Baza wiedzy

Wielu klientów Security Partners, z którymi tworzymy system ochrony danych osobowych dostosowany do wymagań RODO, przyzwyczajonych jest do zbierania zgód na przetwarzanie danych osobowych w każdym przypadku, gdyż taką praktykę stosowali jeszcze, gdy obowiązywała stara ustawa o ochronie danych osobowych z 1997r.

 

Tymczasem zgoda osoby, której dane dotyczą na przetwarzanie jej danych osobowych jest tylko jedną z dopuszczony podstaw prawnych. W wielu przypadkach nieadekwatną do potrzeb i celów biznesowych. Dlatego często radzimy naszym klientom, aby zamiast zgody na przetwarzanie danych osobowych wybierali inną podstawę prawną. Taką która nie wymaga tego typu interakcji z osobami fizycznymi.

 

Zgodnie z art. 6 ust. 1 RODO przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

Z doświadczenia Security Partners we wdrażaniu systemów ochrony danych osobowych wynika, że dla firm z sektora prywatnego, najczęściej wykorzystuje się przesłanki a,b,c,f. Jedynie w pierwszym przypadku jest mowa o zgodzie.

 

Czy masz prawo przetwarzać dane osobowe, gdy przetwarzanie jest niezbędne do wykonania umowy?

Szczególnie częstym błędem popełnianym podczas zawierania umów np. B2C jest zbieranie zgody na przetwarzanie danych osobowych w celu realizacji umowy. Tymczasem zgodnie z art. 6 ust. 1b RODO, masz prawo przetwarzać dane osobowe, gdy przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Wynika stąd, że jeśli zawierasz umowę, np. sprzedaży rzeczy w sklepie internetowym, to nie musisz prosić o zgodę. Musisz natomiast poinformować klienta, że przetwarzasz jego dane osobowe. Oczywiście podanie danych osobowych do umowy przez klienta jest jego dobrą wolą. Ale bez podjęcia takiej czynności (np. podania imienia i nazwiska oraz adresu dostawy towaru) nie będzie w stanie zawrzeć z Tobą umowy i do transakcji nie dojdzie.

 

Wyobraź sobie, że kupujesz bilety lotnicze u pośrednika, który prosi Cię o zgodę na przetwarzanie Twoich danych osobowych osobowych. Dane te potrzebne mu są w celu wystawienia biletu. Co w przypadku, gdy kilka dni później wycofasz zgodę na przetwarzanie danych osobowych? Czy to oznacza, że Twój bilet przestaje być ważny? W takim scenariuszu znika przesłanka przetwarzania danych osobowych, którą (błędnie) była Twoja zgoda. Nie byłoby takiego dylematu, gdyby jako podstawę prawną na przetwarzanie Twoich danych osobowych uznano niezbędność do wykonania umowy.

 

Kiedy, więc zgoda na przetwarzanie danych osobowych powinna być podstawą ich przetwarzania?

Wówczas, gdy nie chcesz albo nie możesz zastosować innych przesłanek opisanych powyżej (art. 6 ust. 1, a-f). Takim działaniem jest bez wątpienia marketing. Wróćmy do wątku z umową. Ustaliliśmy, że w celu jej wykonania powinieneś jedynie poinformować o fakcie przetwarzania danych osobowych klienta. Jeżeli jednak Twoim życzeniem, oprócz wysyłki towaru, będzie wysyłanie mailingu np. w postaci newslettera, to zgoda osoby, której dane dotyczą będzie w takim wypadku konieczna. Co więcej, powinieneś przetwarzać jedynie takie dane, które są niezbędne do świadczenia określonej usługi. To duża zmiana w porównaniu do poprzednich przepisów dot. ochrony danych osobowych, gdzie stosowano pojęcie adekwatności. W omawianym przykładzie adekwatność mogłaby oznaczać, że do wysyłki newslettera potrzebujesz adresu e-mail oraz imienia i nazwiska osoby (np. po to by tytułować korespondencję), a niezbędność oznacza, że do wysyłki mailingu potrzebny jest jedynie adres e-mail i Twój proces powinien obejmować zbieranie tylko tego rodzaju danych osobowych.

 

Podobnie kształtuje się sytuacja, jeżeli na stronie www znajdują się formularze kontaktowe. Podstawą przetwarzania danych osobowych podawanych w takim formularzu powinna być zgoda osoby, której dane dotyczą. A celem przetwarzania jest odpowiedź na zapytanie złożone przez stronę.

Zgoda na przetwarzanie danych osobowych powinna być wyrażona dobrowolnie. Oznacza to, że jeśli na stronie internetowej Twojej organizacji występują tzw. chcek boxy, to nie powinny być domyślnie zaznaczone.

 

Łączenie zgód

Niedopuszczalną, choć na szczęście coraz rzadziej stosowaną praktyką, jest łączenie zgód. Czyli takie formułowanie umowy, by np. osoba zgadzająca się przetwarzanie jej danych osobowych w celu odpowiedzi na zapytanie z formularza kontaktowego, zgadzała się również na przetwarzanie danych w innych celach. Cele te to np. otrzymywania informacji handlowej lub marketingowej. Tego typu zapisy są surowo zabronione i będą ścigane przez inspektorów UODO. Bowiem każda czynność przetwarzania danych osobowych wymaga osobnej zgody osoby, której dane dotyczą.

 

Podsumowując – krótka odpowiedź na pytanie zawarte w tytule artykułu „Czy trzeba umieszczać zgody na przetwarzanie danych osobowych na stronie www?” brzmi: Powinieneś informować, że przetwarzasz dane osobowe, jednak nie zawsze powinieneś i musisz prosić o zgodę. Zależy to od wyboru podstawy prawnej przetwarzania danych osobowych. Zgoda nie zawsze jest najlepszą przesłanką.

 

Ten krótki artykuł nie wyczerpuje całej tematyki zagadnienia, ale mamy nadzieję, że pomógł rozwiać niektóre Twoje wątpliwości. Jeżeli masz pytania związane z systemem ochrony informacji, w tym danych osobowych to zachęcamy do kontaktu.

 

Dzięki rozwiązaniu Safetica łatwo dostosujesz swoją firmę do wymagań GDPR. Zyskasz lepszy wgląd w to, co dzieje się w organizacji. Zobaczysz także jak pracownicy pracują na wrażliwych danych, wyeliminujesz ryzyko nadużycia danych osobowych. Dodatkowo w momencie wystąpienia niebezpieczeństwa zostaniesz o tym natychmiast poinformowany Sprawdź

 

Być może chciałbyś zapoznać się z innym powiązanym z tą tematyką zagadnieniami, które opisaliśmy w osobnych artykułach:
Jakie informacje powinieneś podać w przypadku zbierania danych osobowych?
Jak długo możesz przetwarzać dane osobowe?