Protecția datelor cu caracter personal în cadrul rețelei de franciză.
Natura raporturilor dintre francizor și francizați: operatori asociați
dr. Mihaela MOCANU
avocat
REZUMAT
Relația dintre francizor și francizații rețelei sale este complexă și trebuie reglementată contractual și în ceea ce privește obligațiile în legătură cu prelucrarea datelor cu caracter personal. Datorită felului în care franciza este reglementată, întotdeauna relația dintre francizor și francizat va fi aceea operatori asociați.
Cuvinte-cheie: francizor, francizat, scopul prelucrării, mijloacele prelucrării, operatori asociați, acord scris, informarea persoanei vizate
1. Rețeaua de franciză. Realitate generată contractual
Franciza este definită în legislația română ca fiind „un sistem de comercializare a produselor și/sau al serviciilor și/sau al tehnologiilor, bazat pe o colaborare continuă între persoanele fizice sau juridice independente din punct de vedere juridic și financiar, prin care o persoană denumită francizor acordă altei persoane numită francizat, dreptul și impune obligația de a exploata o afacere în conformitate cu conceptul francizorului.
Acest drept autorizează și obligă pe francizat, în schimbul unei contribuții financiare directe sau indirecte, să utilizeze mărcile de produse și/sau de servicii, alte drepturi de proprietate industrială protejate, know-how-ul, drepturile de autor, precum și însemne ale comercianților, beneficiind de un aport continuu de asistență comercială și/sau tehnică din partea francizorului, în cadrul și pe durata contractului de franciză încheiat între părți în acest scop” [art. 1 alin. (1) O.G. nr. 52/1997 privind regimul francizei, republicată].
Reţeaua de franciză are ca punct de plecare francizorul şi activitatea acestuia . Raportat şi legat contractual de francizor va fi fiecare dintre ceilalţi membri ai reţelei, respectiv fiecare francizat. Acesta este modul prin care se construieşte reţeaua de franciză : o succesiune de contracte care îl au pe de-o parte pe francizor, întotdeauna, ca partener contractual, iar pe de altă parte sunt mai mulți comercianţi independenţi, care vor desfăşura activitatea care face obiectul francizei întocmai francizorului.
Reţeaua, ca entitate de sine stătătoare, nu are identitate juridică proprie. Reţeaua este o realitate virtuală, creată prin şi de către contractele semnate între membrii săi. Deoarece aceste contracte sunt bipartite (semnate de francizor şi pe rând, de fiecare dintre francizaţi) ele vor contura indirect şi legăturile care se stabilesc între francizaţii aceleiaşi reţele, chiar dacă între aceştia nu există raporturi contractuale.
Acţiunea concertată a francizorului şi francizaţilor acestuia, dictată de interesele lor comune, conlucrarea sub semnul căreia stau contractele de franciză, vor da consistenţă reţelei şi vor contura existenţa acesteia. Deci, existenţa reţelei de franciză este dată de multitudinea de contracte pe care le încheie francizorul şi prin care se reglementează direct raporturile între acesta şi francizatul cu care contractul este semnat, dar indirect, inclusiv raporturile dintre francizaţii aceluiași francizor.
Acest gen de acord de comercializare, organizând distribuţia produselor pe verticală (părţile operează la niveluri diferite ale lanţului producţie-distribuţie) şi repartizând piaţa (aceasta este raţiunea de a exista a reţelei, atragerea clientelei, fidelizarea acesteia pe o arie cât mai cuprinzătoare, tocmai prin împărţirea zonelor de acţiune) are un potenţial negativ asupra pieţei, fiind susceptibil a afecta concurenţa. De altfel, din punctul de vedere al normelor incidente în materie concurențială, acordurile de franciză sunt privite ca fiind excepţii de la interzicerea practicilor anticoncurenţiale, însă doar în situația în care anumite condiţii sunt respectate. În cazul respectării condiţiilor impuse de normele legale – europene și naționale – în materia practicilor anticoncurențiale, francizorul va putea să-şi organizeze reţeaua sa de distribuţie conform necesităţilor, cât și a dorinţelor sale „expansioniste”.
Reţeaua va fi creată prin semnarea unui număr de contracte de franciză, aşa cum francizorul consideră că este necesar pentru a acoperi piaţa pe care doreşte să o acopere. Contractele, având conţinut similar, vor impune francizaţilor comportamente similare, creând aşadar o adevărată structură normativă la nivelul reţelei.
Așa cum însuși actul normativ care reglementează franciza în spațiul românesc o spune, „contractul de franciză trebuie să reflecte interesele membrilor rețelei de franciză […] prin menținerea identității comune și a reputației rețelei de franciză” (art. 3).
Mai apoi, același act normativ arată că „în temeiul relaţiilor contractuale cu francizaţii săi, francizorul va întemeia o reţea de franciză, care trebuie exploatată astfel încât să permită păstrarea identităţii şi renumelui reţelei pentru care francizorul este garant” [art. 11, alin. (2)].
