osobowych, w jakiej widział siebie franczyzobiorca (podmiot przetwarzający/nikt?), nie była prawidłowo określona. Pełną odpowiedzialność za świadczenie usług hotelowych, w tym za wyrządzenie gościom szkody, ponosił bowiem właśnie franczyzobiorca. Także on mógł bezpośrednio dochodzić od gości roszczeń z tytułu zapłaty za usługi czy za wyrządzone w hotelu szkody. Zdarzało się również, że goście życzyli sobie wystawiania faktur za usługi hotelowe czy gastronomiczne, a to wymagało przetwarzania danych osobowych związanych z prowadzoną przez osobę fizyczną działalnością gospodarczą. W hotelu zainstalowany był monitoring wizyjny znajdujący się pod wyłączną kontrolą franczyzobiorcy. 

    W powyższym zakresie franczyzobiorca niewątpliwie pełnił rolę administratora, i to odrębnego od franczyzodawcy. Przetwarzał dane osobowe we własnych celach i był zobowiązany lub uprawniony (w zależności od tego, czy spoczywały na nim obowiązki prawne, czy posiadał prawnie uzasadniony interes w przetwarzaniu danych) do przechowywania dokumentacji dotyczącej świadczenia usług hotelowych lub gastronomicznych, w tym dokumentów rozliczeniowych, które mogły zawierać dane osobowe.

    Franczyzobiorca miał również dostęp do danych osobowych członków programu lojalnościowego franczyzodawcy i wskazanych tam np. preferencji gości. Dodatkowo, zbierał od gości deklaracje przystąpienia do programu lojalnościowego franczyzodawcy. Pytanie, jaką rolę pełnił podmiot prowadzący hotel w zakresie przetwarzania danych osobowych we wskazanych dwóch procesach? Moim zdaniem zbieranie danych osobowych w celu przystąpienia do programu lojalnościowego odbywało się wyłącznie w imieniu i interesie franczyzodawcy, a więc powinno wiązać się z powierzeniem franczyzobiorcy przetwarzania danych osobowych. Z kolei dostęp do danych osobowych franczyzodawcy mógł wiązać się ze współadministrowaniem lub z powierzeniem przetwarzania danych osobowych – wymagałoby to głębszej analizy.

    Jak widać na powyższym przykładzie, mieliśmy tu do czynienia z szeregiem procesów przetwarzania danych osobowych, a role, jakie w nich pełnili franczyzodawca i franczyzobiorca były różne i konieczne było dokładniejsze przeanalizowanie stanu faktycznego. Na pewno jednak franczyzobiorca nie mógł twierdzić, że nie ciążą na nim żadne obowiązki w zakresie ochrony danych osobowych.

     

    Przykład 2.

    Salony fitness

    Franczyzobiorca – salon oferujący zabiegi wyszczuplające i zajęcia fitness – również był przekonany, że skoro franczyzodawca narzucił mu zasady prowadzenia biznesu, w tym korzystanie z konkretnego pośrednika rezerwacji wizyt w salonie (podmiot ten udostępniał aplikację internetową i posiadał swoje polityki z zakresu ochrony danych osobowych, ale  był podmiotem trzecim wobec franczyzodawcy i franczyzobiorcy), to na franczyzobiorcy nie ciążyły już żadne dodatkowe obowiązki wynikające z RODO. 

    System rezerwacji online wymagał podania przez klientów danych osobowych w celu utworzenia profilu w aplikacji. Po dokonaniu rezerwacji dane osobowe klientów były udostępniane właścicielowi danego salonu – czyli franczyzobiorcy. Pośrednik rzeczywiście informował o przetwarzaniu danych osobowych, ale wyłącznie w zakresie korzystania z aplikacji i udostępnienia danych osobowych konkretnemu dostawcy usług fitness.

    Nieświadomy franczyzobiorca dokonywał wobec swoich klientów następujących działań: zbierał ankiety dotyczące stanu zdrowia w celu stwierdzenia ewentualnych przeciwwskazań do przeprowadzanych przez niego zabiegów, dokonywał pomiarów masy ciała i parametrów klientów w zakresie BMI, wieku metabolicznego, zawartości tłuszczu i wody w organizmie oraz masy mięśni. Dodatkowo w związku z koronawirusem personel franczyzobiorcy mierzył klientom temperaturę ciała i notował ją wraz z nazwiskami (nawet jeśli temperatura była w normie). 

