Drodzy czytelnicy.
Dzisiaj chcieliśmy poruszyć kwestię zgody na przetwarzanie danych, ponieważ przy okazji odwiedzania różnych firm na terenie śląska i małopolski odnieśliśmy wrażenie, że w głowach większości przedsiębiorców przeważa mylne przeświadczenie o konieczności uzyskania zgody (uprzedniej!) na przetwarzanie danych osobowych.
Co więcej, również w niedawno przeczytanym przez nas artykule prasy branżowej, którego tytuł pominę bo nie ma on dla nas większego znaczenia, wskazane zostało, że: „zasada jest taka, że dane osobowe można przetwarzać pod warunkiem uzyskania zgody osoby, której dane dotyczą, lub jeśli wynika to z przepisów prawa”.
Otóż wcale tak nie jest.
Podstawy przetwarzania danych osobowych
Zgoda danej osobowy jest jedną z podstaw przetwarzania danych osobowych.
RODO nie zawiera gradacji podstaw przetwarzania (np. zgoda danej osoby nie jest „lepszą” podstawą niż umowa, czy uzasadniony interes administratora). W art. 6 rozporządzenia RODO wskazano, że przetwarzanie danych osobowych jest zgodne z prawem, jeżeli spełniony jest jeden z poniższych warunków:
- osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Równorzędność podstaw
Wszystkie te warunki są równorzędne – ważne, żeby administrator przetwarzając dane osobowe robił to na jednej z ww. podstaw. Oznacza to – ni mniej, ni więcej – że nie w każdym przypadku trzeba uzyskać zgodę, aby przetwarzanie danych osobowych było zgodne z prawem. Np. w przypadku zatrudnienia pracownika – zbieranie jego danych następuje na podstawie punktu 3. (jeżeli chodzi o dane wymagane przez kodeks pracy i inne przepisy), w przypadku danych potrzebnych do wykonania zlecenia transportowego – podstawą jest punkt 2., a w przypadku danych zbieranych na potrzeby wystawienia faktury, podstawą jest punkt 3. (przechowywanie faktur przez określony czas). Gdyby było inaczej, szybko doszlibyśmy do absurdów, w których musielibyśmy przykładowo uzyskać zgodę złodzieja-pracownika na przekazanie jego danych, czy nagrania z jego udziałem policji lub, jak w pewnej Okręgowej Stacji Kontroli Pojazdów gdzie uprzednia zgoda na przetwarzanie danych warunkowała możliwość wystawienia faktury za wykonanie badania technicznego. Paranoja.
Zgoda na marketing?
Również jeśli chodzi o marketing, to odbywa się on na podstawie prawnie uzasadnionego interesu administratora (tj. podstawy wymienionej w punkcie 6. powyżej), a nie zgody.
Wprost mówi o tym motyw 47 RODO (motyw – czyli taka preambuła, wstęp, założenia rozporządzenia), w którym wskazano, że: „Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego„. RODO w tym względzie rozszerza pojęcie „uzasadnionego interesu administratora” w porównaniu do obowiązujących przepisów. Niemniej jednak należy pamiętać, że dane osobowe mogą być przetwarzane w celu, w którym zostały zebrane – więc przykładowo nie można wysyłać spamu osobie, która jako kandydat do pracy przysłała CV. Wcześniejsza bowiem część motywu 47 RODO, mówi że: „Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu”. Ktoś zgłaszając swoją kandydaturę nie ma podstaw by twierdzić, że będą mu wysyłane reklamy.
Zgoda, a obowiązek informacyjny
Powyższe – tzn. brak konieczności uzyskania zgody na przetwarzanie danych osobowych w zakresie marketingu – nie wyłącza natomiast obowiązku informacyjnego wobec klienta, którego dane są przetwarzane w celach marketingowych. Innymi słowy nie trzeba w takim celu pozyskiwać zgody konkretnej osoby, ale konieczne jest poinformowanie tej osoby o takim celu wykorzystania jego danych osobowych (klient może w takiej sytuacji złożyć sprzeciw do takiego wykorzystania jego danych osobowych).
Co przy tym ważne, administrator danych może bez zgody prowadzić marketing bezpośredni tylko własnych produktów lub usług (co może być istotne w przypadku przedsiębiorstw złożonych z wielu osobnych podmiotów, np. spółek powiązanych). Bez zgody osoby, której dane dotyczą nie jest dopuszczalne np. udostępnienie danych innemu podmiotowi (nawet powiązanemu) dla realizacji celów marketingowych tego podmiotu. Jeśli w ramach grupy powiązanych spółek jedna z nich jest administratorem danych osobowych, to jej spółka powiązana nie może wykorzystywać tych danych dla marketingu swoich produktów lub usług.