Același act normativ face referire expresă la obligațiile francizorului și ale francizatului: francizatul este dator „să dezvolte reţeaua de franciză şi să menţină identitatea sa comună, precum şi reputaţia acesteia” [art. 4, alin. (3) lit. a) O.G. nr. 52/1997 privind regimul francizei, republicată], iar francizorul „în calitate de iniţiator şi garant al reţelei de franciză, trebuie să vegheze la păstrarea identităţii şi a reputaţiei reţelei de franciză” [art. 15, alin. (2) O.G. nr. 52/1997 privind regimul francizei, republicată].
O altă referire la identitatea și reputația comună a rețelei este făcută în legătură cu marca francizorului. Marca este „simbol al identităţii şi al renumelui reţelei de franciză, constituie garanţia calităţii produsului/serviciului/tehnologiei furnizate consumatorului. Această garanţie este asigurată prin transmiterea şi prin controlul respectării know-how-ului, furnizarea unei game omogene de produse şi/sau servicii şi/sau tehnologii.” [art. 6 alin. (2) O.G. nr. 52/1997 privind regimul francizei, republicată].
Așadar, se observă o preocupare pentru respectarea identității și reputației rețelei de franciză, fiind semnalate obligații în sarcina francizorului și francizatului, deopotrivă. Actul normativ stipulează aceste obligații, de natură principială, totodată stipulează că însuși contactul de franciză trebuie să reflecte interesele membrilor rețelei de franciză, deci constituirea rețelei se realizează avându-se în vedere pe de o parte interesul comun, iar pe de altă parte identitatea și reputația rețelei, care sunt, de asemenea, comune. Mai apoi, pe parcursul derulării raporturilor contractuale, modalitatea concretă de derulare a activităților presupuse de sistemul de franciză va trebui să fie îndreptată la fel, spre menționerea identității și reputației comune, textul O.G. nr. 52/1997 referindu-se la „modalitate de exploatare”.
Francizorul este, prin chiar actul normativ, expres desemnat ca fiind garantul menținerii identității și reputației comune a rețelei de franciză. Astfel, francizorul răspunde față de fiecare dintre francizații săi cu privire la menținerea în fața clienților, a unei identități comune în ce privește produsele, respectiv serviciile pe care le oferă francizații – membri ai rețelei.
În timp ce francizorul este responsabil direct, pe temei contractual față de francizații săi, el este responsabil și indirect față de clienții atașați mărcii, care se așteaptă să găsească produsul ori serviciul în standardul calitativ întâlnit anterior (a devenit butadă afirmația că sorbind dintr-o sticlă de Coca-cola ne așteptăm să… bem Coca-cola).
Marca constituie pentru client garanția calității produsului ori a serviciului, iar pentru ca această garanție să funcționeze este necesar ca know-how-ul francizorului să fie transmis francizatului (obligație contractuală esențială în contractul de franciză, transmisiunea know-how-ului se realizează prin înmânarea manualului operațional al francizei, care detaliază modalitatea de desfășurare a operațiunilor presupuse de realizarea obiectului de activitate a francizei), iar pe parcursul derulării contractului de franciză, francizorul să urmărească îndeaproape ca know-how-ul să fie respectat întocmai în vederea obținerii unui rezultat identic (produs, ori serviciu, în funcție de natura francizei).
Așadar, de menținerea identității comune și a reputației rețelei în cadrul rețelei de franciză este garant francizorul, contractul fiind obligatoriu încheiat – așa cum O.G. nr. 52/1997 privind regimul juridic al francizei o precizează – astfel încât să reflecte interesele membrilor rețelei de franciză: francizor și francizați.
Garanția menținerii identității comune și a reputației rețelei de franciză, de care vor beneficia direct francizații, alături de francizor, cât și indirect clienții mărcii – care sunt consumatori – este una impusă legal ca fiind contractuală, reflectată de obligațiile părților în contractul de franciză.
În acest scop, în cadrul exploatării rețelei de franciză – în parafrazarea art. 11 al O.G. nr. 52/1997 – unele dintre activitățile necesare derulării activității de comercializare sunt rezervate francizorului, precum activitățile de marketing (cu excepția publicității locale, care cade în sarcina francizaților, aceștia în mod firesc fiind mai subtili cunoscători ai realităților zonei în care activează).
Tot pentru a standardiza și drept urmare, a omogeniza (nu doar a fluidiza!) activitatea în cadrul rețelei, francizorul pune la dispoziția francizaților anumite softuri, care le pot facilita acestora diverse operațiuni de gestiune, ori de efectuare a programărilor, respectiv a comenzilor. În cazul în care contractul de franciză prevede o astfel de obligație a francizorului de a pune la dispoziție respectiva facilitate, există automat obligația corelativă a francizatului de a utiliza respectivul program; francizatul nu va putea negocia contractul său în sensul de a adera doar parțial la sistemul
francizorului de comercializare a produsului, fără să își însușească în totalitate conceptul francizorului.
