Tło strzałki Strzałka
0 0
dni
0 0
godz
0 0
min
0 0
sek

Zgody na przetwarzanie danych osobowych - wymóg zbierania oświadczeń

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Za dane osobowe uważa się wszelkie informacje umożliwiające zidentyfikowanie osoby. Każdy, kto ma zamiar zbierać dane musi wiedzieć o konieczności zbierania również zgody na przetwarzanie danych osobowych. Musi pamiętać o kilku istotnych sprawach. Decyzja o zgodzie na przetwarzanie danych osobowych musi być dobrowolna, konkretna, świadoma i jednoznaczna.

Zgody na przetwarzanie danych osobowych

Zgodnie z art. 4 pkt 11 rozporządzenia RODO, przez zgodę osoby, której dane dotyczą, rozumie się dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Inaczej mówiąc, jest to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, może być też odwołana w każdym czasie.

Z treści zgody na przetwarzanie danych osobowych powinno więc w sposób niebudzący wątpliwości wynikać, w jakim celu, zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego, na co się godzi. Zgodnie z wyrokiem Naczelnego Sądu Administracyjnego z dnia 4 kwietnia 2003 r. (sygn. akt II SA 2135/2002), zgoda na przekazywanie danych musi mieć charakter wyraźny, a wszystkie  jej aspekty muszą być jasne dla podpisującego w momencie jej wyrażania. Nieważności takiej czynności nie uchyla późniejsze poinformowanie o treści regulaminu ani możliwość zgłoszenia zastrzeżeń wobec pewnych form przetwarzania danych. Ponadto w wyroku z 11 kwietnia 2003 r. (sygn. akt II SA 3942/2004), Naczelny Sąd Administracyjny stwierdził, że zgoda nie może mieć charakteru abstrakcyjnego, lecz winna odnosić się do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania. Zatem zgody na przetwarzanie danych osobowych nie mogą być udzielane w całości, muszą obejmować tylko określone dane, konkretny sposób przetwarzania i cel oraz podmiot, który te dane będzie przetwarzał.

Należy zagwarantować opcjonalność zgody

Wielu przedsiębiorców wychodzi z założenia, że wystarczające będzie zawarcie w jednej zgodzie wszystkich interesujących go kwestii. Bardzo często więc przedsiębiorcy tak tworzą tekst zgody, aby druga strona podpisując lub klikając przycisk “Wyrażam zgodę” akceptowała wszystkie jej cele, na które składają się nie tylko “klasyczna” zgoda na przetwarzanie danych osobowych (czyli oświadczenia jako zgody na przetwarzanie danych dla celów partycypowania w danej czynności, np. udział w konkursie), ale także zgody na przetwarzanie danych osobowych w celach marketingowych czy zgoda na przesyłanie informacji handlowych drogą elektroniczną. Taka praktyka jest niezgodna z prawem, ponieważ osoba wyrażająca zgodę musi mieć zagwarantowaną opcjonalność, a więc możliwość wyrażenia bądź niewyrażenia zgody na któryś z wymienionych celów. Wszystkie trzy wyrazy zgody powinny być odrębne.

Potwierdził to Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 27 kwietnia 2011 r. (II SA/Wa 269/11), orzekając, iż umieszczenie zgody na dwa w istocie różne sposoby przetwarzania udzielonych danych osobowych w jednym zdaniu, bez ich rozdzielenia i wskazania, czego ta zgoda dotyczy, w niewątpliwy sposób powoduje, iż osoba wyrażająca zgodę nie wie dokładnie, na co wyraża taką zgodę. Sformułowanie oświadczenia może bowiem sugerować, że chodzi jedynie o przetwarzanie danych osobowych w celach przesyłania informacji handlowych drogą elektroniczną albo, że chodzi o przetwarzanie danych osobowych w celu przesyłania informacji handlowych drogą zwykłą, albo, że chodzi o przetwarzanie danych osobowych w celu przesyłania informacji handlowych drogą elektroniczną i przetwarzanie danych osobowych w celu przesyłania informacji handlowych drogą zwykłą.

Zgoda nie może być domniemana

Zgody na przetwarzanie danych osobowych nie można domniemywać z oświadczenia woli innej treści. Przykładowo, jeśli klient zgadza się skorzystać z danej usługi, testując ją, z tego oświadczenia nie można wnioskować, że została wyrażona przez niego również zgoda na przetwarzanie danych osobowych (oczywiście nie wyklucza to możliwości legalnego przetwarzania danych osobowych, jeśli została spełniona któraś przesłanka wyrażona w art. 23 ustawy o ochronie danych osobowych).

Zgoda na przetwarzanie danych osobowych nie może być uzależniona od dokonania konkretnej czynności

Nie można wymusić na drugiej stronie wyrażenia zgody poprzez uzależnienie jej np. od możliwości skorzystania z usługi, za którą użytkownik i tak płaci.

Przykładowo, warunkiem zakupu e-booka na stronie księgarni internetowej miałaby być zgoda na przetwarzanie danych osobowych w celach marketingowych. Sprzedawcy lub świadczeniodawcy usług niestety bardzo często sporządzają kwestionariusze czy formularze, które zawierają w swojej treści klauzulę zgody naprzetwarzanie danych osobowych. Takie klauzule nie tylko obejmują zgodę na przetwarzanie danych w celu wykonania zawieranej umowy, a dodatkowo zgodę na wykonywanie innych operacji na danych osobowych np. ich przekazywanie innym podmiotom, udostępnianie, przekazywanie za granicę lub wykorzystywanie w celach marketingowych. Jeżeli klient nie zgodzi się na wykorzystywanie jego danych osobowych w sposób określony przez firmę w treści klauzuli, to tym samym nie zgodzi się na ich wykorzystywanie w celu wykonania umowy. Tymczasem, zgodnie z przepisami o ochronie danych osobowych, na wykorzystywanie danych w celu zawarcia lub wykonania umowy zgoda w ogóle nie jest potrzebna, dlatego powyższe działanie jest niezgodne z prawem. Klauzula zgody naprzetwarzanie danych osobowych powinna być więc wyodrębniona i klient powinien mieć możliwość niewyrażenia na nią zgody, co nie powinno skutkować niezrealizowaniem zamówienia.

Podobnie nie jest możliwe zamieszczanie takiej zgody jako punkt w regulaminie korzystania z danej usługi, przy czym możliwość skorzystania z usługi miałaby być uzależniona od akceptacji wszystkich postanowień regulaminu.

Nie można więc odsyłać do treści innych dokumentów, np. ogólnych warunków umów, prospektów, reklam czy regulaminów. Zgody na przetwarzanie danych osobowych muszą być widoczne, jasne i klarowne.

Problemu nie będzie, jeśli w zamian za wyrażenie zgody naprzetwarzanie danych osobowych (np. w celach marketingowych), użytkownik otrzyma ekwiwalentne świadczenie (np. darmowy dostęp do usługi). W tym wypadku ma się do czynienia z dobrowolnością, ponieważ dane osobowe są tu swoistą “zapłatą” za korzystanie z konkretnej usługi. Jeśli nie chcemy, nie musimy z tego korzystać.

Checkboxy nie powinny być domyślnie zaznaczone

Mimo że domyślne zaznaczenie checkboxów (przycisków wyboru na formularzu) nie jest wprost zakazane przez przepisy ustawy, takie działanie może zostać uznane za domniemanie zgody, a w świetle prawa konsumenckiego - za agresywną praktykę rynkową. Zgoda taka więc nie spełni wymogów stawianych przez przepisy o ochronie danych osobowych. Często bowiem klientom umykają te postanowienia, a jeśli przyciski wyboru są domyślnie zaznaczone na formularzu, klient nie jest świadomy, że wysyła przedsiębiorcy zgodę na wykorzystanie swoich danych osobowych.

Zgody na przetwarzanie danych osobowych w celach marketingowych to nie to samo co zgody na otrzymywanie informacji handlowych

Zgodnie z art. 4 pkt 6 rozporządzenia RODO zbiór danych to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie. Przyjmuje się, że wystarczy jedno kryterium, aby wyodrębnić zbiór. Tak więc jeśli mamy do czynienia z kryterium celu przetwarzania danych osobowych, w zależności od liczby celów, w jakich przedsiębiorca zbiera dane osobowe, tyle zbiorów będzie musiał prowadzić.

Należy więc już na samym początku podkreślić, że zbieranie danych w celach marketingowych to nie to samo, co zbieranie danych w celu wysyłania informacji handlowej. Czym więc się to różni?

Przede wszystkim marketing jest pojęciem dużo szerszym niż informacja handlowa. Nie istnieje definicja legalna marketingu, jednak ustawy nieraz się odwołują do tego terminu. Marketing jest całym procesem, zespołem działań służącym tworzeniu produktów, reklamowaniu ich, dostarczaniu i wymianie. Do działań marketingowych zalicza się m.in. promocyjne konkursy, gry, reklamę, newslettery.

Informacja handlowa natomiast jest pojęciem węższym, uregulowanym prawnie w ustawie o świadczeniu usług drogą elektroniczną:

Art. 2. Określenia użyte w ustawie oznaczają: (...)

2) informacja handlowa - każdą informację przeznaczoną bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy lub osoby wykonującej zawód, której prawo do wykonywania zawodu jest uzależnione od spełnienia wymagań określonych w odrębnych ustawach, z wyłączeniem informacji umożliwiającej porozumiewanie się za pomocą środków komunikacji elektronicznej z określoną osobą oraz informacji o towarach i usługach niesłużącej osiągnięciu efektu handlowego pożądanego przez podmiot, który zleca jej rozpowszechnianie, w szczególności bez wynagrodzenia lub innych korzyści od producentów, sprzedawców i świadczących usługi.

 Ponadto ustawodawca dokładnie określił, jak powinna wyglądać informacja handlowa:

Art. 9. 1. Informacja handlowa jest wyraźnie wyodrębniana i oznaczana w sposób niebudzący wątpliwości, że jest to informacja handlowa.

2. Informacja handlowa zawiera:

1) oznaczenie podmiotu, na którego zlecenie jest ona rozpowszechniana, oraz jego adresy elektroniczne;

2) wyraźny opis form działalności promocyjnej, w szczególności obniżek cen, nieodpłatnych świadczeń pieniężnych lub rzeczowych i innych korzyści związanych z promowanym towarem, usługą lub wizerunkiem, a także jednoznaczne określenie warunków niezbędnych do skorzystania z tych korzyści, o ile są one składnikiem oferty;

3) wszelkie informacje, które mogą mieć wpływ na określenie zakresu odpowiedzialności stron, w szczególności ostrzeżenia i zastrzeżenia.

Żeby przesyłać informacje handlowe, konieczne jest posiadanie na to zgody. Natomiast w niektórych przypadkach marketingu zgoda nie jest potrzebna. Chodzi o marketing bezpośredni - osobna zgoda na przetwarzanie danych osobowych dla celów marketingowych nie jest wymagana, o ile cele te obejmą jedynie marketing bezpośredni własnych produktów lub usług. W pozostałych przypadkach (chęć promowania towarów innego podmiotu) zgoda jest wymagana.

Potrzebna jest osobna zgoda na przekazywanie danych osobom trzecim

Sama zgoda naprzetwarzanie danych osobowych nie znaczy, że dane te mogą być przekazywane osobom trzecim. Jeśli przedsiębiorca planuje, że będzie przekazywał pozyskane dane np. spółce powiązanej, musi uzyskać na to osobną zgodę. W kwestii tej orzekł Naczelny Sąd Administracyjny w wyroku z 19 listopada 2001 r. (sygn. akt II SA 2748/00): Zgoda na udostępnienie danych osobom trzecim musi być odrębnym od postanowień umownych oświadczeniem woli abonenta, nie musi on bowiem godzić się na udostępnienie swych danych osobom trzecim.

Przekazanie danych należy odróżnić od powierzenia danych, na które zgoda nie jest wymagana.

Elementy obligatoryjne zgody na przetwarzanie danych osobowych

Zgoda na przetwarzanie danych osobowych powinna być prawidłowo skonstruowana. Jej elementami koniecznymi są:

  • nazwa administratora danych osobowych oraz jego siedziby (adres),

  • cel przetwarzania danych osobowych,

  • wyrażenie zgody naprzetwarzanie danych w określonym celu.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów