Poradnik Przedsiębiorcy

Wpływ RODO na prawa konsumentów w praktyce

Od wielu lat polski ustawodawca kładzie szczególny nacisk na potrzebę ochrony praw konsumentów i sukcesywnie wprowadza kolejne regulacje wzmacniające pozycję prawną tej grupy. Wejście w życie przepisów rozporządzenia RODO dodatkowo wzmocniło ten trend – przepisy RODO skierowane są do wszystkich podmiotów przetwarzających i przechowujących dane osobowe i mają na celu ochronę danych osobowych osób fizycznych. Poznajmy wpływ RODO na prawa konsumentów.

Konsument musi wyrazić zgodę na przetwarzanie jego danych osobowych

Danymi osobowymi w rozumieniu przepisów RODO są wszelkie dane, które umożliwiają jednoznaczne zidentyfikowanie osoby fizycznej w sposób bezpośredni albo pośredni. RODO dotyczy podmiotów przetwarzających dane osób fizycznych bez względu na ich rodzaj – mogą być to na przykład zatrudnieni pracownicy, uczniowie szkoły czy właśnie konsumenci. Z uwagi na przeniesienie znacznej części handlu do internetu i związane z tym udostępnienie przedsiębiorcom rozmaitych danych osobowych (m.in. numerów IP, adresów e-mail, adresów korespondencyjnych, danych rachunków bankowych czy kart kredytowych, numerów telefonu i innych danych niezbędnych do przeprowadzenia transakcji) konsumenci są istotną grupą objętą działaniem przepisów RODO.

Ważne!
Podstawowym warunkiem dopuszczalności przetwarzania danych osobowych – oprócz innych przypadków wskazanych w przepisach rozporządzenia RODO – jest wyrażenie zgody na przetwarzanie i przechowywanie danych przez osobę, której one dotyczą.

W przypadku ewentualnej kontroli obowiązkiem administratora danych jest wykazanie, że osoba, której dane dotyczą, wyraziła zgodę na ich przetwarzanie.

Obowiązkiem przedsiębiorcy jest zadbanie o to, aby zgoda konsumenta była:

  • dobrowolna;

  • świadoma;

  • jednoznaczna;

  • potwierdzająca czynność odnoszącą się do danej sytuacji (czynność musi zostać przez przedsiębiorcę dokładnie sprecyzowania – może być to na przykład przetwarzanie danych osobowych w celu wykonywania jednej, konkretnej i ściśle określonej transakcji handlowej).

Zgoda konsumenta może mieć formę ustnego lub pisemnego oświadczenia. W przypadku oświadczeń składanych w formie pisemnej dopuszczalne jest również złożenie oświadczenia w formie elektronicznej.

Uwaga!
Zgodnie z przepisami RODO zgoda wyrażana w formie elektronicznej może mieć formę zaznaczenia okienka wyboru, jeśli dokonanie tej czynności jasno wskazuje, że zamiarem konsumenta jest wyrażenie zgody na zaproponowany sposób przetwarzania danych osobowych. Okienko pojawiające się w formie pop-up nie może być zaznaczone domyślnie.

Przedsiębiorca musi pamiętać, że jeśli zamierza przetwarzać dane osobowe konsumenta w więcej niż jednym celu, musi uzyskać jego zgodę na ich przetwarzanie we wszystkich założonych przez siebie celach.

Konsument ma prawo do wycofania zgody na przetwarzanie i przechowywanie jego danych osobowych w dowolnym momencie. Procedura wycofania zgody musi być równie łatwa jak procedura jej wyrażenia, co oznacza, że przedsiębiorca nie może stosować dodatkowych barier utrudniających konsumentowi wycofanie zgody na przetwarzanie danych.

Uwaga!
Administrator danych ma prawo do gromadzenia tylko tych danych, które są niezbędne do wykonania umowy zawartej z konsumentem. Z tego względu przedsiębiorca nie może pobierać od konsumenta innych danych (np. dotyczących rachunku bankowego w przypadku, w którym konsument wybiera opcję płatności przy odbiorze przesyłki).

Wpływ RODO na prawa konsumentów, to szerokie obowiązki informacyjne

Jednym z podstawowych obowiązków, jaki przepisy RODO nakładają na administratorów danych, jest obowiązek informacyjny. Zadaniem przedsiębiorcy przetwarzającego dane osobowe konsumentów, jest informowanie ich zarówno o wszystkich najistotniejszych elementach procesu przetwarzania i przechowywania danych, jak i o przysługujących im prawach.

Przedsiębiorca będący administratorem danych musi poinformować konsumenta o:

  • swojej tożsamości (poprzez wskazanie nazwy, siedziby, danych kontaktowych);

  • osobie inspektora ochrony danych i jego danych kontaktowych;

  • celu przetwarzania danych osobowych;

  • podstawie prawnej przetwarzania danych;

  • prawnie uzasadnionych interesach realizowanych przez administratora lub stronę trzecią, jeśli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią;

  • odbiorcach danych osobowych;

  • zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o zapewnieniu przez to państwo odpowiedniego stopnia ochrony albo stosowanych odpowiednich zabezpieczeniach (na przykład w sytuacji, w której przedsiębiorca jedynie pośredniczy przy zawarciu umowy, a przedmiot transakcji zostanie wykonany przez przedsiębiorcę mającego siedzibę poza terytorium Unii Europejskiej);

  • okresie przechowywania danych osobowych;

  • prawie do żądania sprostowania danych;

  • prawie do żądania usunięcia danych lub ograniczenia zakresu ich przetwarzania;

  • prawie do wniesienia sprzeciwu;

  • prawie do przenoszenia danych;

  • prawie do cofnięcia zgody na przetwarzanie i przechowywanie danych w dowolnym momencie (jeśli konsument cofnie zgodę, jego decyzja pozostaje bez wpływu na zgodność z prawem czynności podjętych przez przedsiębiorcę przed wycofaniem zgody);

  • prawie do wniesienia skargi do organu nadzorczego – Urzędu Ochrony Danych Osobowych;

  • wskazaniu, czy podanie przez konsumenta danych osobowych jest wymogiem ustawowym lub umownym bądź warunkiem zawarcia umowy;

  • ewentualnych konsekwencjach niepodania danych przez konsumenta;

  • stosowanych przez przedsiębiorcę środkach dotyczących zautomatyzowanego podejmowania decyzji, w tym profilowania i zasadach stosowania tych środków, ich znaczeniu i konsekwencjach dla konsumenta.

RODO chroni konsumenta przed niechcianymi działaniami marketingowymi

Choć nawet przed wejściem w życie przepisów RODO przesyłanie niechcianej przez konsumenta komunikacji internetowej stanowiło wykroczenie w myśl przepisów ustawy o świadczeniu usług komunikacji, w praktyce konsumenci otrzymywali niechciane wiadomości. Wejście w życie przepisów RODO wzmocniło prawa konsumentów również w zakresie ochrony przed niechcianymi działaniami marketingowymi.

Jeśli przedsiębiorca kontaktuje się z konsumentem za pomocą maila czy telefonu, oznacza to, że dysponuje jego danymi osobowymi. W takim przypadku konsument może zażądać od przedsiębiorcy:

  • informacji o tym, w jaki sposób przetwarzane są jego dane osobowe;

  • informacji o zasadach przetwarzania danych, podstawie ich przetwarzania itp. (zgodnie z wyliczeniem zawartym powyżej);

  • kopii danych, którymi dysponuje przedsiębiorca.

Jeżeli konsument, mimo złożonego wniosku, nie uzyska tych informacji, ma prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Prezes UODO może nałożyć karę finansową na podmiot, który przetwarza dane osobowe osób fizycznych w sposób niezgodny z przepisami RODO.

Przepis art. 107 ust. 1 ustawy o ochronie danych osobowych
Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

Jednocześnie, nieprawidłowe przetwarzanie danych osobowych (w tym na przykład nieuprawnione wykorzystywanie danych osobowych lub wykorzystywanie ich w sposób sprzeczny z celem ich pozyskania) stanowi przestępstwo w myśl przepisów ustawy o ochronie danych osobowych, które jest zagrożone karą grzywny, karą ograniczenia wolności albo karą pozbawienia wolności. Konsument, którego prawa zostały naruszone, może domagać się ukarania przedsiębiorcy w toku postępowania karnego.