Crearea și uzul unei pagini de internet în vederea promovării produselor ori a serviciilor, ori chiar pentru plasarea de comenzi, ori de rezervări se realizează adesea de către francizor, sub umbrela denumirii website-ului. Aceasta se întâmplă inclusiv în cazul în care unele dintre comenzi, ori rezervări sunt făcute de către clienți pentru anumiți francizați în funcție de aria teritorială unde aceștia sunt situați (oricum francizorul nu poate interzice francizaților utilizarea internetului, excepție făcând interdicția vânzărilor active) .
În situațiile enunțate, care sunt reglementate contractual, în respectarea dispozițiilor legale în materia normelor anticoncurențiale, francizorul își exercită rolul activ de garant al menținerii identității și reputației rețelei de franciză, punând, cu investiții proprii importante la dispoziția francizaților infrastructuri informatice care le sunt necesare, ori indispensabile acestora pentru desfășurarea activității în rețea.
Utilizarea unor asemenea „facilități” trebuie întotdeauna reglementată contractual; la fel campaniile de marketing pe care le organizează și gestionează francizorul : să dăm ca exemplu trimiterea de email-uri către clienții unei rețele de franciză, având ca obiect de activitatea închirierea de mașini, care dorește să anunțe clienții despre introducerea unui nou serviciu. Alte tipuri de informații, se îndreaptă de la francizat către francizor, în vederea executării obligației legale a acestuia din urmă de a dezvolta rețeaua de franciză și de a menţine identitatea sa comună şi reputaţia acesteia, precum felul în care clienții au perceput un anumit tip de produs (de exemplu, cosmetic, ori curs de învățare a unei limbi străne, ori cursuri de robotică… exemplele pot continua).
Aceste informații pot conține inclusiv date cu caracter personal, care în unele cazuri ar putea fi și anonimizate ori supuse pesudonimizării. Cum se vor gestiona, în concret aceste aspecte care vizează protecția procesării și a transferului datelor cu caracter personal se analizează de la caz la caz și se reglementează contractual prin contractul dintre francizor și francizați.
Cel puțin câteva întrebări de natură practică se pot adresa întotdeauna în vederea reglementării schimburilor de date între francizat și francizor:
a) ce informații sunt necesare francizorului (a fi transmise de către francizat) pentru a gestiona în mod eficient sistemul?
b) datele personale ale clienților vor fi colectate/procesate?
c) datele personale ale clienților vor fi transferate? unde anume?
d) se fac profilări (profilul cumpărătorului)? ce date sunt colectate în acest scop?
Indiferent dacă doar o parte dintre întrebările de mai sus au un răspuns afirmativ, atunci când se procesează date cu caracter personal în temeiul relațiilor de franciză, relația dintre francizor și francizat în legătură cu acest aspect – prelucrarea și transferul datelor cu caracter personal – trebuie reglementată contractual și calificată prin intermediul acordului de prelucrare a datelor cu caracter personal.
2. Calificarea raporturilor dintre francizor și francizat din punct de vedere al reglementărilor în materia protecției datelor cu caracter personal
Raporturile generate de contractul de franciză, care este încheiat astfel încât să reflecte interesele membrilor rețelei de franciză sunt complexe: pe de o parte este vorba despre un contract de colaborare [însuși actul normativ spune că „franciza se bazează pe o colaborare continuă și strânsă” (art. 1), dar şi că francizatul are „obligaţia de a colabora cu loialitate la reuşita reţelei la care a aderat” [art. 2.3. lit. a) și d)], la care francizatul a aderat întocmai [„francizatul este un profesionist, persoană fizică sau juridică, selecţionat de francizor, care aderă la principiul omogenităţii reţelei de franciză, aşa cum este ea definită de către francizori” art. 1, alin. (3) O.G. nr. 52/1997], iar pe de altă parte francizatul și francizorul sunt independenți din punct de vedere juridic și financiar [art. 1 alin. (1) O.G. nr. 52/1997].
Urmează deci, a analiza din perspectiva regulilor impuse de legislația privind protecția datelor cu caracter personal care sunt raporturile dintre francizor și francizații săi. Analiza trebuie să țină cont de cei doi paramentri: colaborarea părților, respectiv structura omogenă care este premiza și totodată rezultatul creării rețelei de franciză și independența părților. Având în centrul său protecția drepturilor și libertăților fundalementale ale persoanelor fizice și în special a dreptului acestora la protecția datelor cu caracter personal Regulamentul (UE) 679/2016 menționează posibilitatea ca una sau mai multe entități să acționeze împreună în legătură cu datele cu caracter personal, precum:
• Protecția drepturilor și libertăților persoanelor vizate, precum și responsabilitatea și răspunderea operatorilor și a persoanelor împuternicite de operator, inclusiv în ceea ce privește monitorizarea de către autoritățile de supraveghere și măsurile adoptate de acestea, necesită o atribuire clară a responsabilităților în temeiul prezentului regulament, inclusiv în cazul în care un operator stabilește scopurile și mijloacele prelucrării împreună cu alți operatori sau în cazul în care o operațiune de prelucrare este efectuată în numele unui operator (considerentul 79);
• „Operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern (art. 4, pct. 7);
• În cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de prelucrare, aceștia sunt operatori asociați [art. 26 alin. (2)].
