RODO – kiedy agencja stanie się administratorem danych osobowych w programie lojalnościowym? - Tomasz Makaruk

RODO – kiedy agencja stanie się administratorem danych osobowych w programie lojalnościowym?

Niewątpliwie każdy program lojalnościowy lub motywacyjny wiąże się z przetwarzaniem danych osobowych uczestników akcji. Zazwyczaj regułą jest, że administratorem danych osobowych jest podmiot zlecający organizację akcji, natomiast agencja marketingowa (organizator) staje się podmiotem przetwarzającym dane osobowe (art. 4 ust. 8 RODO), czyli tzw. procesorem, działającym na zasadach powierzenia przetwarzania danych osobowych przez administratora (art. 28 RODO).

Niniejszy tekst jest gościnnym wpisem mec. Pawła Galińskiego – radcy prawnego z Kancelarii Radców Prawnych Galiński&Kleina (www.galinski-kleina.pl)

Jednakże czy zawsze administratorem danych osobowych będzie wyłącznie podmiot zlecający przeprowadzenia akcji? Tu sytuacja nie zawsze kształtować się będzie tak jednoznacznie. W zależności od konstrukcji umowy pomiędzy zlecającym a organizatorem programu lojalnościowego lub motywacyjnego albo od samej treści regulaminu przeprowadzanej akcji obowiązki wynikające z RODO mogą kształtować się odmiennie. Aktualnie pojawiają się postulaty, że organizator może być również administratorem danych osobowych, gdy realizuje on obowiązki płatnika podatku.

Klasyczne ujęcie – organizator akcji jako procesor

Zanim przejdziemy do kwestii związanych z realizacją obowiązku administratora danych przez organizatora, dla pełnego obrazu sytuacji, należy pokrótce przedstawić „klasyczne” rozwiązanie w zakresie przetwarzania danych osobowych uczestników akcji promocyjnej.

Powszechną praktyką w organizacji akcji promocyjnych jest ukształtowanie stosunku pomiędzy zlecającym, a agencją marketingową w taki sposób, że w regulaminie akcji promocyjnej to dane zlecającego widnieją jako dane administratora w rozumieniu RODO. Natomiast agencja występuje w tej konstrukcji jako procesor powierzonych do przetwarzania danych osobowych, które pozyskał i którymi administruje zlecający.

Tak więc organizator w zakresie przetwarzania danych osobowych jest podmiotem przetwarzający dane wyłącznie w imieniu zlecającego, czyli tzw. procesorem i nie wykorzystuje tych danych do własnych potrzeb, jak również nie ustala celów i sposobów przetwarzania danych osobowych.

Trzeba jednak pamiętać, że procesor nie jest podmiotem biernych w zakresie ochrony danych osobowych uczestników programów. Odpowiada on za bezpieczeństwo danych osobowych i zobowiązany jest do zapewnienia wszelkich niezbędnych środków o charakterze organizacyjnych i technicznych, aby dane te nie trafiły do osób trzecich bez zgody osoby, której dane dotyczą. W związku z pozycją procesora, przepisy RODO nadają administratorowi uprawnienia kontrolne w stosunku do procesora.

Osoba, będąca uczestnikiem programu, informowana jest w regulaminie akcji, bądź w oddzielnych dokumencie, o fakcie przekazywania danych procesorowi.

Organizator płatnikiem PIT

Należy pamiętać, iż zgodnie ze stanowiskiem wielokrotnie wyrażanym w indywidualnych interpretacjach podatkowych Dyrektora Krajowej Informacji Skarbowej oraz w orzecznictwie sądów administracyjnych możliwym jest, że to na organizatorze spoczywać będą obowiązki płatnika podatku w rozumieniu ustawy o podatku dochodowym od osób fizycznych (Ustawa o PIT).

Taka sytuacja będzie miała miejsce, gdy organizator przekazywać będzie nagrody osobom fizycznym w ramach akcji promocyjnej organizowanej na zlecenie podmiotu zewnętrznego. Nie ma tu znaczenia okoliczność, że wynagrodzenie agencji jest skalkulowane łącznie ze środkami na zakup nagród rzeczowych, których koszt w efekcie pokrywa zlecający. W takim wypadku to organizator będzie płatnikiem podatku dochodowego od osób fizycznych w związku z wydanymi nagrodami (tak m.in. Naczelny Sąd Administracyjny w: wyrok z dnia 25.11.2020 r., sygn. akt II FSK 1915/18, wyrok z dnia 02.09.2020 r., sygn. akt II FSK 1192/18, wyrok z dnia 21.09.2020 r., sygn. akt II FSK 1195/18).

