Zawieranie umów w formie elektronicznej nie przestaje budzić wątpliwości (o czym pisaliśmy już na blogu). Lista pytań wydłuża się wraz z niedalekim wejściem w życie unijnego rozporządzenia o ochronie danych osobowych (RODO).

RODO przewiduje, że administrator danych będzie mógł powierzyć przetwarzanie takich danych podmiotowi przetwarzającemu (procesorowi), który z kolei będzie mógł zdać się w tym zakresie na dalszego podwykonawcę (subprocesora). W obu przypadkach, umowy powierzające powinny mieć „formę pisemną, w tym formę elektroniczną”. Czy chodzi tu jednak tylko o taką formę elektroniczną, jaką dopuszcza Kodeks cywilny, tzn. z kwalifikowanymi podpisami elektronicznymi (e-podpisami)? Co najmniej pięć argumentów wskazuje, że nie.

Po pierwsze, prawo UE stosuje właściwą sobie terminologię, która nie musi mieć takiego samego znaczenia jak w systemach prawa państw członkowskich – zwłaszcza jeśli przepis prawa unijnego wcale na to nie wskazuje. Jak wskazał Trybunał Sprawiedliwości UE (TSUE), jeśli w przepisie unijnym nie ma wyraźnego odesłania do prawa krajowego, to pojęcia w nim użyte powinno się rozumieć tak samo we wszystkich państwach członkowskich, zapewniając w ten sposób jednolite stosowanie prawa UE (sprawa C-261/09, Mantello – wyrok TSUE z 16 listopada 2010 r., pkt 38). Argumentacja ta znalazła już zastosowanie w odniesieniu do prawa polskiego. W wyroku z maja zeszłego roku TSUE ocenił, że przepis unijny mówiący o doręczaniu wezwań sądowych, bez wyraźnego odesłania do prawa krajowego, nie pozwala oceniać skuteczności takich doręczeń według przepisów Kodeksu postępowania karnego (sprawa C-108/16, Dworzecki – wyrok TSUE z 24 maja 2016 r., pkt. 28-32, 54). Analogicznie przepis RODO o formie elektronicznej, także pozbawiony wyraźnych odesłań do prawa krajowego, nie pozwala oceniać dochowania tej formy według przepisów Kodeksu cywilnego.

Po drugie, uznanie, że umowa z e-podpisami jest umową w formie elektronicznej, a umowa bez takich podpisów – nie, stanowiłoby rozróżnienie, którego RODO nie zawiera. Podobną argumentację zastosował jeden z rzeczników generalnych przy TSUE w opinii z lipca tego roku, dotyczącej rozporządzenia 2015/751 w sprawie opłat interchange. Wskazał, że skoro rozporządzenie nie uzależnia możliwości zrównania trójstronnego systemu kart płatniczych z systemem czterostronnym od tego, czy partner lub agent takiego systemu wydaje karty lub nie, to państwa członkowskie też nie powinny takiego rozróżnienia stosować (sprawa C-304/16, American Express – opinia rzecznika generalnego M. Camposa Sáncheza-Bordony przedstawiona 6 lipca 2017 r., pkt. 86-90). Analogicznie, skoro RODO nie zawiera rozróżnienia na formę elektroniczną kwalifikowaną (z e-podpisem) i zwykłą (bez e-podpisu), to nie ma podstaw dla wprowadzania takiego zróżnicowania w Polsce.

Po trzecie, RODO, mówiąc o „formie pisemnej, w tym elektronicznej”, wyraźnie określa formę elektroniczną jako podtyp formy pisemnej w przeciwieństwie do Kodeksu cywilnego, zgodnie z którym forma elektroniczna jest formą odrębną i równorzędną względem formy pisemnej. Taka zasadnicza rozbieżność między uregulowaniem unijnym i polskim przemawia za stosowaniem ich niezależnie od siebie.

Po czwarte, motyw 32 RODO wyjaśnia, że zwrot „pisemnie, w tym elektronicznie” obejmuje na przykład zaznaczenie okienka wyboru na stronie internetowej lub wybranie odpowiednich ustawień przy korzystaniu z portalu społecznościowego. Co prawda motyw ten odnosi się do formy udzielenia zgody na przetwarzanie danych osobowych, jednak odwołuje się do takiego samego zwrotu, jaki został użyty w odniesieniu do umowy o przetwarzanie danych osobowych.

Po piąte, motyw 10 RODO wskazuje, że rozporządzenie ma usuwać przeszkody w przepływie danych osobowych. Takiemu celowi przeczyłaby możliwość stawiania przez państwa członkowskie dodatkowych wymogów formalnych, jak wymóg opatrzenia niektórych umów e-podpisem. Argumentacja tego typu jest także przyjmowana przez TSUE. Choćby w tegorocznym wyroku TSUE orzekł, że skoro celem aktu, który badał, było określenie wspólnych norm i procedur, to państwa członkowskie nie mogą na pojęcia użyte w tym akcie nakładać dodatkowych przesłanek zaczerpniętych z prawa krajowego (sprawa C-225/16, Ouhrami – wyrok TSUE z 26 lipca 2017 r., pkt. 38-41).

