Clauze contractuale relevante ale actelor aditionale primite spre semnare de la clienti sau furnizori
O perioada relativ lunga de timp, s-a considerat in practica (si din pacate, continua sa se considere de catre unele persoane) ca societatile comerciale care au clienti si furnizori doar persoane juridice, nu sunt supuse restrictiilor Regulamentului European nr. 679/2016 (denumit in continuare, pe scurt, GDPR). O atare concluzie este una absolut eronata chiar si daca respectiva societate nu ar avea angajati, tinand cont de faptul ca, printre altele, derularea activitatii sale va implica intotdeauna persoane fizice.
Astfel, o societate comerciala poate incheia in mod practic contracte doar prin intermediul administratorului, asociatului, angajatului sau a unui imputernicit persoana fizica, ale carui nume si semnatura (cel putin, daca nu si adresa si cod numeric personal) vor fi indicate in respectivul contract.
Mai mult, in unele conventii sunt specificate si numele, numarul de telefon si adresa de e-mail apartinand unei terte persoane desemnate de societate ca persoana de contact, in raport cu un anume cocontractant. In mod analog, si clientul persoana juridica va fi reprezentat de o persoana fizica si va putea indica o persoana de contact.
De asemenea, este importat sa nu uitam nici de partenerii contractuali cu rol de furnizori de produse si/sau servicii (spre exemplu, firmele care se ocupa de protectia si securitatea la incendiu, de sanatatea si securitatea in munca, dar si cele de contabilitate, IT sau servicii juridice externalizate), care sunt si ei reprezentati de persoane fizice si isi desemneaza adesea o persoana de contact responsabila pentru fiecare cocontractant.
Lasand insa la o parte cele de mai sus, contractele semnate de parti vizeaza adesea prelucrarea datelor cu caracter personal ale unor persoane vizate terte. Spre exemplu, firma care presteaza servicii de training pentru o societate beneficiara, nu va prelucra in baza contractului doar datele personale ale reprezentantilor si persoanelor de contact indicate de beneficiarul serviciilor, ci si anumite date cu caracter personal ale angajatilor care participa efectiv la traininguri (de regula aceste date sunt numele, adresa de e-mail si pozitia detinuta). La fel, putem aminti firmele de contabilitate care prelucreaza si date cu caracter personal ale angajatilor beneficiarului la intocmirea declaratiilor fiscale, realizarii auditului financiar etc. Exemplele sunt nenumarate daca ne gandim la natura variata a serviciilor contractate de societati in activitatea derulata.
In contextul de mai sus, este evident faptul ca date cu caracter personal sunt prelucrate in relatia dintre societati si clientii, respectiv furnizorii lor, si deci reglementarile legale in materie trebuie implementate si respectate.
Avand in vedere ca, in practica, cele mai multe dintre contractele incheiate intre societati inainte de 25 mai 2018 nu reglementau chestiunile referitoare la protectia datelor cu caracter personal sau, daca se avea in vedere acest aspect, clauzele nu erau suficient de cuprinzatoare si cel mai adesea se limitau la obligatia de confidentialitate, odata cu aparitia GDPR au inceput sa fie intocmite acte aditionale la contractele existente, care au in vedere problema datelor cu caracter personal.
In acest context, chiar si daca o societate nu a transmis propriul act aditional, a primit cel mai probabil de la unii dintre partenerii contractuali acte aditionale spre semnare. Atentie insa! Rolul acestui demers nu e doar de a indeplini o formalitate legala, ci si de a fi alocata raspunderea corespunzatoare fiecareia din parti, de a indica informatii clare cu privire la modul de prelucrare a datelor cu caracter personal, de a se obtine consimtamantul persoanei vizate in unele cazuri, dar si de a asigura faptul ca un cocontractant a confirmat in mod expres faptul ca respecta normele GDPR si cele ale legislatiei conexe.