Așadar, spre deosebire de situația în care un operator împuternicește o altă persoană (fizică, juridică, autoritate publică ori agenție etc.) să prelucreze date cu caracter personal în numele operatorului, atunci când cel puțin doi operatori stabilesc atât scopurile, cât și mijloacele de prelucrare în comun, conform Regulamentului, aceștia vor avea calitatea de operatori asociați cu toate consecințele care decurg din această calitatea, inclusiv în ce privește răspunderea față de persoana vizată.
Clarificări aduce Ghidul 7/2020 al European Data Protection Board (EDPB) cu privirire la conceptele de operator și împuternicit în Regulamentul general privind protecția atelor cu caracter personal.
Ghidul încearcă să definească „scopul”, respectiv „mijloacele” prin răspunsul la întrebarea „de ce”, respectiv „cum”: scopul este reprezentat de rezultatul dorit prin prelucrarea respectivă (de exemplu: realizarea unei rezervări în salonul francizatului), în timp ce mijlocul este modalitatea prin care este atins rezultatul (în continuarea exemplului: realizarea rezervării de către client să fie efectuată prin intermediul website-ului francizorului, pus la dispoziția rețelei în acest scop). Ghidul diferențiază între mijloacele esențiale și cele ne-esențiale, primele fiind cele decise de către operator și referindu-se, evident la aspectete importante, recum tipurile de date, durata prelucrării, destinatarii și persoanele vizate, în timp ce mijloacele ne-esențiale se referă la alegerea unui anumit tip de hardware ori software, ori referindu-se la anumite măsuri de (pct. 38).
Distincția făcută de EDPB (sau, cum se numea anterior, Grupul de lucru pentru art. 29) a vizat să clarifice care este punctul de cotitură de la care un prestator de servicii, deci, o entitate care prelucrează date cu caracter personal pentru alta, nu mai poate fi considerat un „simplu” împuternicit, ci este operator, respectiv operator asociat cu entitatea nebeneficiară a prelucărilor .
Deși Ghidul EDPB oferă calificarea mijloacelor în esențiale, respectiv ne-esențiale, în practică distincția este greu de făcut; de fiecare dată când se optează pentru unele sau altele dintre mijloace, acestea urmărind un scop particular, decizia dacă un mijloc este sau nu esențial este raportată la exemple particulare .
Ghidul vorbește despre decizii convergente ale operatorilor privind prelucrarea datelor cu caracter personal, respectiv cele care se complinesc una pe cealaltă, fiind necesare prelucrării ca aceasta să se desfășoare conform modului în care s-a desfășurat; în acest context argumentul determinant și definitiv este acela că prelucrarea nu s-ar fi putut realiza fără participarea fiecărei părți implicate.
Spre deosebire de cazul operatorilor asociați, atunci când unul dintre operatori nu realizează prelucrarea și în scop propriu, ci doar în numele ceilulalt operator – fiind unul singur care determină
scopul prelucrării – ne aflăm în situația unei relații operator – împuternicit (Ghidul EDPB 7/2020 pct. 53).
Cu privire la scopurile stabilite în comun, Ghidul EDPB aduce clarificări – în sensul în care și CJUE (Curtea de Justiție a Uniunii Europene) a statuat – explicând că stabilirea în comun a scopurilor nu înseamnă că automat scopul trebuie să fie același pentru fiecare dintre operatorii asociați (în analiza de față, francizor și francizat), ci scopurile lor trebuie să fie strâns legate, ori complementare (pct. 58).
În Cauza Fashion ID CJUE a apreciat că un operator, prin integrarea unui plugin în pagina sa de internet (în speță butonul Facebook „Îmi place”) în scop publicitar – pentru a mări vizibilitatea produselor sale în cadrul rețelei sociale – a participat alături de Facebook, care i-a pus la dispoziție respectivul plug-in, la definirea scopului și prelucrării respectivelor date. În concret, atunci când un utilizator ajungea pe pagina de internet a Fashion ID, informațiile cu privire la adresa IP și la șirul de caractere al navigatorului acestuia erau transferate automat către Facebook atunci când s-a încărcat pagina de internet a Fashion ID, indiferent dacă utilizatorul a accesat butonul Facebook „Îmi place” și indiferent dacă utilizatorul dispunea sau nu de un cont de Facebook (pct. 1).
Instanța a reținut că decizia de instalare a plug-in-ului a fost luată de către operator pentru a spori vizibilitatea produselor acestuia prin intermediul rețelei sociale (Facebook). În același timp, se pare că datele transferate către Facebook Ireland sunt utilizate în scopurile comerciale proprii ale acestei entități (Cauza C-40/17 pct. 104) CJUE a mai subliniat și că „în ciuda faptului că utilizarea comercială specifică a datelor nu poate fi aceeași, în general, atât pârâta, cât și Facebook Ireland par să urmărească scopuri comerciale într-un mod în care par să se completeze reciproc. În acest mod, chiar dacă nu sunt identice, există o unitate a obiectivelor: există un scop comercial și publicitar” (Cauza C-40/17 pct 105).
Așadar, conform poziției CJUE, în cazul în care este identificat un beneficiu pentru fiecare dintre operatorii asociați, rezultat din aceeași prelucrare, chiar dacă în concret rezultatul este diferit, inclusiv cantitativ pentru fiecare dintre operatori, aceștia vor fi considerați operatori asociați în ce privește respectiva prelucrare. Faptul că cei doi operatori nu sunt „asociați” decât pentru două dintre stagiile prelucrării – colectarea și divulgarea prin transmitere – nu determină o altă calificare a relației dintre părți, ei fiind considerați operatori asociați; mai mult se poate argumenta că de la bun început operatorul care deține website-ul a colectat datele, având aprioric scopul de a le transfera către Facebook, pentru ca acesta să continue procesarea în conformitate cu scopurile proprii.
În același sens s-a pronunțat CJUE și anterior, cu ocazia soluționării Cauzei C-210/16 Wirtschaftsakademie Schleswig-Holstein, hotărârea din 5 iunie 2018, ECLI:EU:C:2018:388 – o pagină pentru fani, găzduită de Facebook, care oferă servicii de formare , prin instalarea de fișiere de tip „cookies”, care a permis Facebook să realizeze statistici are ca scop o mai bună promovare a activității sale, sub aspectul creării unui conținut interesant tipului de vizitator vizat.
Aceste prelucrări de date cu caracter personal vizează în special să permită, pe de o parte, Facebook să își amelioreze sistemul de publicitate pe care îl difuzează prin intermediul rețelei sale și, pe de altă parte, administratorului paginii pentru fani să obțină statistici întocmite de Facebook pe baza vizitelor acestei pagini, în vederea gestionării promovării activității sale, permițându-i să cunoască, de exemplu, profilul vizitatorilor care apreciază pagina sa pentru fani sau care utilizează aplicațiile sale, în scopul de a putea să le propună un conținut mai pertinent și de a dezvolta funcționalități
susceptibile să îi intereseze mai mult (Cauza C-210/16 pct. 34).
În aceste împrejurări, trebuie să se considere că administratorul unei pagini pentru fani găzduite pe Facebook, precum Wirtschaftsakademie, participă, prin acțiunea sa de stabilire a unor parametri în funcție, printre altele, de audiența sa țintă, precum și de obiective de gestionare sau de promovare a activităților sale, la stabilirea scopurilor și a mijloacelor de prelucrare a datelor personale ale vizitatorilor paginii sale pentru fani.
Pentru acest motiv, acest administrator trebuie să fie, în cazul de față, calificat drept operator, în cadrul Uniunii, împreună cu Facebook Ireland, în sensul articolului 2 litera (d) din Directiva 95/46” (Cauza C-210/16 pct. 39).
Așadar, CJUE a arătat că chiar dacă cele două entități operatoare nu urmăresc același scop publicitar, dar obțin, fiecare, un beneficiu, scopul prelucrării fiind stabilit de către fiecare dintre ele, vor fi considerate operatori asociați (Ghidul EDPB pct. 60).
Aplicând raționamentul mutatis mutandis în cazul francizei, observăm că principial rețeaua este reglementată ca fiind omogenă, creată în beneficiul francizorului și al francizaților deopotrivă, care împreună trebuie să conlucreze la menținerea identității și reputației comune a acesteia, al cărei garant este francizorul. Așadar, francizorul este operator de date în nume propriu, din perspectiva interesului său comercial, al gestionării rețelei de franciză pe care a înființat-o conform deciziei sale unilaterale. Pe de altă parte, francizații, pe lângă că aderă la rețea așa cum ea a fost creată, respectându-i întru-totul regulile, în cadrul activităților pe care le desfășoară devin la rândul lor operatori de date cu caracter personal, pentru anumite operațiuni, care chiar dacă sunt dictate de către francizor sunt realizate într-un scop care poate fi diferit în cazul francizatului.
Luând exemplul identificat mai sus, programarea efectuată pentru salonul unui anume francizat X va fi realizată pentru scopul comercial direct și imediat al acestuia (realizarea unei încasări ca urmare a prestării de servicii), în ceea ce îl privește pe francizor scopul poate fi atât unul comercial (încasarea redevenței corespunzătoare serviciului prestart în urma rezervării), cât și unul de promovare (un sistem unic, general de rezervări va fi mai ușor accesibil clienților, mai vizibil) și unul de gestionare (rețeaua beneficiind de un sistem unic de rezervări va fi mai bine organizată, accesul clienților este standardizat, nu supus arbitrariului programărilor telefonice).
Deci, francizorul își va indeplini funcția de garant al identității comune și reputației rețelei de franciză.
În ce privește aprecierea calității de operatori asociați din perspectiva mijloacelor prelucrării, pe care aceștia ar trebui, de asemenea, să le decidă în comun, Ghidul EDPB subliniază că nu este necesar ca toate mijloacele să fie definite împreună – situația în care operatorii intervin în stadii diferite și deci, au implicare diferită (pct. 60).
