Zgoda na przetwarzanie danych osobowych

RODO

zgoda na przetwarzanie danych osobowychZgoda na przetwarzanie danych osobowych

W niniejszym artykule postaram się wyjaśnić, że nie zawsze zgoda na przetwarzanie danych osobowych jest potrzebna. W niektórych przypadkach, jej wymaganie wręcz jest niedozwolone. Pod koniec artykułu znajdziecie Państwo również różne wzory zgód na przetwarzanie danych osobowych te prawidłowe – do zastosowania i te nieprawidłowe – aby uniknąć pomyłek.

Po co pobiera się zgodę RODO?

Jak już wiemy, od dnia 25 maja 2018 roku (pomijam wcześniejszą ustawę dot. ochrony danych osobowych z 1997 roku, gdyż była ona powszechnie ignorowana), każda czynność przetwarzania danych osobowych musi mieć podparcie w jednej z sześciu przesłanek umieszczonych w art. 6 Ogólnego Rozporządzenia o Ochronie Danych Osobowych. Oznacza to, że dane innych osób możemy przetwarzać (w przybliżeniu “posiadać”) tylko wówczas, gdy mamy do tego prawo. Zgoda, bardzo nadużywana od początku stosowani RODO, nie jest jedyną słuszną postawą przetwarzania danych i nie trzeba (a wręcz “nie wolno”) jej pobierać i żądać na każdym kroku.

Kontrowersyjnie napiszę, że należy za wszelką cenę unikać przetwarzania danych na podstawie zgody, gdyż jest to jedna z dwóch przesłanek, która daje osobom fizycznym prawo do natychmiastowego przerwania przetwarzania gdy tylko zmienią zdanie (cofną zgodę). Ponad to, przetwarzanie takie będzie zmuszało nas do:

  • ewidencjonowania zgód,
  • rejestrowania udzielenia zgody jak i cofnięcia zgody,
  • cyklicznego kontrolowania zbioru danych aby znajdowały się w nim tylko te osoby, które wyraziły na to zgodę,
  • przechowywania dowodów udzielenia zgody (pisemne formularze, ślady elektroniczne).

Tego typu problemów nie mamy, gdy przetwarzany dane na podstawie zawartej umowy, na podstawie wypełniania obowiązków nałożonych na nas przez inne, sektorowe akty prawne, chroniąc żywotne interesy osoby fizycznej, udzielając świadczeń zdrowotnych czy realizując cele w interesie publicznym. Dlatego, gdziekolwiek jest to możliwe, szukajmy rozwiązania innego niż zgoda osoby fizycznej.

W jakich przypadkach jest sens pobierać zgodę:

  • na przetwarzanie wizerunku (w tym kontekście dochodzi jeszcze zgoda na rozpowszechnianie wizerunku zgodnie z art 81 prawa autorskiego),
  • na dodatkowe dane podawane przy rekrutacji – gdzie podanie tych dodatkowych danych jest dobrowolne,
  • zapisując się do konkursu, olimpiady itp.
  • na automatyczne profilowanie (np. w ramach kampanii marketingowych),
  • przy ocenie kredytowej (czynność ta nosi znamiona profilowania),

A także w każdym takim przypadku, gdzie dane osobowe są dobrowolne a ich niepodanie nie wpływa na nasz proces biznesowy, co oznacza, że bez zgody osoby fizycznej możemy dla niej świadczyć usługę (wykonywać czynności) ale np. musimy tę czynność ograniczyć. Dla przykładu chcąc udzielić kredyt, możemy pytać o zgodę na przetwarzanie danych osobowych, ale bez niej, też będziemy mogli ocenić zdolność (może mniej dokładnie – ale ocenę da się wykonać) i udzielić kredyt lub nie.

Należy zawsze pamiętać, że sens zgody jest zachowany wówczas, gdy dane pozyskane na podstawie zgody nie są niezbędne do realizacji usługi. Są to dane dodatkowe, które mogą nam pomóc lepiej zrealizować cel, ale i bez takich danych – może trochę trudniej lub mniej trafnie – też zrealizujemy cel przetwarzania.

Gdzie nie należy pytać o zgodę na przetwarzanie danych osobowych:

  • przy realizacji zamówienia w sklepie (stacjonarnym, internetowym),
  • przy udzielaniu świadczeń zdrowotnych,
  • w szkole (publicznej lub niepublicznej) – prowadząc nauczanie oparte o prawo oświatowe,
  • na wszelkiego rodzaju kursach i szkoleniach, zwykle prowadzonych na podstawie umowy lub regulaminu,
  • przy formularzach internetowych z pytaniami o ofertę,
  • przy wszelkiego rodzaju wnioskach oświadczenia (gdzie podstawą takiego świadczenia są przepisy prawa),
  • itp, itd.

Zgoda RODO a marketing

Kontrowersyjnie napiszę, że zgoda na przetwarzanie danych do prowadzenia marketingu nie jest potrzebna. Ustawodawca zadbał, aby dane takie można było przetwarzać zgodnie z inną podstawą prawną. I tak adres e-mail czy telefon podany np. przy zamówieniu produktu z naszego sklepu możemy na podstawie uzasadnionego interesu wykorzystać do marketingu usług własny powołując się na art. 6 ust. 1 lit. f RODO. Należy natomiast zaznaczyć, że wykorzystywać takie dane można tylko wówczas, gdy osoba fizyczna jest połączona w jakiś sposób z naszą firmą np. zrobiła zakupy w sklepie internetowym, zapytała się o ofertę, uczestniczyła w konkursie itp. Wówczas mamy interes prawny w tym by przetwarzać jej dane ale nie możemy zapomnieć, że oprócz RODO są jeszcze ustawy sektorowe. Dlatego też, jeżeli do prowadzenia marketingu chcemy użyć adresu e-mail, niezbędna jest odrębna zgoda uzyskana na mocy art. 172 Prawa telekomunikacyjnego. Nie można natomiast pozyskiwać adresów z “ogólnie dostępnych źródeł” a następnie na podstawie przywołanego już art. 6 ust. 1 lit. f RODO prowadzić akcje marketingowe. Szersze opracowanie tego tematu jest zbyt obszerne by zmieścić je w tym artykule – przedsiębiorców zainteresowanych tematem zapraszam do kontaktu.

Niepoprawne zgody na przetwarzanie danych

Z takimi zgodami mamy do czynienia wtedy, gdy pomimo innej podstawy prawnej pobieramy od osoby fizycznej zgodę, pozornie dając jej prawo do wycofania tej zgody. Takie przykłady przez cały czas można jeszcze spotkać w sektorze:

  • leczniczym – gdzie pobiera się zgodę na przetwarzanie danych osobowych w procesie leczenia,
  • oświatowym – gdzie pobiera się zgodę na przetwarzanie danych w procesie nauczania,
  • HR – przy rekrutacji pracowników (zgoda jest wymagana wyłącznie na dane dodatkowe jakie umieściliśmy w CV ponad katalog danych wynikający z Kodeksu pracy),
  • szkoleń BHP – firma szkoleniowa z mocy prawa ma obowiązek przetrzymywać np. rejestr wydanych zaświadczeń,
  • przy kontaktach handlowych poprzedzających zawarcie umowy.

W każdym z tych przypadków, gdy osoba fizyczna cofnie zgodę ….. nic się nie stanie. Lekarz czy dyrektor szkoły nie ma prawa usunąć danych, ponieważ zabrania tego ustawa o Prawach pacjenta czy Prawo oświatowe. Gdy rodzić lub pacjent cofnie zgodę, a w odpowiedzi otrzyma informację, że i tak dane będziemy dalej przetwarzać bo musimy – może czuć się oszukany. I słusznie – bo nie powinniśmy w ogóle w tym procesie pytać ani pobierać zgód na przetwarzanie.

Przykłady zgody na przetwarzanie danych osobowych

Zgoda w rekrutacji pracowników

Klauza zgody do CV może brzmieć następująco:

“Wyrażam zgodę na przetwarzanie moich dodatkowych danych osobowych w tej i przyszłych rekrutacjach. – z czego zaznaczony fragment jest opcjonalny. Nie ma potrzeby podawania podstawy prawnej lub odwoływania się do konkretnych paragrafów.

Zgoda w rekrutacji do szkoły

“Wyrażam zgodę na przetwarzanie dodatkowych danych osobowych moich i mojego dziecka w celu przeprowadzenia rekrutacji do niepublicznej szkoły muzycznej I stopnia” – taka zgoda jest uzasadniona, gdyż podczas rekrutacji będziemy robili przesłuchanie tak, aby określić predyspozycje dziecka. Jeżeli rodzic się nie zgodzi, rekrutacja może być przeprowadzona, ale dziecko nie uzyska np. minimalnej ilości punktów i nie zostanie przyjęte.

Przykłady zgód niepoprawnych

Zgoda w sklepie internetowym

“Wyrażam zgodę na przetwarzanie moich danych osobowych w celu realizacji zamówienia” – realizację zamówienia – czyli doprowadzenie do zawarcia umowy – realizujemy w oparciu o art. 6 ust. 1 lit. b).

Zgoda na przetwarzanie danych w procesie leczenia

“Wyrażam zgodę na przetwarzanie moich danych osobowych w procesie leczenia” – leczenie osób realizujemy w oparciu o art. 6 ust. 1 lit. c) i art. 9 ust. 2 lit. c), a gdy zachodzi potrzeba ratowania życia to przy zastosowaniu art. 9 ust. 2 lit. lit. h).

Zgoda na przetwarzanie danych w procesie kształcenia

“Wyrażam zgodę na przetwarzanie moich danych osobowych w procesie kształcenia mojej córki Janiny Nowak w niepublicznym przedszkolu Żabki” – naukę czy to w przedszkolu czy w szkole – tak publicznej jak i niepublicznej – realizujemy w oparciu o art. 6 ust. 1 lit. c)  w związku z Prawem oświatowym.

Temat zgody jest tematem bardzo obszernym i zalecamy przed prowadzeniem czynności opartych o podstawę prawną zgody – wykonanie analizy. Taką analizę wykonuje nasz Zespół Inspektora Danych w ułudzie outsourcingu lub w naszym programie Patronatu.

Jeżeli juz odwiedziłeś naszą stronę - zapraszamy do przejrzenia cennika usług!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Wypełnij to pole
Wypełnij to pole
Proszę wprowadzić prawidłowy adres email.
You need to agree with the terms to proceed

Menu