Indiferent insa de care dintre parti a transmis spre semnare documentul, exista anumite elemente principale care ar trebui avute in vedere si care trebuie particularizate in functie de prevederile fiecarui contract la care respectivul inscris se constituie act aditional. Astfel, consideram a fi cu precadere relevante aspectele punctate mai jos, cu mentiunea ca acestea au un caracter general, fara a exista pretentia ca sunt aplicabile oricarei relatii comerciale, fiind deci necesara o analiza a fiecarei situatii in parte:
1. Calitatea partilor indicata in actul constitutiv
Privind lucrurile in mod simplificat, GDPR stabileste trei calitati principale posibile in cazul prelucrarilor directe de date cu caracter personal, respectiv: cea de operator de date, de operator asociat sau de persoana imputernicita a operatorului.
In functie de clauzele contractului principal ce prevede drepturile si obligatiile partilor semnatare, se va stabili care este calitatea detinuta de fiecare dintre acestea. In acest scop, consideram ca Avizul nr. 1 emis in anul 2010 de Grupul de lucru pentru protectia datelor instituit in temeiul Articolului 29 poate fi un instrument util de lucru, desi e departe de a fi indestulator pentru indicarea unei calificari in orice situatie, practica dovedind ca varietatea situatiilor contractuale nu e acoperita de explicatiile si exemplele orientative oferite in avizul antementionat.
Stabilirea calitatii partilor este poate cel mai important element care trebuie urmarit, avand in vedere faptul ca si raspunderea asumata se va raporta la calitatea avuta si la demersurile efectuate.
Astfel, raspunderea unei persoane imputernicite va fi cu siguranta mult limitata fata de cea a operatorului de date.
Trebuie insa sa mentionam ca autoritatea competenta poate decide reincadrarea calitatii partilor indiferent de cele agreate contractual de acestea, daca va considera ca incadrarea facuta initial nu este corecta in raport cu realitatea de fapt.
2. Obligatiile fiecareia dintre parti cu privire la prelucrare
Avand in vedere ca GDPR prevede obligativitatea indicarii clare a atributiilor fiecaruia dintre operatorii asociati, societatile in cauza vor trebui sa verifice daca cele indicate in actul aditional primit deriva firesc din cele agreate in contractul de baza sau, dimpotriva, se creeaza obligatii suplimentare in sarcina uneia din partile pe care aceasta nu le-ar fi asumat in mod normal.
In plus, exista situatii in care persoanelor imputernicite le sunt atribuite obligatii aditionale fata de cele indicate de GDPR, cum sunt cea de notificare directa a autoritatii in cazul unui incident de protectia datelor.
Astfel, daca persoana imputernicita nu ar notifica autoritatea de supraveghere competenta in cazul unui incident aparut, desi ar fi trebuit sa efectueze acest demers, se va pune probleme raspunderii sale contractuale in raport cu operatorul de date, dar si cu persoanele vizate daca va fi cazul.
Tot cu privire la situatiile in care vorbim despre persoanele imputernicite sau operatorii asociati, trebuie tinut cont si de faptul ca uneori sunt impuse de catre partenerul lor contractual, anumite masuri minime de securitatea datelor, ori obligatii de raportare periodica, precum si de a fi supusi auditurilor.
Prin urmare, astfel de clauze trebuiesc revizuite si asumate in mod constient daca se doreste acest lucru.
3. Chestiuni legate de prelucrarea in sine a datelor
Dintre clauzele care trebuie expres prevazute in actele aditionale, le amintim pe cele care privesc modul de prelucrare a datelor cu caracter personal. Ne referim in special la indicarea datelor prelucrate, a persoanelor vizate, a destinatarilor, a duratei de stocare, a temeiului prelucrarii s.a.m.d.
4. Conditionarea alegerii subcontractantilor
Daca actul aditional prevede obligatia de alegere a subcontractantilor doar dintre cei care respecta cerintele de protectia datelor, acest aspect trebuie avut in vedere la momentul analizarii documentului si luate masuri in consecinta.
