Baza wiedzy

Wielu klientów Security Partners, z którymi tworzymy system ochrony danych osobowych dostosowany do wymagań RODO, przyzwyczajonych jest do zbierania zgód na przetwarzanie danych osobowych w każdym przypadku, gdyż taką praktykę stosowali jeszcze, gdy obowiązywała stara ustawa o ochronie danych osobowych z 1997r.

Tymczasem zgoda osoby, której dane dotyczą na przetwarzanie jej danych osobowych jest tylko jedną z dopuszczony podstaw prawnych, w wielu przypadkach nieadekwatną do potrzeb i celów biznesowych. Dlatego często radzimy naszym klientom, aby zamiast zgody na przetwarzanie danych osobowych wybierali inną podstawę prawną, która nie wymaga tego typu interakcji z osobami fizycznymi.
Zgodnie z art. 6 ust. 1 RODO przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

  1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
  2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.

 

Z doświadczenia Security Partners we wdrażaniu systemów ochrony danych osobowych wynika, że dla firm z sektora prywatnego, najczęściej wykorzystuje się przesłanki a,b,c,f. Jedynie w pierwszym przypadku jest mowa o zgodzie.

 

Szczególnie częstym błędem popełnianym podczas zawierania umów np. B2C jest zbieranie zgody na przetwarzanie danych osobowych w celu realizacji umowy. Tymczasem zgodnie z art. 6 ust. 1b RODO, masz prawo przetwarzać dane osobowe, gdy przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Wynika stąd, że jeśli zawierasz umowę, np. sprzedaży rzeczy w sklepie internetowym, to nie musisz prosić o zgodę, a jedynie informujesz klienta, że przetwarzasz jego dane osobowe. Oczywiście podanie danych osobowych do umowy przez klienta jest jego dobrą wolą, ale bez podjęcia takiej czynności (np. podania imienia i nazwiska oraz adresu dostawy towaru) nie będzie w stanie zawrzeć z Tobą umowy i do transakcji nie dojdzie.

 

Wyobraź sobie, że kupujesz bilety lotnicze u pośrednika, który prosi Cię o zgodę na przetwarzanie Twoich danych osobowych osobowych w celu wystawienia biletu. Co w przypadku, gdy kilka dni później wycofasz zgodę na przetwarzanie danych osobowych? Czy to oznacza, że Twój bilet przestaje być ważny? W takim scenariuszu znika przesłanka przetwarzania danych osobowych, którą (błędnie) była Twoja zgoda. Nie byłoby takiego dylematu, gdyby jako podstawę prawną na przetwarzanie Twoich danych osobowych uznano niezbędność do wykonania umowy.

 

Kiedy, więc zgoda na przetwarzanie danych osobowych powinna być podstawą ich przetwarzania? Wówczas, gdy nie chcesz albo nie możesz zastosować innych przesłanek opisanych powyżej (art. 6 ust. 1, a-f). Takim działaniem jest bez wątpienia marketing. Wróćmy do wątku z umową. Ustaliliśmy, że w celu jej wykonania powinieneś jedynie poinformować o fakcie przetwarzania danych osobowych klienta. Jeżeli jednak Twoim życzeniem, oprócz wysyłki towaru (realizacja umowy), będzie wysyłanie mailingu np. w postaci newslettera, to zgoda osoby, której dane dotyczą będzie w takim wypadku konieczna. Co więcej, powinieneś przetwarzać jedynie takie dane, które są niezbędne do świadczenia określonej usługi. To duża zmiana w porównaniu do poprzednich przepisów dot. ochrony danych osobowych, gdzie stosowano pojęcie adekwatności. W omawianym przykładzie adekwatność mogłaby oznaczać, że do wysyłki newslettera potrzebujesz adresu email oraz imienia i nazwiska osoby (np. po to by tytułować korespondencję), a niezbędność oznacza, że do wysyłki mailingu potrzebny jest jedynie adres email i Twój proces powinien obejmować zbieranie tylko tego rodzaju danych osobowych.
Podobnie kształtuje się sytuacja, jeżeli na stronie www znajdują się formularze kontaktowe. Podstawą przetwarzania danych osobowych podawanych w takim formularzu powinna być zgoda osoby, której dane dotyczą, a celem przetwarzania jest odpowiedź na zapytanie złożone przez stronę.


Zgoda na przetwarzanie danych osobowych powinna być wyrażona dobrowolnie. Oznacza to, że jeśli na stronie internetowej Twojej organizacji występują tzw. chcek boxy, to nie powinny być domyślnie zaznaczone.


Łączenie zgód

 

Niedopuszczalną, choć na szczęście coraz rzadziej stosowaną praktyką, jest takie formułowanie umowy, by np. osoba zgadzająca się przetwarzanie jej danych osobowych w celu odpowiedzi na zapytanie z formularza kontaktowego, zgadzała się również na przetwarzanie danych w innych celach np. otrzymywania informacji handlowej lub marketingowej. Tego typu zapisy są surowo zabronione i będą ścigane przez inspektorów UODO, bowiem każda czynność przetwarzania danych osobowych wymaga osobnej zgody osoby, której dane dotyczą.

 

Podsumowując - krótka odpowiedź na pytanie zawarte w tytule artykułu „Czy trzeba umieszczać zgody na przetwarzanie danych osobowych na stronie www?” brzmi: Powinieneś informować, że przetwarzasz dane osobowe, jednak nie zawsze powinieneś i musisz prosić o zgodę. Zależy to od wyboru podstawy prawnej przetwarzania danych osobowych. Zgoda nie zawsze jest najlepszą przesłanką.
Ten krótki artykuł nie wyczerpuje całej tematyki zagadnienia, ale mamy nadzieję, że pomógł rozwiać niektóre Twoje wątpliwości. Jeżeli masz pytania związane z systemem ochrony informacji, w tym danych osobowych to zachęcamy do kontaktu.

 

Być może chciałbyś zapoznać się z innym powiązanym z tą tematyką zagadnieniami, które opisaliśmy w osobnych artykułach:
Jakie informacje powinieneś podać w przypadku zbierania danych osobowych?
Jak długo możesz przetwarzać dane osobowe?