Warto wiedzieć! Przydatne informacje o RODO – w tym m.in. przykłady przypadków, w których zgoda na przetwarzanie danych osobowych nie jest konieczna
Czy musimy zgodzić się na przetwarzanie danych osobowych, aby dane te mogły zostać przetworzone przez firmę czy instytucję? Odpowiedź w wielkim skrócie: Nie. Z kolei w tym artykule pokażemy, kiedy ktoś może przetwarzać dane osobowe bez Państwa zgody. Przy okazji poruszymy także kwestię tego jak powinna wyglądać poprawna zgoda na przetwarzanie danych osobowych, a także o czym nie może zapomnieć administrator danych. Zapraszamy serdecznie! 🙂
Kiedy zgoda na przetwarzanie naszych danych osobowych (RODO) jest ważna?
Przede wszystkim musimy odpowiedzieć sobie na pytania, czy zgoda, która została przez nas przedstawiona, jest konkretna, czy osoby te podpisują ją zupełnie dobrowolnie, a także czy jest jednoznaczna (chodzi tutaj o intencję i wolę osoby jej udzielającej) i świadoma. Pokrótce postaramy się wyjaśnić co oznaczają powyższe cechy ważnej zgody.
Na początek weźmy na tapet cechę “jednoznaczności”. Jednoznaczna, czyli taka, gdzie w sposób bardzo jasny opisujemy z czym jest związana zgoda. Każdy podpunkt musi być klarowny i oczywisty. Nie może być mowy o bardzo skomplikowanych i długich tekstach, przez które ciężko będzie przebrnąc.
Zgoda musi być konkretna, czyli musi konkretnie informować po co dana osoba ma podpisywać dokument. Osoba ta musi znać dokładnie cel podpisania takiej zgody, cel przetwarzania jej danych. Zgoda nie może zawierać sformułowań ogólnych, jak np. po prostu – “prosimy o zgodę na przetwarzania Państwa danych” – bez podania większej ilości informacji. Informacje te powinny też być napisane w sposób krótki, prosty, zwięzły, jasny: “chcemy Pana/Pani zgodę na przetwarzanie danych osobowych, ponieważ “x” (i tutaj cel). Będziemy przetwarzać dane “y” (jakie), przez okres czasu “z”, itd. Najlepiej, aby zgoda była na tyle prosta i czytelna, aby każdy bez problemu mógł zrozumieć na co się godzi.
Zgoda musi być też dobrowolna, a osoba ją akceptująca musi być świadoma skutków jej podpisania. To wymóg ustawy o RODO
Zgoda musi być dobrowolna. Osoba podpisująca dokument powinna wiedzieć, że może nie zgodzić się na przetwarzanie swoich danych. Nie może być do tego w żaden sposób zmuszona. Nie wolno takiej osobie grozić, że brak zgody oznaczać będzie np. pogorszenie jakości usługi, ponieważ firma zajmuje się np. także obszarem marketingowym i zwyczajnie chce zarobić na naszych danych, posługując się nimi nie jednorazowo, w celu zrealizowania umowy-sprzedaży, ale przez dłuższy czas w innych celach związanych z innymi obszarami i usługami. Jeśli usługa nie wymaga przetwarzania naszych danych (lub ich części), to wówczas takie działanie wobec nas byłoby nielegalne. Ktoś z nieuzasadnionych powodów nie może wymagać od nas podpisania zgody na przetwarzanie naszych danych osobowych.
W przypadku np. Newslettera, gdzie potrzebujemy mieć podstawowe dane klienta, zgoda nie może być wpleciona pomiędzy np. obietnice, w których informujemy o zaletach, jakie klient będzie miał dzięki subskrypcji naszego kanału komunikacji. Najlepiej, aby zgoda była oddzielnym okienkiem, wyszczególnionym akapitem, stroną. W tytule najlepiej wyraźnie napisać, że dokument, z którym klient zaraz się zapozna, dotyczy RODO.
Na koniec zgoda musi też być świadoma. Podpisując zgodę klient musi wyraźnie zgodzić się na przetwarzanie swoich danych osobowych w sposób, który nie budzi żadnych wątpliwości, że mógłby nie znać któregokolwiek z punktów zgody, nie być go świadomym, nie wiedzieć czego dotyczy itd.
Przykład zgody według Audyt Legis – biura rachunkowego w Warszawie, oferującego pełną księgowość
Na naszej stronie w zakładce “kontakt” znajdziecie Państwo formularz, a pod nim taką oto zgodę, wymaganą przez ustawę o RODO:
“Zgadzam się na przetwarzanie moich danych osobowych przez spółkę Audyt Legis Sp. z o. o. z siedzibą w Łomiankach, ul. Warszawska 135 w celu sporządzenia oferty na prowadzenie obsługi księgowo – kadrowej”.
Pod spodem jest też informacja o tym kto jest administratorem danych, a także informację o możliwości wycofania zgody na przetwarzanie danych, ich modyfikacji itp.