5. Confidentialitatea
In masura in care obligatia de asigurare a confidentialitatii datelor cu caracter personal prelucrate de catre toti angajatii, colaboratorii si subcontractantii alesi de parti, nu a fost prevazuta in contractul de baza, indicarea acesteia in actul aditional reprezinta o masura extrem de utila.
Astfel, conditiile privitoare la obligatia de pastrare a confidentialitatii trebuie sa fie clare si sa indice inclusiv perioada pentru care aceasta obligatie este asumata.
6. Asumarea expresa a respectarii dispozitiilor GDPR
De regula, la finalul actelor aditionale este inclusa o clauza generala prin care partile declara expres ca respecta normele GDPR si cele ale legislatiei conexe regulamentului.
Desi s-ar putea interpreta ca o atare prevedere ar fi suficienta in relatia dintre parti, dupa cum am aratat in cele de mai sus, necesitatea prevederilor anumitor chestiuni ce tin de prelucrarea datelor cu caracter personal si a detalierii altor aspecte este una ridicata in contextul in care normele legale sunt relativ generale si nu prevad conditiile clar aplicabile in fiecare situatie faptica posibila.
7. Alte aspecte
Adesea in practica s-a observat ca actele aditionale transmise in considerarea dispozitiilor GDPR, pot viza si alte chestiuni decat cele care deriva strict din contractul principal. Astfel, dintre clauzele care se regasesc adesea in conventiile dintre societati, se numara si cea prin care e solicitat consimtamantul semnatarului in vederea prelucrarii datelor sale in alt scop decat executarea contractului, cum e cel de marketing.
Ca o concluzie finala, orice societate care primeste de la un partener contractual un act aditional intocmit in considerarea GDPR, ar trebui sa il analizeze cu mare atentie in special din perspectiva celor punctate mai sus si sa nu il trateze ca pe o simpla formalitate (indiferent daca asa ii este prezentat a fi la momentul semnarii), consecintele incheierii unui atare document fiind unele cat se poate de reale si potential grave.
Astfel, o societate comerciala poate incheia in mod practic contracte doar prin intermediul administratorului, asociatului, angajatului sau a unui imputernicit persoana fizica, ale carui nume si semnatura (cel putin, daca nu si adresa si cod numeric personal) vor fi indicate in respectivul contract.
Mai mult, in unele conventii sunt specificate si numele, numarul de telefon si adresa de e-mail apartinand unei terte persoane desemnate de societate ca persoana de contact, in raport cu un anume cocontractant. In mod analog, si clientul persoana juridica va fi reprezentat de o persoana fizica si va putea indica o persoana de contact.
De asemenea, este importat sa nu uitam nici de partenerii contractuali cu rol de furnizori de produse si/sau servicii (spre exemplu, firmele care se ocupa de protectia si securitatea la incendiu, de sanatatea si securitatea in munca, dar si cele de contabilitate, IT sau servicii juridice externalizate), care sunt si ei reprezentati de persoane fizice si isi desemneaza adesea o persoana de contact responsabila pentru fiecare cocontractant.
Lasand insa la o parte cele de mai sus, contractele semnate de parti vizeaza adesea prelucrarea datelor cu caracter personal ale unor persoane vizate terte. Spre exemplu, firma care presteaza servicii de training pentru o societate beneficiara, nu va prelucra in baza contractului doar datele personale ale reprezentantilor si persoanelor de contact indicate de beneficiarul serviciilor, ci si anumite date cu caracter personal ale angajatilor care participa efectiv la traininguri (de regula aceste date sunt numele, adresa de e-mail si pozitia detinuta). La fel, putem aminti firmele de contabilitate care prelucreaza si date cu caracter personal ale angajatilor beneficiarului la intocmirea declaratiilor fiscale, realizarii auditului financiar etc. Exemplele sunt nenumarate daca ne gandim la natura variata a serviciilor contractate de societati in activitatea derulata.
