RODO w umowie B2B. Klauzula którą wszyscy wklejają i nikt nie czyta.
Share
Przez lata prawnicy kłócili się czy ona w ogóle ma sens. UODO zakończył dyskusję. Teraz warto zrozumieć dlaczego – zanim zaczniesz ją traktować jak ozdobnik.
Jest taki moment w każdym procesie podpisywania umowy B2B.
Prawnik albo osoba odpowiedzialna za kontrakty wysyła draft. Druga strona go przegląda. Na końcu – po paragrafach o wynagrodzeniu, karach umownych i warunkach wypowiedzenia – jest kilka akapitów o ochronie danych osobowych. Obie strony kiwają głowami. Nikt tego nie czyta. Podpisują.
I tak przez lata.
Klauzula RODO w umowie B2B stała się czymś w rodzaju regulaminu który akceptujesz przy instalacji oprogramowania. Wszyscy wiedzą że jest. Nikt nie wie co w niej jest. Wszyscy zakładają że skoro prawnicy to wkleili to chyba musi być dobrze.
Czasem jest dobrze. Czasem jest fikcja na kilku stronach.
Skąd w ogóle wzięła się ta klauzula
RODO chroni osoby fizyczne.
Spółka z o.o. osobą fizyczną nie jest. Spółka akcyjna osobą fizyczną nie jest. Duża korporacja podpisująca kontrakt z inną dużą korporacją – żadna z nich osobą fizyczną nie jest.
I tu pojawia się pytanie które przez dobrych kilka lat napędzało kłótnie w salach konferencyjnych i na forach prawniczych: skoro obie strony umowy to podmioty gospodarcze a nie osoby fizyczne – to po co w ogóle RODO w umowie B2B?
Odpowiedź jest prostsza niż się wydaje, ale nie znaczy to że widzimy w niej "sens".
Umowę podpisują ludzie. I to ich dane są w grze.
Weźmy najprostszy możliwy przykład.
Dwie spółki podpisują umowę o współpracy. W nagłówku umowy widnieje: "Jan Kowalski, Prezes Zarządu, działający w imieniu ABC Sp. z o.o." oraz "Anna Nowak, Dyrektor Handlowy, działająca w imieniu XYZ S.A."
Jan Kowalski i Anna Nowak to osoby fizyczne. Ich imiona, nazwiska, stanowiska i podpisy są w dokumencie. Dokument jest przechowywany w archiwum firmy. Być może krąży w mailach. Być może jest w systemie CRM.
Mamy właśnie przetwarzanie danych osobowych.
Nie danych spółki – bo spółka danych osobowych nie ma. Danych Jana i Anny – bo oni są osobami fizycznymi którym RODO przyznaje prawa i nakłada na ich administratorów obowiązki.
I tu zaczyna się obowiązek informacyjny. Każda ze spółek stała się administratorem danych osobowych reprezentantów drugiej strony. Każda ma obowiązek poinformować te osoby o tym jak ich dane są przetwarzane – na jakiej podstawie, w jakim celu, jak długo i komu mogą być udostępniane.
Klauzula RODO w umowie B2B to najwygodniejszy mechanizm realizacji tego obowiązku. Reprezentant podpisuje umowę – i przy okazji dostaje informację wymaganą przez art. 13 lub 14 RODO.
Dlaczego to było kontrowersyjne
Przez pierwsze lata po wejściu RODO w życie część środowiska prawniczego stała na stanowisku że obowiązek informacyjny wobec reprezentantów stron w umowach B2B to przeregulowanie. Że celem RODO jest ochrona konsumentów i obywateli – nie prezesów spółek którzy podpisują kontrakty w ramach swojej roli zawodowej.
Argument był intuicyjnie atrakcyjny. Prezes spółki który podpisuje umowę wie że jego dane trafią do dokumentacji kontrahenta. To jest oczywiste, wynikające z natury stosunku handlowego. Po co go o tym informować?
UODO odpowiedział na to pytanie jednoznacznie: bo tak mówi przepis.
