Dzisiejszym wpisem rozpoczynamy cykl krótkich artykułów, których celem będzie praktyczne wyjaśnienie podstaw prawnych przetwarzania danych – czyli wskazanie czytelnikom, kiedy wolno przetwarzać dane osobowe i jak się do tego zabrać.
Ustawodawca wprowadził katalogi zamknięte przesłanek legalizujących przetwarzanie danych osobowych w art. 23 i 27 ustawy o ochronie danych osobowych (UODO), wskazując sytuacje, w których przetwarzanie tych danych jest dopuszczalne. Pierwszy katalog, o którym będzie mowa w tym i kolejnych wpisach, dotyczy pięciu możliwości przetwarzania danych zwykłych – tzn. wszystkich tych, które nie zostały wyliczone w art. 27 ust. 2 UODO, a które w literaturze określa się danymi wrażliwymi, sensytywnymi (np. dotyczącymi stanu zdrowia, orzeczeń, nałogów).
Przesłanki, od których zaczynamy i wskazane w art. 23 wspomnianej ustawy, mają charakter równorzędny – żadna z nich nie legalizuje przetwarzania danych w „lepszy” sposób ani nie jest faworyzowana przez prawo. Ponadto, każda z przesłanek jest samodzielnie wystarczająca do legalizacji działań na danych – wystarczy spełnienie jednej z nich, aby móc na danych wykonywać każdą zamierzoną operację, która na pojęcie przetwarzania się składa, tj. np. zbierać, usuwać, utrwalać czy udostępniać dane (zgodnie z definicją przetwarzania wskazaną w art. 7 pkt. 2 UODO).
1. Osoba, której dane dotyczą wyrazi na ich przetwarzanie zgodę, chyba że chodzi o usunięcie dotyczących jej danych.
Pierwsza przesłanka legalizująca przetwarzanie danych opiera się po prostu na pozyskaniu zgody od osoby, której dane zamierzamy przetwarzać. Poniżej przybliżamy pojęcie zgody, sposoby jej konstruowania oraz sytuacje, w których można się nią posłużyć.
Co to jest: Zgoda to oświadczenie woli składane innej osobie lub podmiotowi, którego treścią jest zezwolenie na przetwarzanie danych osobowych składającego oświadczenie.
W jakich sytuacjach: Zawsze wtedy, gdy nie występuje żadna z pozostałych przesłanek, a chcemy przetwarzać dane (o tych pozostałych przesłankach w kolejnych częściach wpisu). Inaczej mówiąc, w sytuacjach, których ustawodawca nie przewidział jako legalizujące samodzielnie przetwarzanie danych na innej podstawie. Z praktycznego punktu widzenia będzie to na przykład udostepnienie danych Klientów innym podmiotom w celach typowo komercyjnych.
Dodać musimy do tego sytuacje, kiedy przepisy ustaw innych, niż UODO, wymagają pozyskania zgody wprost. Mowa tutaj o takich przypadkach, jak np. rozpowszechnianie wizerunku (art. 81 ustawy o prawie autorskim i prawach pokrewnych), czy przetwarzanie adresu e-mail w celu wysyłki ofert tym kanałem (art. 10 ustawy o świadczeniu usług drogą elektroniczną).
Przykłady użycia:
– Wszelkie przetwarzanie danych w celach marketingowych w formie elektronicznej czy telefonicznej – wysyłki reklam, informacji handlowych o produktach czy usługach, wysyłki oraz profilowania mailingów, wysyłki informacji o promocjach. Warto pamiętać, że zgodę pozyskujemy również, gdy przesyłamy takie informacje drogą elektroniczną do naszych obecnych Klientów – trwająca współpraca nie zwalnia nas z tego obowiązku. Ponadto, wyraźnej zgody wymaga także prowadzenie takich działań marketingowych na rzecz partnerów – tj. np. wysyłka newslettera informującego o zniżce na produkty zaprzyjaźnionej firmy do naszych Klientów. Uwaga: na przekazywanie materiałów drogą telefoniczną (połączenie głosowe) a drogą elektroniczną (wysyłka maila, SMS) pozyskujemy dwie odrębne zgody.
– Prowadzenie rekrutacji – od kandydatów do pracy pozyskujemy często duży zakres danych: nie tylko informacje o dotychczasowym zatrudnieniu, wykształceniu, czy przede wszystkim dane kontaktowe, ale także wizerunek w postaci zdjęcia, hobby. Użycie odpowiednio skonstruowanej klauzuli zgody nie tylko zalegalizuje przetwarzanie tych danych w trakcie procesu rekrutacji, ale może nam pozwolić na tworzenie bazy kandydatów do ewentualnego wykorzystania w przyszłości, tzn. po zakończonym procesie rekrutacyjnym.
