W ostatnim artykule poświęciliśmy trochę miejsca zgodzie na przetwarzanie danych osobowych. Wskazaliśmy, że istnieje szereg innych podstaw przetwarzania danych oraz, że w Polsce panuje mylne przeświadczenie nt. samej istoty zgody. Z tym tematem wiąże się jeszcze jedna, ciekawa kwestia, czyli obowiązek informacyjny. Pozostając w klimatach motoryzacyjnych posłużymy się kolejnym przykładem z naszej praktyki:
Otóż jeżeli stacje kontroli pojazdów wysyłały przed 25 maja 2018 r. powiadomienia sms-em o terminie następnego badania technicznego i nie mają na to zgody użytkownika pojazdu, to czy w świetle nowych przepisów nie mogą wysyłać takiego powiadomienia dopóki użytkownik nie wyrazi na nie zgody ???
W naszej ocenie może wysyłać takie powiadomienia.
Zgodnie ze stanowiskiem jakie zajęliśmy w poprzednim wpisie właściciel Stacji Diagnostycznej nie ma konieczności uzyskania zgody na wysyłanie powiadomień o terminie zbliżającego się badania technicznego z uwagi na działanie w swoim interesie (uzasadniony interes Administratora jako jedna z podstaw przetwarzania danych odnosząca się do marketingu bezpośredniego usług własnych). Brak konieczności (na gruncie RODO) uzyskania odrębnej zgody na przetwarzanie danych osobowych w zakresie marketingu – nie wyłącza natomiast obowiązku informacyjnego wobec klienta, którego dane są przetwarzane w celach marketingowych.
Odnosząc się do opisanego przykładu obowiązek informacyjny (Klauzula Informacyjna) zaktualizuje się dopiero wobec nowych klientów, pozyskanych po 25 maja.
Dlaczego?
Motyw 61 RODO wskazuje, że „informacje o przetwarzaniu danych osobowych dotyczących osoby, której dane dotyczą, należy przekazać tej osobie w momencie zbierania danych” – zapis ten przesądza o tym, iż obowiązek informacyjny powstaje wobec nowych klientów. Choć z zastrzeżeniem, że wobec dotychczasowych klientów należy poprzestać na wiadomości SMS z terminem badania, nie zaś z szerszym marketingiem, czy profilowaniem. Gdyby bowiem nastąpiła zmiana celu przetwarzania danych osobowych, to wówczas pojawiłby się nowy obowiązek informacyjny (art. 13 ust. 3 RODO).
Co więcej, w przypadku fizycznego braku posiadania wystarczających danych, wykonanie powyższego obowiązku wymagałoby niewspółmiernie dużego wysiłku co także przemawia za brakiem konieczności informowania dotychczasowych klientów.
Potwierdzenie tego stanu rzeczy ponownie znajduje się w motywach RODO – tym razem numer 61 i 62:
- (61) Informacje o przetwarzaniu danych osobowych dotyczących osoby, której dane dotyczą, należy przekazać tej osobie w momencie zbierania danych, a jeżeli danych nie uzyskuje się od osoby, której dane dotyczą, lecz z innego źródła – w rozsądnym terminie, zależnie od okoliczności. Jeżeli dane osobowe można zgodnie z prawem ujawnić innemu odbiorcy, należy poinformować o tym osobę, której dane dotyczą, w momencie pierwszorazowego ujawnienia danych temu odbiorcy. Jeżeli administrator planuje przetwarzać dane osobowe w celu innym niż cel, w których dane osobowe zostały zebrane, powinien on przed takim dalszym przetwarzaniem poinformować osobę, której dane dotyczą, o tym innym celu oraz dostarczyć jej innych niezbędnych informacji. Jeżeli osobie, której dane dotyczą, nie można podać pochodzenia danych osobowych, ponieważ korzystano z różnych źródeł, informacje należy przedstawić w sposób ogólny.
- (62) Nałożenie obowiązku udzielenia informacji nie jest jednak konieczne, jeżeli osoba, której dane dotyczą, dysponuje już tymi informacjami, jeżeli utrwalenie lub ujawnienie danych są wyraźnie przewidziane prawem, lub jeżeli poinformowanie osoby, której dane dotyczą, okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Sytuacja braku możliwości lub niewspółmiernie dużego wysiłku może zachodzić w szczególności przypadku, gdy przetwarzanie służy celom archiwalnym w interesie publicznym, celom badań naukowych lub historycznych lub celom statystycznym. Uwzględnić przy tym należy liczbę osób, których dane dotyczą, okres przechowywania danych oraz wszelkie przyjęte odpowiednie zabezpieczenia.
W końcu… każda osoba, która zostawiła przed 25 maja numer telefonu w Stacji Kontroli Pojazdów, u Fryzjera, czy Dentysty zrobiła to w konkretnym celu, którego była przecież świadoma. Osoba ta spodziewa się zatem, że przed terminem kolejnej wizyty dostanie SMS z informacją o terminie badania – wszystko jest zatem zgodne z RODO i żadnych nowych obowiązków tutaj nie ma.
Niezależnie jednak od rozporządzenia RODO w polskim porządku prawnym obowiązują również inne przepisy – np. ustawa prawo telekomunikacyjne, która już od dawna wymaga uzyskania zgody danego podmiotu na zautomatyzowane rozsyłanie informacji handlowych.
W przypadku profilowania w zakresie danych pozyskanych od osoby, od której dane pochodzą (reguluje go art. 13 ust. 2 f RODO) i danych pozyskanych z innych źródeł (reguluje go art. 14 ust. 2 g RODO) istnieje szerszy obowiązek informacyjny, tj. administrator musi dodatkowo podać osobie, której dane dotyczą: „informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą„. Trzeba zatem w klauzuli informacyjnej zawrzeć dodatkowe informacje o profilowaniu.
Art. 22 ust. 1 i 4 dotyczy przypadków, gdy wobec danej osoby podejmowane są automatyczne decyzje, a profilowanie nie jest niezbędne do wykonania umowy, nie ma swojej podstawy w przepisach prawa i nie jest dokonywane na podstawie zgody, oraz gdy decyzje podjęte w takim procesie opierają się na szczególnej kategorii danych (danych wrażliwych). W takiej sytuacji należy dodatkowo przekazać: – informacje o zasadach podejmowania takich decyzji (czyli w jaki sposób ta ocena następuje oraz przy pomocy jakich narzędzi będzie dochodzić do takiej oceny) – informacje o znaczeniu i przewidywanych konsekwencjach dla osoby, której dane te dotyczą (tu chodzi o wyjaśnienie, jakie skutki prawne może nieść za sobą taka decyzja lub w jaki sposób prawnie będzie ta decyzja na daną osobę wpływać – np. zwiększona składka ubezpieczeniowa, zmiana zakresu ubezpieczenia, odrzucenie lub odroczenie wniosku o zawarcie umowy.