Mai mult, mijloacele pot fi puse la dispoziție de către unul dintre operatori, în favoarea altuia, iar acesta din urmă, prin decizia de a folosi respectivul mijloc, luând de fapt o decizie proprie în determinarea mijloacelor de prelucrare (pct. 61). Acesta este cazul platformelor deja create, a instrumentelor aferente și a infrastructurilor care pot fi folosite în comun (pct. 62).
Așa cum arăta CJUE în Cauza C-40/17 Fashion ID unul dintre operatori a decis cu privire la utilizarea unui mijloc de prelucrare – acel plugin instalat pe web site – care servește drept vehicul pentru colectarea și pentru transmiterea datelor cu caracter personal, în timp ce celălalt operator a furnizat respectivul mijloc, pe care de altfel îl pune la dispoziția unei multitudini de utilizatori și a cărui utilizare o reglementează printr-un document denumit „Controller Addendum”.
După cum se observă așadar, și din perspectiva mijloacelor de prelucrare, relația dintre francizor și francizat este calificabilă drept una de operatori asociați: francizorul pune la dispoziția francizatului anumite mijloace, iar această procesare este imposibilă fără participarea ambelor părți, respectiv a francizatului la momentul la care uzează aceste mijloace. Pe de altă parte, este evident că francizorul nu este un simplu mandatat al francizatului, având în sarcină – pentru a continua exemplul dat mai sus și care viza efectuarea de programări prin intermediul website-ului – să colecteze formularele de programare și/sau abonare și să le transfere francizatului; pe de altă
parte, scopul operațiunilor de prelucrare a datelor cu caracter personal este stabilit de către francizor în vederea derulării raporturilor de franciză.
Așa cum tot jurisprudența CJUE a arătat în Cauza C-25/17 vizând Comunitatea Martorilor lui Jehova , nu este necesar ca ambii operatori să aibă acces la datele personale colectate sau ca unul dintre operatori (Comunitatea) să dea instrucțiuni cu privire la colectare; s-a considerat că organizând și coordonând activitatea membrilor săi, Comunitatea a stabilit scopul și mijloacele prelucrărilor în vederea realizării obiectivelor acesteia . Mai mult, comunitatea religioasă a fost considerată operator, împreună cu membrii săi predicatori, în ceea ce privește prelucrarea unor date cu caracter personal efectuată de aceștia din urmă în cadrul unei activități de predicare din casă în casă organizate, coordonate și încurajate de această comunitate, fără să fie necesar ca respectiva comunitate să aibă acces la date și fără să fie necesar să se fi stabilit că ea a dat membrilor săi orientări scrise sau instrucțiuni referitoare la o astfel de prelucrare (Cauza C-25/17 Jehovan todistajat, pct. 75).
Argumentele enunțate mai sus se pot transpune și asupra regulilor după care funcționează relațiile de franciză în general: este posibil ca francizorul să nu aibă acces la datele procesate de către francizații rețelei sale, dar va da instrucțiuni scrise francizaților săi cu privire la o serie de aspect operaționale, inclusiv la cele care se referă la procesarea datelor cu caracter personal. Deci, dacă accesul la date nu este o condiție sine qua non pentru ca francizorul să fie considerat operator asociat alături de francizat, dacă chiar în lipsa unor instrucțiuni scrise referitoare la prelucrare un operator a fost considerat operator asociat, cu atât mai mult în cazul francizei, unde instrucțiunile de operare sunt omniprezente, francizorul urmează să fie calificat drept operator asociat alături de francizați. Franciza, din felul în care este reglementată, poate fi considerată un caz în care calitatea de operatori asociați rezultă din lege 21: în toate cazurile în care sunt prelucrate date cu caracter personal în comun de către francizor și francizat, aceștia vor stabili împreună scopurile și mijloacele prelucrării și chiar dacă vor cei doi vor interveni în stadii diferite ale prelucrării.
Desigur că nu este obligatoriu ca pentru toate operațiunile de prelucrare francizorul să aibă, alături de francizat, calitatea de operator asociat, fiecare dintre cei doi prelucrând date atât împreună, cât și separat. Aceste aspecte se identifică de la caz la caz, diferind de la o rețea la alta.
3. Consecințe ale calificării relației dintre francizor și francizat ca fiind una de operatori asociați: răspunderea solidară
Regulamentul GDPR precizează în considerentul (146) că „în cazul în care operatorii sau persoanele împuternicite de operatori sunt implicate în aceeași prelucrare, fiecare operator sau fiecare persoană împuternicită de operator ar trebui să fie considerată răspunzătoare pentru întregul prejudiciu. Cu toate acestea, atunci când procedurile juridice care le vizează sunt conexate, în conformitate cu dreptul intern, despăgubirile pot fi împărțite în funcție de răspunderea fiecărui operator sau a fiecărei persoane împuternicite de operator, cu condiția să se asigure despăgubirea integrală și efectivă a persoanei vizate care a suferit prejudiciul. Orice operator sau persoană împuternicită de operator care a plătit despăgubiri integrale poate formula ulterior o acțiune în regres împotriva altor operatori sau persoane împuternicite de operatori implicate în aceeași prelucrare”.
Operatorii asociați stabilesc într-un mod transparent responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul prezentului regulament, în special în ceea ce privește exercitarea drepturilor persoanelor vizate și îndatoririle fiecăruia de furnizare a informațiilor prevăzute la articolele 13 și 14, prin intermediul unui acord între ei, cu excepția cazului și în măsura în care responsabilitățile operatorilor sunt stabilite în dreptul Uniunii sau în dreptul intern care se aplică acestora.
Acordul poate să desemneze un punct de contact pentru persoanele vizate [art. 26 alin. (1) din Regulamentul GDPR].
Regulamentul GDPR impune ca acordul dintre operatorii asociați să reflecte în mod adecvat rolurile și raporturile respective ale operatorilor asociați față de persoanele vizate. Esența acestui acord este făcută cunoscută persoanei vizate [art. 26 alin. (2)]. Cu toate acestea, indiferent de clauzele acordului […] persoana vizată își poate exercita drepturile în temeiul prezentului regulament cu privire la și în raport cu fiecare dintre operatori [art. 26 alin. (2)].
S-a afirmat că esența acestei dispoziții este că rolurile și responsabilitățile nu vor fi de la sine înțelese de către persoanele vizate dacă nu le vor fi aduse la cunoștință.
Chiar în prezența unui acord care să aloce între operatorii asociați rolurile, persoana vizată se va putea îndrepta împotriva oricăruia dintre cei doi. Articolul 82 alin. (4) vine în completarea acestei dispoziții, stipulând că fiecare operator este răspunzător pentru întregul prejudiciu pentru a asigura despăgubirea efectivă a persoanei vizate. Rațiunea reglementării are ca motiv însăși intenția Regulamentului GDPR de a asigura o reală și completă protecție a persoanelor vizate, a căror posibilitate de a-și exercita drepturile să nu fie îngreunată prin a le obliga să analizeze rolurile pe care fiecare dintre operatori le are în legătură cu prelucrarea datelor, respectiv a răspunderii fiecăruia .
Răspunderea operatorilor asociați este una solidară , cel care a reparat integral prejudiciul având drept de regres împotriva celuilalt operator asociat, desigur proporțional contribuției sale [„în cazul în care un operator sau o persoană împuternicită de operator a plătit, în conformitate cu alineatul (4), în totalitate despăgubirile pentru prejudiciul ocazionat, respectivul operator sau respectiva persoană împuternicită de operator are dreptul să solicite de la ceilalți operatori sau celelalte persoane împuternicite de operator implicate în aceeași operațiune de prelucrare recuperarea acelei părți din despăgubiri care corespunde părții lor de răspundere pentru prejudiciu, în conformitate cu condițiile stabilite la alineatul (2)” – art. 82 alin. (5) Regulamentul GDPR].
Așadar, trebuie menționat că răspunderea solidară nu trebuie înțeleasă ca fiind și egală, ci, dimpotrivă, ea este proporțională, de aici rezultând și importanța stabilirii rolului și responsabilității fiecărui operator.
Așadar, esența acordului între cei doi operatori asociați – francizorul și francizatul – este repartizarea rolurilor și a responsabilității fiecăruia . Se observă că termenul întrebuințat în limba engleză este acela de „arrangement”, fiind tradus în limba română prin „acord”, iar nu prin „contract”.
Așa cum judicios s-a precizat în doctrina de specialitate , consultările orale în vederea stabilirii regulilor care guvernează raporturile dintre operatorii asociați nu sunt suficiente din prisma principiului responsabilității. Deci, chiar dacă Regulamentul nu o spune explicit, documentul va trebui, din rațiuni de probațiune să fie un înscris, altfel neputându-se proba în fața autorității de supraveghere respectarea pricipiilor prelucrăriilor: legalității, echității și transparenței, reducerii la limită a datelor, al exactității, al proporționalității, al limitării legate de scop, integrității și confidențialității și al responsabilității (care este îndeplinit atunci când operatorul poate proba respectarea celorlalte principii).
Regulamentul vorbește doar despre esența acordului, fără a face referire la clauze contractuale specifice. Având însă ca subiect prelucrarea datelor cu caracter personal de către operatori, dispozițiile din art. 28 sunt, de asemenea incidente, drept urmare în conținutul contractului se vor regăsi clauze referitoare la : obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate, obligații de confidențialitate, măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate, condițiile de contractare cu un împuternicit, obligațiile de ștergere ori de returnare a datelor la încetarea contractului, obligații de informare necesare pentru a demonstra îndeplinirea obligațiilor enumerate mai sus.