– Sprzedaż baz danych (np. potencjalnych Klientów) – mamy tu do czynienia z sytuacją udostępnienia gromadzonych przez nas danych podmiotowi trzeciemu do wykorzystania zgodnie z jego wolą. Takie przekazanie danych również wymaga zgody osoby, której dane dotyczą, ze wskazaniem podmiotów docelowych oraz celu udostępnienia (dalszego przetwarzania przez odbiorcę).
– Badanie satysfakcji Klientów obecnych oraz byłych – jeśli zamierzamy w trakcie współpracy bądź nawet po jej zakończeniu, weryfikować zadowolenie naszych Klientów na przykład za pośrednictwem ankiety telefonicznej lub mailowej, warto pozyskać na to zgodę już na początku współpracy. Informacja zwrotna od Klienta jest często na wagę złota.
– Wbrew częstym praktykom, warto pamiętać, że pracownik powinien wyrazić zgodę na przekazanie przez pracodawcę do banku informacji o zarobkach i zatrudnieniu w przypadku starania się przez tego pracownika na przykład o kredyt. Przestrzegamy jednak, aby w miarę możliwości nie podawać danych telefonicznie, kiedy to uwierzytelnienie osoby dzwoniącej jest bardzo trudne. Zalecamy każdorazowo prosić o pisemne (papierowe, czy chociażby mailowe) zgłoszenie się o udostępnienie danych.
– Coraz częściej na stronach firm możemy znaleźć informacje o ich pracownikach (szczególnie w działach związanych z obsługą Klientów). Warto wiedzieć, że publikacja wizerunku pracownika (np. w postaci jego zdjęcia) zawsze wymaga jego zgody.
– Pozostając przy tematach pracowniczych – w przypadku oferowania osobom zatrudnionym benefitów w postaci dostępu do prywatnej opieki zdrowotnej czy usług firm oferujących karnety sportowe pamiętajmy o pozyskaniu zgody od każdego pracownika z osobna na udostępnienie jego danych właśnie do tych firm.
– Warto pamiętać, że zgody nie pozyskujemy w przypadku przesyłania swoim Klientom informacji o własnych produktach drogą pocztową (np. wysyłka katalogów czy ulotek reklamujących nasze usługi). Działanie takie legalizuje inna przesłanka, o czym będzie szerzej mowa w kolejnych wpisach.
Na co zwrócić uwagę przy pozyskiwaniu zgody:
– Wyrażenie zgody na przetwarzanie danych jest dobrowolne, ale może być niezbędne do np. udziału w rekrutacji czy realizacji usługi wysyłki newslettera zawierającego informacje handlowe,
– nie musi być pisemna, ale warto pamiętać, że dla celów dowodowych forma ustna jest mniej korzystna. Przy zbieraniu zgód drogą elektroniczną można zastosować tzw. Checkboxy, które wyrażający zgodę zaznacza np. wypełniając formularz zamówienia newslettera,
– musi być konkretna, tak aby nie było wątpliwości, na przetwarzanie jakich danych oraz w jakim celu i zakresie podmiot danych się zgadza. Nie może być dorozumiana ani domniemana, abstrakcyjna, czy blankietowa,
– wbrew powyższym zastrzeżeniom, administrator ma pewną dowolność przy konstruowaniu zgody, gdyż może ona:
> mieć ograniczony zakres:
>> zarówno przedmiotowo – zgoda na przetwarzanie określonych danych bądź tylko w określonych celach,
>> jak i podmiotowo – wskazanie, kto konkretnie np. spośród partnerów administratora będzie miał do danych dostęp,
>> terytorialnie – np. umożliwiać przetwarzanie wyłącznie na terenie Polski,
>> czasowo – być wyrażona np. tylko na rok lub do zakończenia współpracy,
> mieć charakter samodzielny (tzn. być jedynym oświadczeniem na dokumencie), bądź być częścią odrębną (co ważne), lecz towarzyszącą podpisywaniu umowy lub wypełnianiu innego dokumentu (np. formularza zamówienia).
Sytuacja wyjątkowa: W przypadku, gdy przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a nie ma możliwości pozyskania zgody tej osoby ad hoc, ustawodawca dopuszcza przetwarzanie tych danych bez spełnienia przesłanki do czasu, gdy pozyskanie zgody będzie możliwe.
Kiedy przesłanka wygasa: Co do zasady na podstawie zgody możemy przetwarzać dane bezterminowo. Należy jednak pamiętać, że zgoda może być w każdej chwili odwołana bez wskazania przyczyny i to wycofywanie zobowiązuje administratora do zaprzestania przetwarzania danych. Warto również pamiętać, że wyrażona zgoda może być ograniczona czasowo.
Co ciekawe, ustawodawca przewiduje możliwość usunięcia danych bez zgody osoby, której dane dotyczą, co może być kłopotliwe, gdy chodzi o sytuację, w której podmiotowi danych zależy na ich przetwarzaniu przez danego administratora.