Art. 13 i 14 RODO nie zawierają wyjątku dla danych osób pełniących funkcje w podmiotach gospodarczych. Obowiązek informacyjny powstaje gdy zbierasz dane osobowe – niezależnie od tego w jakiej roli te dane zostały podane. Prezes który podpisuje umowę jest jednocześnie osobą fizyczną której dane dotyczą i przysługują mu wszystkie prawa z RODO.
Dyskusja jest zamknięta. UODO stoi twardo na tym stanowisku i nie ma sygnałów żeby miało się to zmienić.
Pełnomocnicy i reprezentanci
W typowej umowie B2B mogą pojawić się dane osobowe znacznie większej liczby osób niż tylko osoby podpisujące dokument.
Pełnomocnicy. Jeśli umowę podpisuje pełnomocnik działający na podstawie udzielonego mu pełnomocnictwa – jego dane również wymagają objęcia obowiązkiem informacyjnym. Imię, nazwisko, numer PESEL często widniejący w pełnomocnictwie, zakres umocowania.
Osoby kontaktowe. Umowy często zawierają paragrafy wskazujące osoby odpowiedzialne za realizację umowy po każdej ze stron. Imię, nazwisko, email, telefon. To są dane osobowe które wymagają podstawy prawnej i obowiązku informacyjnego.
Pracownicy wykonujący umowę. Przy umowach o świadczenie usług gdzie po stronie wykonawcy pracuje konkretny zespół – dane tych osób mogą być przekazywane zamawiającemu jako część rozliczenia lub raportowania.
Każda z tych kategorii to oddzielny strumień danych osobowych. Dobra klauzula RODO w umowie B2B powinna obejmować je wszystkie – albo przynajmniej jasno określać które kategorie są poza jej zakresem i dlaczego.
JDG i spółki cywilne – przypadek który wszyscy ignorują
Jest jeszcze jeden obszar gdzie klauzule RODO w umowach B2B regularnie zawodzą.
Jednoosobowa działalność gospodarcza.
Jan Kowalski prowadzący firmę "Jan Kowalski Usługi Informatyczne" jest jednocześnie podmiotem gospodarczym i osobą fizyczną. W odróżnieniu od spółki z o.o. – nie ma tu rozdziału między firmą a człowiekiem. Jan Kowalski przedsiębiorca i Jan Kowalski człowiek to ta sama osoba.
RODO chroni Jana Kowalskiego człowieka. I robi to nawet gdy Jan Kowalski podpisuje umowę jako przedsiębiorca.
Oznacza to że umowa z JDG która nie zawiera odpowiedniej klauzuli informacyjnej jest niekompletna z perspektywy RODO – nawet jeśli obie strony traktują transakcję jako czysto biznesową.
Dokładnie ta sama logika dotyczy spółek cywilnych. Spółka cywilna nie ma osobowości prawnej. Stroną umowy są jej wspólnicy – jako osoby fizyczne prowadzące wspólną działalność. Ich dane osobowe wymagają takiej samej ochrony jak dane Jana Kowalskiego z JDG.
Czemu ta klauzula często jest bezużyteczna mimo że istnieje
Pierwsza kategoria bezużyteczności jest prosta. Klauzula zawiera jedno zdanie: "Strony zobowiązują się przetwarzać dane osobowe zgodnie z RODO." To zdanie ma tyle wartości prawnej co zobowiązanie się do "działania zgodnie z prawem" w ogóle. Nie zawiera żadnej z wymaganych informacji. Nie realizuje obowiązku informacyjnego. Nie chroni żadnej ze stron przed zarzutem naruszenia art. 13 RODO.
Jest za to w umowie. Więc wszyscy czują się dobrze.
Ale jest jeszcze drugi wariant – bardziej wyrafinowany
Postanowienie który wygląda mniej więcej tak: "Strony przekazują wzajemnie dane swoich reprezentantów. Strona przekazująca dane zobowiązuje się poinformować swoich reprezentantów o przetwarzaniu ich danych przez drugą stronę. Wzór informacji stanowi załącznik nr X."