In contextul de mai sus, este evident faptul ca date cu caracter personal sunt prelucrate in relatia dintre societati si clientii, respectiv furnizorii lor, si deci reglementarile legale in materie trebuie implementate si respectate.
Avand in vedere ca, in practica, cele mai multe dintre contractele incheiate intre societati inainte de 25 mai 2018 nu reglementau chestiunile referitoare la protectia datelor cu caracter personal sau, daca se avea in vedere acest aspect, clauzele nu erau suficient de cuprinzatoare si cel mai adesea se limitau la obligatia de confidentialitate, odata cu aparitia GDPR au inceput sa fie intocmite acte aditionale la contractele existente, care au in vedere problema datelor cu caracter personal.
In acest context, chiar si daca o societate nu a transmis propriul act aditional, a primit cel mai probabil de la unii dintre partenerii contractuali acte aditionale spre semnare. Atentie insa! Rolul acestui demers nu e doar de a indeplini o formalitate legala, ci si de a fi alocata raspunderea corespunzatoare fiecareia din parti, de a indica informatii clare cu privire la modul de prelucrare a datelor cu caracter personal, de a se obtine consimtamantul persoanei vizate in unele cazuri, dar si de a asigura faptul ca un cocontractant a confirmat in mod expres faptul ca respecta normele GDPR si cele ale legislatiei conexe.
Indiferent insa de care dintre parti a transmis spre semnare documentul, exista anumite elemente principale care ar trebui avute in vedere si care trebuie particularizate in functie de prevederile fiecarui contract la care respectivul inscris se constituie act aditional. Astfel, consideram a fi cu precadere relevante aspectele punctate mai jos, cu mentiunea ca acestea au un caracter general, fara a exista pretentia ca sunt aplicabile oricarei relatii comerciale, fiind deci necesara o analiza a fiecarei situatii in parte:
1. Calitatea partilor indicata in actul constitutiv
Privind lucrurile in mod simplificat, GDPR stabileste trei calitati principale posibile in cazul prelucrarilor directe de date cu caracter personal, respectiv: cea de operator de date, de operator asociat sau de persoana imputernicita a operatorului.
In functie de clauzele contractului principal ce prevede drepturile si obligatiile partilor semnatare, se va stabili care este calitatea detinuta de fiecare dintre acestea. In acest scop, consideram ca Avizul nr. 1 emis in anul 2010 de Grupul de lucru pentru protectia datelor instituit in temeiul Articolului 29 poate fi un instrument util de lucru, desi e departe de a fi indestulator pentru indicarea unei calificari in orice situatie, practica dovedind ca varietatea situatiilor contractuale nu e acoperita de explicatiile si exemplele orientative oferite in avizul antementionat.
Stabilirea calitatii partilor este poate cel mai important element care trebuie urmarit, avand in vedere faptul ca si raspunderea asumata se va raporta la calitatea avuta si la demersurile efectuate.
Astfel, raspunderea unei persoane imputernicite va fi cu siguranta mult limitata fata de cea a operatorului de date.
Trebuie insa sa mentionam ca autoritatea competenta poate decide reincadrarea calitatii partilor indiferent de cele agreate contractual de acestea, daca va considera ca incadrarea facuta initial nu este corecta in raport cu realitatea de fapt.
2. Obligatiile fiecareia dintre parti cu privire la prelucrare
Avand in vedere ca GDPR prevede obligativitatea indicarii clare a atributiilor fiecaruia dintre operatorii asociati, societatile in cauza vor trebui sa verifice daca cele indicate in actul aditional primit deriva firesc din cele agreate in contractul de baza sau, dimpotriva, se creeaza obligatii suplimentare in sarcina uneia din partile pe care aceasta nu le-ar fi asumat in mod normal.