Te pięć argumentów nie pozwala przyjąć, że administrator i procesor lub procesor i subprocesor, umawiając się o przetwarzanie danych osobowych, muszą przygotować dokument z treścią postanowień opatrzony ich e-podpisami.

Dodatkową wątpliwość budzi jednak sytuacja, w której administrator chciałby w takiej umowie o przetwarzanie udzielić procesorowi zgody na dalsze powierzenie przetwarzania danych subprocesorowi. Zgodnie z RODO taka zgoda musi być pisemna. Czy oznacza to, że umowa obejmująca taką zgodę też musi być pisemna? Czy pisemny charakter wymaga – tak, jak ma to miejsce w prawie polskim – odręcznych podpisów? Czy w związku z tym konieczne jest sporządzenie takiej umowy na papierze?

Treść samego RODO nie rozstrzyga tych kwestii. Z jednej strony za dopuszczalnością formy elektronicznej przemawia sygnalizowana już wyżej okoliczność, że RODO uznaje tę formę za podtyp formy pisemnej. Sugerowałoby to, że wszędzie tam, gdzie RODO mówi o czynnościach pisemnych, w grę wchodzi też ich dokonanie elektronicznie. Z drugiej strony przepisy RODO mówiące o „formie elektronicznej, w tym pisemnej” wyraźnie wskazują czynności, do jakich się odnoszą. Przemawiałoby to z kolei za tym, że forma elektroniczna dopuszczalna jest tylko w przypadkach wprost przewidzianych w RODO.

Biorąc pod uwagę szerszy kontekst prawa unijnego, można jednak bronić stanowiska, że strony nie muszą sporządzać na papierze ani podpisywać umowy obejmującej taką zgodę.

W prawie unijnym forma pisemna nie jest rozumiana tak wąsko, jak w prawie polskim, a więc jako dokument obejmujący treść oświadczenia opatrzony własnoręcznym podpisem. Niektóre akty prawa UE wprost wskazują, że forma pisemna obejmuje zapisy przy użyciu środków elektronicznych (np. art. 2 ust. 3 dyrektywy 2002/47 dotyczącej zabezpieczeń finansowych), a inne wymieniają ją obok „formy papierowej”, jako jej alternatywę (np. art. 5 ust. 1 dyrektywy 2008/122 dotyczącej umów timeshare). Takie ujęcia formy pisemnej, także w dyrektywach mających na celu zapewnienie ochrony konsumentów, wskazują, że prawo unijne nie przyjmuje jako zasady, iż „pisemnie” znaczy na papierze i z podpisami.

Podobnie więc jak do formy elektronicznej nie należy automatycznie przyporządkowywać wymogu e-podpisów dlatego tylko, że tak przewiduje Kodeks cywilny, tak również formy pisemnej nie należy „wzbogacać” wymogiem podpisów własnoręcznych.

Przemawia za tym dodatkowo fakt, że polskie, restrykcyjne podejście do formy pisemnej nie jest powszechne. Szerokie definicje takiej formy obecne są w europejskich zasadach prawa umów (PECL), modelowym prawie handlu elektronicznego (MECL) i zasadach międzynarodowych kontraktów handlowych (Zasady UNIDROIT). Art. 1:301(6) PECL wskazuje, że oświadczenia pisemne to także komunikaty przesyłane e-mailem i innymi środkami komunikacji zapewniającymi obu stronom możliwy do odczytania zapis oświadczenia. Art. 6 ust. 1 MECL przewiduje, że wymóg formy pisemnej spełnia wiadomość zawierająca informacje, do których możliwy jest późniejszy dostęp tak, aby umożliwić ich dalsze wykorzystanie. Art. 1 ust. 11 Zasad UNIDROIT wskazuje, że „pisanie” oznacza jakikolwiek środek komunikacji, który pozwala na zachowanie zapisu przekazywanej informacji i który może być odtworzony w formie materialnej. Elektroniczne zawarcie umowy o przetwarzanie danych osobowych mieści się w każdej z powyższych definicji formy pisemnej.

W konsekwencji, są podstawy dla twierdzenia, że elektroniczne umowy o przetwarzanie danych nie wymagają kwalifikowanych podpisów elektronicznych ani podpisów własnoręcznych – i to nawet wtedy, gdy obejmują zgodę administratora na dalsze powierzenie przetwarzania. Warto śledzić, jak kwestię tę będzie rozstrzygał Generalny Inspektor Ochrony Danych Osobowych lub też – zgodnie z projektem nowej ustawy o ochronie danych osobowych – powoływany w jego miejsce Prezes Urzędu Ochrony Danych Osobowych.

Bartosz Troczyński