Na papierze wygląda to elegancko. Każda strona informuje swoich ludzi. Wzór jest gotowy. Obowiązek informacyjny zrealizowany. Rozliczalność zachowana.
W praktyce nikt tego nie robi.
Żaden dział nie wysyła reprezentantom swoich kontrahentów informacji o przetwarzaniu danych. Żaden prawnik nie weryfikuje czy druga strona faktycznie rozesłała załącznik. Żaden prezes nie dostaje maila z informacją że jego dane będą przetwarzane przez firmę z którą jego spółka właśnie podpisała umowę.
Wszyscy o tym wiedzą. I wszyscy to akceptują – bo mechanizm nie powstał po to żeby kogoś informować. Powstał po to żeby w razie kontroli można było wskazać palcem i powiedzieć: "oni mieli to zrobić za nas. Mamy to w umowie."
To jest rozliczalność jako tarcza – nie jako narzędzie ochrony danych.
Nie twierdzę że to jest działanie w złej wierze. Twierdzę że to jest teatr. Kurtyna idzie w górę, wszyscy odgrywają swoje role, po spektaklu nikt nie jest ani trochę lepiej poinformowany o tym co dzieje się z jego danymi.
Jedyna różnica w stosunku do braku klauzuli jest taka że teraz mamy dokument który udowadnia że ktoś miał coś komuś powiedzieć.
Co powinna zawierać klauzula która faktycznie działa
Nie ma jednego wzoru który pasuje do każdej umowy. Ale jest zestaw elementów bez których klauzula jest dekoracją.
I tu dobra wiadomość dla tych którzy się tego boją: wbrew pozorom trudno się tu pomylić. Wszystkie klauzule informacyjne w umowach B2B są zbudowane na tym samym szkielecie. Jak już rozumiesz logikę – różnica między dobrą a złą klauzulą jest widoczna na pierwszy rzut oka.
Administrator danych musi być wskazany z nazwy i danymi kontaktowymi – nie "Strona A" ale konkretna firma z adresem i mailem do kontaktu w sprawach danych osobowych.
Cel przetwarzania musi być konkretny. "Realizacja umowy" jest celem. "Przetwarzanie danych osobowych w związku z zawarciem i wykonaniem niniejszej umowy, w tym w celach księgowych i ochrony roszczen" jest celem jeszcze lepszym bo wskazuje na wszystkie rzeczywiste operacje.
Podstawa prawna musi być wskazana. Dla reprezentantów stron będzie to najczęściej art. 6 ust. 1 lit. f RODO – uzasadniony interes administratora polegający na realizacji umowy. Dla JDG może to być art. 6 ust. 1 lit. b – niezbędność do wykonania umowy której stroną jest osoba fizyczna.
Okres przechowywania musi być określony. Zazwyczaj czas trwania umowy plus okres wynikający z przepisów o archiwizacji dokumentacji finansowej – pięć lat po zakończeniu roku w którym umowę wykonano.
Prawa osób których dane dotyczą muszą być wymienione. Prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu i prawo do skargi do UODO.
Jest jednak jeden element gdzie klauzule oparte na art. 14 RODO – czyli te kierowane do osób których danych nie zebrałeś bezpośrednio, jak reprezentanci drugiej strony – mają dodatkowe wymaganie którego łatwo nie zauważyć. Art. 14 wymaga wskazania kategorii danych oraz źródła z którego dane pochodzą.
W praktyce przy masowo tworzonych klauzulach i niskim ryzyku nie trzeba tu pisać elaboratu. Zdanie "przetwarzamy Państwa dane kontaktowe takie jak imię, nazwisko, stanowisko i adres email, które otrzymaliśmy od Państwa pracodawcy w związku z zawarciem niniejszej umowy" w zupełności wystarczy. To jest właśnie ten poziom szczegółowości który jest proporcjonalny do ryzyka i do skali operacji.
Klauzula która zawiera wszystkie te elementy – nawet napisana prosto i bez prawniczego żargonu – realizuje obowiązek informacyjny. Klauzula która ich nie zawiera – nie realizuje go niezależnie od długości i stopnia skomplikowania.
Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.