Skutki zmiany wykonawcy umowy w świetle przepisów RODO

Na gruncie przepisów RODO, przy zmianie wykonawcy umowy konieczne jest uwzględnienie kwestii przekazania danych osobowych. Zmiana wykonawcy może oznaczać zmianę administratora danych, co wymaga ustalenia podstawy prawnej przetwarzania danych. Artykuł omawia także przesłanki legalizujące udostępnienie danych oraz obowiązek informacyjny nowego wykonawcy wobec osób, których dane dotyczą.

Tematyka: RODO, zmiana wykonawcy umowy, przekazanie danych osobowych, administrator danych, podstawa prawna przetwarzania danych, udostępnienie danych, obowiązek informacyjny, zgoda na przetwarzanie danych, sprzeciw wobec przetwarzania, umowa

Na gruncie przepisów RODO, przy zmianie stron umowy należy brać także pod uwagę ewentualną kwestię
przekazania danych. Zmiana wykonawcy umowy oznaczać może zmianę administratora danych. Konieczne
jest zatem ustalenie podstawy prawnej przetwarzania danych przez podmiot przejmujący zobowiązania
wynikające z umowy.

Zmiany podmiotowe w stosunkach umownych nie należą do rzadkości. To, co w obrocie potocznie nazywane jest
cesją dotyczy zarówno zmiany wierzyciela, jak i zmiany dłużnika.

W praktyce możemy mieć na przykład do czynienia z sytuacją zmiany dostawcy usługi – wykonawcy umowy.
Zmiana wykonawcy umowy na gruncie RODO
Na gruncie przepisów RODO, przy zmianie stron umowy należy brać także pod uwagę ewentualną kwestię
przekazania danych.
Zmiana wykonawcy umowy oznaczać może zmianę administratora danych.
W przepisie art. 6 ust. 1 RODO enumeratywnie wyliczone zostały podstawy przetwarzania danych. Przetwarzanie
jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden
z poniższych warunków:
1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej
liczbie określonych celów;
2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do
podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby
fizycznej;
5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach
sprawowania władzy publicznej powierzonej administratorowi;
6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez
administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych
interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony
danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Przekazanie danych między administratorami stanowi udostępnienie danych w rozumieniu RODO.
Przesłanka legalizująca udostępnienie danych
Przyjmuje się, że na podstawie wymienionych wyżej przesłanek legalności przetwarzania danych możliwe jest także
ich udostępnienie.
Przetwarzania danych osobowych w oparciu o zawartą umowę dotyczy przepis art. 6 ust. 1 lit. b RODO.
W przypadku udostępnienia danych przetwarzanych na podstawie umowy, podmiot przekazujący swoje prawa
i obowiązki z umowy, może działać w oparciu o przesłankę uzasadnionego prawnego interesu, o którym mowa
w przepisie art. 6 ust. 1 lit. f) RODO.
Kluczowe jest w tym przypadku, aby podmiot wstępujący w umowę, przejmujący dane, spełnił wobec osób, których
dane dotyczą obowiązek informacyjny, o treści wskazanej w przepisie art. 14 RODO. Konieczne jest zatem
przekazanie takich informacji, jak:
1. dane nowego administratora, w tym dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane
kontaktowe swojego przedstawiciela;
2. gdy ma to zastosowanie - dane kontaktowe inspektora ochrony danych;
3. cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;

4. kategorie odnośnych danych osobowych;
5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
6. 30 gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych odbiorcy w państwie
trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję
odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1
akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach
uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.
7. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
8. prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
9. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której
dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia
sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
10. informacje o prawie wniesienia skargi do organu nadzorczego;
11. źródło pochodzenia danych osobowych, a gdy ma to zastosowanie - czy pochodzą one ze źródeł publicznie
dostępnych;
12. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1
i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także
o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Z praktycznego punktu widzenia, wydaje się, że obowiązek informacyjny wynikający z RODO, powinien zostać
uzupełniony także o podstawowe informacje dotyczące okoliczności zmiany podmiotu wykonującego umowę (np.
świadczącego usługi).
Podstawa prawna przetwarzania danych przez podmiot przejmujący
Dla zgodne z prawem przetwarzania danych także podmiot przejmujący dane musi legitymować się podstawą
prawną przetwarzania danych.
Wstępując w umowę, jej nowy wykonawca, w świetle przepisów RODO, nie musi występować do podmiotów danych
o wyrażenie zgody na przetwarzanie przez niego danych osobowych. Wobec tego, że z chwilą cesji staje się stroną
umowy, podstawą prawną przetwarzania danych osobowych będzie przepis art. 6 ust. 1 lit. b) RODO, tj.
przetwarzanie danych w celu wykonania umowy.
W tym przypadku należy założyć, że jeżeli podmiot danych nie godzi się na zmianę dostawcy usługi, przysługuje mu
prawo do wyrażenia sprzeciwu wobec przetwarzania danych. Jeżeli przetwarzanie danych jest niezbędne do
wykonywania umowy, sprzeciw będzie jednoznaczny z wypowiedzeniem umowy.

Podsumowując, zmiana wykonawcy umowy w świetle RODO wymaga uwzględnienia przepisów dotyczących przetwarzania danych osobowych. Nowy wykonawca musi legitymować się podstawą prawną przetwarzania danych, a osoby, których dane dotyczą, mają prawo do informacji oraz ewentualnego sprzeciwu wobec zmiany dostawcy usługi.