In plus, exista situatii in care persoanelor imputernicite le sunt atribuite obligatii aditionale fata de cele indicate de GDPR, cum sunt cea de notificare directa a autoritatii in cazul unui incident de protectia datelor.
Astfel, daca persoana imputernicita nu ar notifica autoritatea de supraveghere competenta in cazul unui incident aparut, desi ar fi trebuit sa efectueze acest demers, se va pune probleme raspunderii sale contractuale in raport cu operatorul de date, dar si cu persoanele vizate daca va fi cazul.
Tot cu privire la situatiile in care vorbim despre persoanele imputernicite sau operatorii asociati, trebuie tinut cont si de faptul ca uneori sunt impuse de catre partenerul lor contractual, anumite masuri minime de securitatea datelor, ori obligatii de raportare periodica, precum si de a fi supusi auditurilor.
Prin urmare, astfel de clauze trebuiesc revizuite si asumate in mod constient daca se doreste acest lucru.
3. Chestiuni legate de prelucrarea in sine a datelor
Dintre clauzele care trebuie expres prevazute in actele aditionale, le amintim pe cele care privesc modul de prelucrare a datelor cu caracter personal. Ne referim in special la indicarea datelor prelucrate, a persoanelor vizate, a destinatarilor, a duratei de stocare, a temeiului prelucrarii s.a.m.d.
4. Conditionarea alegerii subcontractantilor
Daca actul aditional prevede obligatia de alegere a subcontractantilor doar dintre cei care respecta cerintele de protectia datelor, acest aspect trebuie avut in vedere la momentul analizarii documentului si luate masuri in consecinta.
5. Confidentialitatea
In masura in care obligatia de asigurare a confidentialitatii datelor cu caracter personal prelucrate de catre toti angajatii, colaboratorii si subcontractantii alesi de parti, nu a fost prevazuta in contractul de baza, indicarea acesteia in actul aditional reprezinta o masura extrem de utila.
Astfel, conditiile privitoare la obligatia de pastrare a confidentialitatii trebuie sa fie clare si sa indice inclusiv perioada pentru care aceasta obligatie este asumata.
6. Asumarea expresa a respectarii dispozitiilor GDPR
De regula, la finalul actelor aditionale este inclusa o clauza generala prin care partile declara expres ca respecta normele GDPR si cele ale legislatiei conexe regulamentului.
Desi s-ar putea interpreta ca o atare prevedere ar fi suficienta in relatia dintre parti, dupa cum am aratat in cele de mai sus, necesitatea prevederilor anumitor chestiuni ce tin de prelucrarea datelor cu caracter personal si a detalierii altor aspecte este una ridicata in contextul in care normele legale sunt relativ generale si nu prevad conditiile clar aplicabile in fiecare situatie faptica posibila.
7. Alte aspecte
Adesea in practica s-a observat ca actele aditionale transmise in considerarea dispozitiilor GDPR, pot viza si alte chestiuni decat cele care deriva strict din contractul principal. Astfel, dintre clauzele care se regasesc adesea in conventiile dintre societati, se numara si cea prin care e solicitat consimtamantul semnatarului in vederea prelucrarii datelor sale in alt scop decat executarea contractului, cum e cel de marketing.
Ca o concluzie finala, orice societate care primeste de la un partener contractual un act aditional intocmit in considerarea GDPR, ar trebui sa il analizeze cu mare atentie in special din perspectiva celor punctate mai sus si sa nu il trateze ca pe o simpla formalitate (indiferent daca asa ii este prezentat a fi la momentul semnarii), consecintele incheierii unui atare document fiind unele cat se poate de reale si potential grave.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Cazuri practice
13Iun2019
Decizia (UE) 2019/682 referitoare la prelucrarea automatizata a datelor cu caracter personal
de Colectivul de Specialisti Rentrop&Straton
13 Iun 2019
Un produs marca