    Franczyzobiorca całkowicie błędnie przyjął, że nie ma żadnych odrębnych od franczyzodawcy i pośrednika obowiązków dotyczących ochrony danych osobowych. Podmiot ten ewidentnie pełnił rolę administratora danych osobowych. Przetwarzał dane osobowe niezależnie od pozostałych podmiotów, z którymi łączyły go relacje biznesowe. Powinien więc realizować wobec klientów obowiązek informacyjny, należycie zabezpieczać dane osobowe (zwłaszcza, że przetwarzał dane wrażliwe – dotyczące zdrowia), przeszkolić personel i wdrożyć odpowiednie procedury ochrony danych osobowych.

     

    Wnioski

    Jako franczyzobiorca, zarówno jeśli działasz w modelu „miękkim”, jak i „twardym”, co do zasady będziesz musiał realizować obowiązki wynikające z RODO w związku z przetwarzaniem danych osobowych w ramach prowadzonej przez Ciebie działalności gospodarczej. Nie poprzestawaj na zapewnieniach franczyzodawcy, że nie musisz nic robić w tym zakresie. Rozpoczęcie biznesu w modelu franczyzowym będzie wymagało od Ciebie dokonania analizy m.in. właśnie pod kątem ustalenia roli, jaką pełnisz w procesie przetwarzania danych osobowych i określenia relacji pomiędzy Tobą i franczyzodawcą w zakresie przekazywania tych danych, a także w relacjach z dostawcami. 

    Na pewno będziesz administratorem danych osobowych swoich pracowników lub współpracowników, kontrahentów lub osób ich reprezentujących, a jeśli prowadzona przez Ciebie działalność wymaga przekazania Ci przez klientów ich danych osobowych – będziesz administratorem również  w zakresie ich danych. Niezbędne jest więc dostosowanie przez Ciebie Twojego biznesu do wymagań RODO i ewentualnie innych przepisów prawa.

    Jeśli korzystasz z dostawców, w tym zwłaszcza systemów informatycznych, narzuconych przez franczyzodawcę, i dostawcy Ci mają dostęp do przetwarzanych przez Ciebie danych osobowych, konieczne jest podjęcie dodatkowych działań, takich jak zawarcie umowy powierzenia przetwarzania danych osobowych. Aktualnie szczególnie istotna będzie kwestia ustalenia, czy franczyzodawca oraz narzuceni przez niego dostawcy przetwarzają dane osobowe Twoich pracowników czy klientów poza obszarem Europejskiego Obszaru Gospodarczego – np. czy posiadają serwery w USA. W związku z niedawnym wyrokiem Trybunału Sprawiedliwości Unii Europejskiej w tzw. sprawie „Schrems II” istotnie zostały bowiem ograniczone możliwości przekazywania danych osobowych do Stanów Zjednoczonych Ameryki. 

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Paweł Wojciechowski

    Kradzież danych z portali społecznościowych oraz jak chronić się przed zagrożeniami w świecie online

    Wstęp W dzisiejszym świecie internetu, gdzie portale społecznościowe są integralną częścią życia codziennego, ochrona danych osobowych staje się coraz ważniejsza. Facebook, LinkedIn, Instagram – to tylko niektóre z platform, na których dzielimy się swoimi danymi. Na portalach społecznościowych często udostępniamy szeroki zakres danych osobowych, w różnych formach. Na przykład, podczas rejestracji na Facebooku, Instagramie czy […]

    Czytaj więcej
    Bartosz Migas

    PLIKI COOKIES PO POLSKU

    Ciasteczkowy zawrót głowy  Pliki cookies wykorzystywane są dzisiaj niemal na każdej stronie internetowej. Informacje o użytkowniku danego sprzętu pozwalają dostosować usługi do konkretnej osoby, zebrać informacje statystyczne i analityczne o działaniu serwisu, ale także poznać zachowania odwiedzających/kupujących, które później wyznaczają kierunki kampanii reklamowych.  Pliki cookies to technologia zbierająca dane o użytkownikach, a ich użycie jest […]

    Czytaj więcej
    O ochronie danych osobowych w Nowoczesnej Firmie
    Bartosz Migas

    Nieoczywiste korzyści z audytu RODO

    Niedługo minie dwa lata od wejścia w życie rozporządzenia RODO, które postawiło przedsiębiorstwa przed koniecznością rozliczenia się ze sposobu przetwarzania danych osobowych, tak klientów jak i biznesowych partnerów. Wydawać by się mogło, że po takim czasie wdrożenie regulacji będzie już powszechne, jednakże wiele firm jest jeszcze w trakcie dostosowywania się do przepisów lub właśnie rewiduje […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki