Poniżej prezentujemy najważniejsze fragmenty odpowiedzi udzielonej na przedstawione pytanie.
Z przekazanych informacji w skierowanym do Kancelarii pytaniu prawnym wynika, iż w ramach współpracy pytającego (dalej pożyczkodawca) z dostawcą sprzętu medycznego dochodzić będzie do przetwarzania danych osobowych potencjalnych klientów, którzy są zainteresowani finansowaniem przez pożyczkodawcę zakupu przez klienta od dostawcy sprzętu medycznego. Dostawca w celu przedstawienia warunków finansowania, samodzielnie sporządza kalkulację oferty w oparciu o udostępnione przez pożyczkodawcę narzędzia informatyczne lub prosi o jej sporządzenie pożyczkodawcę, wskazując dane identyfikujące tego klienta (osoby fizycznej). Rola dostawcy nie ogranicza się tylko do zebrania i przekazania pożyczkodawcy danych kontaktowych do klienta, lecz również, po akceptacji przez klienta otrzymanej oferty, dostawca pośredniczy w doprowadzeniu transakcji (sprzedaży) do skutku, a także finalnym otrzymaniem od pożyczkodawcy prowizji za pozyskanego klienta i jej rozliczenie. W ramach przywołanych czynności z pewnością dochodzić będzie do przekazywania danych osobowych (ich przetwarzania).
Za dane osobowe należy uznać, w myśl art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2016 r. poz. 922 – dalej UODO), te informacje które: „dotyczącą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. „Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.”
Ponadto, należy zwrócić uwagę, iż w myśl UODO, każdy podmiot przetwarzający dane osobowe zawodowo tzn. w ramach prowadzonego przedsiębiorstwa, powinien wypełniać wszystkie wymogi wynikające z w/w aktu prawnego. Jednym z nich jest zawarcie zgodnie z art. 31 stosownej umowy powierzenia przetwarzania danych osobowych, bądź ujęcia zapisów powierzenia w umowie głównej.
Nie ma wątpliwości, że w zakresie danych pozyskiwanych od klienta (na rzecz pożyczkodawcy) przez dostawcę, w celu zawarcia umowy pożyczki i sfinansowania temu klientowi zakupu sprzętu medycznego, administratorem danych osobowych przetwarzanych w celu przedstawienia oferty pożyczki i zawarcia umowy pożyczki jest pożyczkodawca. To on, zatem decyduje o celach i środkach przetwarzania danych osobowych, a tym samym wypełnia definicję administratora danych ujętą w art. 7 pkt 4 UODO.
Mając powyższe na względzie, skoro administratorem danych osobowych zebranych
od potencjalnych klientów, zainteresowanych zakupem od dostawcy sprzętu medycznego, na potrzeby przedstawienia oferty pożyczki oraz ewentualnego zawarcia umowy pożyczki, jest pożyczkodawca, nie może on zatem zlecać w sposób legalny czynności pośrednictwa objętych planowaną do zawarcia „umową współpracy z dostawcą”, bez należytego uregulowania zasad ochrony danych osobowych powierzanych zgodnie z wymogami art. 31 UODO.
Reasumując, oba podmioty, ażeby móc legalnie przetwarzać dane klientów w przywołanym modelu współpracy, bez narażania się na odpowiedzialność przewidzianą ustawą o ochronie danych osobowych, powinny uregulować zasady przekazywania i ochrony danych osobowych zgodnie z treścią art. 31 ustawy o ochronie danych osobowych.