W świetle opisanej powyżej sytuacji ukształtowane zostało stanowisko, iż agencja marketingowa wydająca nagrody i przetwarzająca dane osobowe niezbędne w zakresie obowiązków płatnika na gruncie podatkowym powinna być w tym zakresie traktowana jako administrator danych osobowych, a nie ich procesor.

Dlaczego organizator może być administratorem?

Pogląd, iż w celu realizacji obowiązków ustawowych, wynikających z brzmienia Ustawy o PIT, organizator staje się administratorem danych osobowych, argumentowany jest pozycją płatnika.

Na płatniku ciąży bowiem ustawowy obowiązek obliczenia i pobrania od podatnika podatku oraz wypłacenie go we właściwym terminie organowi podatkowemu (art. 8 Ordynacji podatkowej). Ponadto, pamiętać musimy, że w takim przypadku to agencja marketingowa sporządza i składa deklaracje PIT-8AR dotyczące laureatów nagród, w zakresie w jakim jest do tego zobowiązana przepisami podatkowymi.

Więc na tym polu organizator, przetwarzając dane osobowe, realizuje te działania we własnym imieniu. Co więcej, można uznać, że to właśnie agencja marketingowa ustala samodzielnie lub wspólnie z innym podmiotem cele i sposoby przetwarzania danych osobowych, a tym samym spełnia on definicję administratora danych osobowych wyrażoną w art. 4 ust. 7 RODO.

Konsekwencje wstąpienia organizatora w obowiązki administratora danych osobowych

Wspomniany na wstępie pogląd może prowadzić do zrewidowania całej konstrukcji relacji zlecającego i organizatora w świetle przepisów RODO.

Przyjmując, że agencja marketingowa, która wydaje nagrody zwycięzcom – uczestnikom akcji promocyjnej, „potrzebuje” dane osobowe laureatów by dopełnić ciążący na niej obowiązek ustawowy (co uzasadnia przetwarzanie przez nią danych osobowych na podstawie art. 6 ust. 1 lit. c) RODO – gdy przetwarzanie jest niezbędne do wypełniania obowiązku prawnego ciążącego na administratorze), to w regulaminie akcji promocyjnej lub w klauzuli informacyjnej powinien ona być wskazana jako administrator danych osobowych w tymże zakresie.

Oznacza to w konsekwencji, że w tymże zakresie to na organizatorze ciążyć będzie obowiązek informacyjny, o którym mowa w art. 13 oraz art. 14 RODO, tj. informacje podawane w przypadku zbierania danych osobowych od osoby, której dane dotyczą oraz informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny, niż od osoby, której dane dotyczą.

Powyższe niewątpliwie prowadzić będzie do sytuacji, w której w regulaminie programu lojalnościowego lub motywacyjnego w części dotyczącej RODO jako administrator wskazany będzie zarówno zlecający jak i agencja marketingowa.

W takim przypadku możemy mieć również do czynienia ze współadministrowaniem danych osobowych przez oba te podmioty. Ta relacja wystąpi, gdy zlecający i organizator wspólnie opracują strategię realizacji akcji lojalnościowej. W tej sytuacji spełniona zostanie przesłanka wspólnego celu, która konieczna jest dla przyjęcia, że w danej sytuacji występuje współadministrowanie, celem tym oczywiście będzie opracowanie, przygotowanie i realizacja programu.

Należy pamiętać, że podobnie jak w przypadku powierzenia przetwarzania, warunkiem konstytutywnym dla bycia współadministratorem danych osobowych jest zawarcie porozumienia pomiędzy administratorami.

Podsumowanie

Przedstawione w tym miejscu refleksje prowadzą do konkluzji, że w praktyce funkcjonowania programów lojalnościowych dopuszczalne jest, w naszej opinii, dwojakie podejście do kwestii przyznawania podmiotowi zlecającemu organizację akcji oraz agencji marketingowej statusu administratora oraz procesora w rozumieniu RODO. Rozdział tych funkcji będzie uzależniony od szeregu czynników. Jako najważniejsze powinniśmy wskazać: ustalenia stron poprzedzające zawarcie umowy; treść umowy; praktyka realizacji programu oraz realizacja (lub nie) przez agencję obowiązków płatnika podatku w rozumieniu Ordynacji podatkowej. Planując organizację programu lojalnościowego należy zawsze świadomie podjąć decyzje w tym zakresie, tak aby następnie móc wdrożyć rozwiązania prawne oraz techniczne zgodne z przyjętym modelem funkcjonowania.

 

3

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.