Alte clauze, a căror inserare va contura conținutul contractului, pot fi : posibilitatea rezilierii contractului pentru nerespectarea obligațiilor, obligațiile care supraviețuiesc contractului, obligația de asistență reciprocă în vederea respectării obligațiilor impuse de Regulamentul GDPR – este de menționat obligația de a înștiința de îndată co-contractantul cu privire la apariția unui incident de securitate, deoarece termenul legal de 72 de ore pentru a informa autoritatea de supraveghere este unul scurt, ținând cont de organizarea faptică a activității în rețeaua de franciză.
Obligațiile care țin de esența contractului care reglementează relația de operatori asociați trebuie, conform Regulamentului GDPR, să fie aduse la cunoștința persoanei vizate; în mod practic aceasta se va realiza prin conținutul notei de informare – doar astfel se va putea îndeplini condiția transparenței pe care o impune, de asemenea Regulamentul. Nota de informare publicată pe website trebuie ca în termeni cât mai preciși să indice toate rețelele de comunicare unde are pagini (fie de
comunicare, grupuri, ori pentru anumite produse); simetric și pagina rețelei de comunicare trebuie să indice operatorul . În cazul în care un punct de contact a fost stabilit prin acordul dintre operatorii asociați [art 26 alin. (1) al Regulamentului GDPR vorbește de o posibilitate, iar nu de o obligativitate], acesta va fi adus la cunoștința persoanei vizate tot prin intermediul notei de informare.
În cadrul rețelelor de franciză, dacă francizorul este singurul care deține un website pentru întrega rețea, este cu atât mai mult evident că responsabilitatea de informare îi va reveni acestuia și punctul de contact trebuie gestionat tot de către francizor. Pentru a facilita rapiditatea de desfășurare a procesului de sesizare a autorității de supraveghere, francizorul are în toate situațiile interesul de a fi punct de contact, pentru ca persoana vizată să i se adreseze direct în exercitarea drepturilor sale.
Părțile trebuie să țină cont, în cazul francizei internaționale – și ne referim aici strict la state aflate în domeniul de aplicare a Regulamentului GDPR, deci un transfer care privește mai mult de un stat din EEA+Norvegia, Lichtenstein și Islanda – că trebuie să desemneze un responsabil, un leader al acordului, iar acesta va determina și competența autorității de supraveghere – leader .
În proaspăt dizidenta UK, autoritatea de supraveghere – ICO (Information Commissioner’s Office) a emis, de asemenea, un ghid (GDPR guidance: Contracts and liabilities between controllers and processors ) prin care indică responsabilitățile operatorilor asociați, inclusiv pe aceea de a informa persoanele vizate asupra faptului că prelucrează datele ca operatori asociați (și principalele aspecte ale relației dintre cei doi operatori asociați) prin intermediul notei de informare. Deși persoanele vizate trebuie informate cu privire la punctul de contact, oricare dintre operatorii asociați va fi răspunzător în cazul în care o persoană vizată i se adresează, respectiv se îndreaptă împotriva sa – aceasta, indiferent de cele stabilite între operatori cu privire la punctul de contact și indiferent dacă a fost sau nu adus la cunoștința persoanei vizate că doar unul dintre operatori este desemnat să răspundă.
În cazul în care doar unul dintre operatorii asociați a fost ținut la plata de daune interese persoanei vizate, acesta se poate îndrepta la rândul său împotriva celuilalt operator, ori împotriva împuternicitului pentru partea de responsabilitate ce revine acestora și nu lui însuși. Ghidul mai precizează că, deși nu există cerința unui contract, rolurile și responsabilitățile fiecărui operator trebuie stabilite în mod transparent. Fiecare dintre operatorii asociați va răspunde și în fața autorității de supraveghere.
Câteva concluzii de natură practică: întotdeauna francizorul, anterior construirii sistemului francizabil va trebui să se aplece și asupra chestiunii protecției datelor cu caracter personal prelucrate în cadrul rețelei sale.
Primul pas este să răspundă la întrebările de necesitate: ce date se prelucrează și dacă acestea sunt necesare/eficientizează sistemul; ce date sunt prelucrate în comun de către francizor și francizați, în ce măsură datele pot fi anonimizate, astfel încât practic să nu existe un transfer de date de la francizați la francizor; în cazul în care este vorba de o franciză internațională, trebuie identificat care este locul unde se vor transmite datele, ținându-se cont că transferul spre state terțe (în afara spațiului EEA) este în principiu prohibit.
În continuare, francizorul va stabili scopul și mijloacele prelucrării datelor cu caracter personal (inclusiv mijloacele ne-esențiale, deoarece în vederea respectării omogenității rețelei, soft-urile și aparatura utilizate sunt alese de către francizor).
Relația dintre francizor și francizații rețelei sale în ce privește obligațiilor lor în legătură cu protecția datelor cu caracter personal va trebui consființită contractual, obligațiile părților fiind dintr-un început delimitate și bine clarificate. În cazul în care este vorba despre o expansiune internațională, trebuie ținut cont de faptul că pot interveni mai multe autorități de supraveghere în legătură cu posibililele incidente, iar în cazul în care cel puțin una dintre părți nu se va afla în spațiul de aplicare a Regulamentului GDPR, trebuie ținut cont că transferul datelor cu caracter personal este, în principiu, prohibit.