“Podanie danych jest dobrowolne. Podstawą przetwarzania danych jest moja zgoda. Odbiorcami danych mogą być podmioty zajmujące się obsługą informatyczną administratora danych. Masz prawo wycofania zgody w dowolnym momencie. Dane osobowe będą przetwarzane do ew. odwołania zgody, a po takim odwołaniu, przez okres przedawnienia roszczeń przysługujących administratorowi danych i w stosunku do niego. Masz prawo żądania od administratora dostępu do moich danych osobowych, ich sprostowania, usunięcia lub ograniczenia. W przypadku pytań dotyczących przetwarzania danych osobowych prosimy o kontakt z Inspektorem Ochrony Danych pod adresem ”.
Pamiętaj, aby gromadzić dowody na to, że klient udzielił zgody na przetwarzanie swoich danych. To chroni interes przedsiębiorcy!
Bardzo często zdarza się, że klienci godzą się na przetwarzanie danych osobowych podczas np. rozmowy telefonicznej. Firma zgadza się na taką praktykę. Uznajmy, że wszystkie cechy zgody zostały spełnione, a klient został o wszystkim odpowiednio poinformowany. Na koniec wyraził zgodę na przetwarzanie swoich danych osobowych. W teorii więc możemy spać spokojnie. W praktyce jednak za jakiś czas klient może zgłosić sprawę do sądu i powiedzieć, że nigdy nie godził się na przetwarzanie swoich danych osobowych, a jednak te dane są dzisiaj przetwarzane (np. otrzymał od nas telefon wykonany w celach marketingowych). Wówczas odpowiedni organ sprawdzi czy administrator faktycznie dysponuje danymi i je przetwarza. Jeśli okaże się, że tak, wówczas będziemy musieli udowodnić (a po naszej stronie taka odpowiedzialność), że klient najpierw sam zgodził się na to, abyśmy przetwarzali jego dane.
Ale jak mamy to zrobić? Nie dysponujemy żadnymi dowodami. Musimy przedstawić, że klient wyraził zgodę na nasze telefony, a w tej sytuacji pozostaje tylko jedno wyjście – być roztropnym i wcześniej nagrywać taką rozmowę telefoniczną (oczywiście informując, że klient jest nagrywany). Najlepiej jednak umówić się, że taką zgodę do zaakceptowania prześlemy drogą e-mailową. Wówczas system informatyczny zbierze odpowiednie dane potwierdzające, że osoba “x” podpisała zgodę dnia “y”. Dowodem będzie choćby nr IP.
Poinformuj o możliwości wycofania zgody
Pamiętajmy też, aby każda osoba podpisująca taką zgodę wiedziała, że może w dowolnej chwili ją cofnąć. Taka informacja jest konieczna. Cofnięcie takiej zgody powinno być też dla osoby, której dane przetwarzamy, łatwe do realizacji. Przykładowo, jeśli podpisywaliśmy zgodę drogą e-mailową, to i taką drogą powinniśmy móc ją wycofać
Musimy koniecznie poinformować osobę, która zgadza się na przetwarzanie danych osobowych, jak długo będziemy przechowywać i używać jej danych. Czas musi być uzasadniony m.in. celem. Jeśli więc potrzebujemy tych danych, aby wysyłać komuś przez rok e-maile marketingowe, to po upłynięciu 12 miesięcy musimy skasować zebrane informacje, pozwalające na identyfikację tożsamości zainteresowanego.
Czy zawsze potrzebna jest zgoda?
Odpowiedzmy najpierw krótko: nie. Dlaczego? Z kilku powodów, które wymienione zostały w ustawie o RODO. Przykład to zatrudnienie pracownika. Pracodawca nie musi informować go o przetwarzaniu jego danych (oczywiście pozostając tylko przy tych danych, które musi posiadać). To samo dzieje się, gdy np. coś zagraża życiu lub zdrowiu osoby, które dane zamierzamy przetworzyć. Kiedy chcemy ochronić taką osobę i musimy natychmiast np. udostępnić jakiemuś organowi chronione prawem dane, wówczas nie musimy takiej osoby pytać o zgodę. To samo dotyczy choćby obecnej epidemii – pandemii koronawirusa. Niektóre dane dotyczące np. rozprzestrzeniania się epidemii na terenie naszego kraju są pomocne, aby wprowadzić w życie, choćby przez resort zdrowia, niezbędny plan działania, który chronić ma obywateli. Zbieranie zgód na przetwarzanie danych spowolniłoby znacząco, a może nawet całkowicie uniemożliwiłoby wykonanie takiego zadania.
Brak zgody nie jest też przeszkodą, abyśmy mogli wykonać zadania realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. To samo tyczy się choćby branży e-commerce. Załóżmy, że mamy sklep internetowy i sprzedajemy T-shirty. Jeśli ktoś kupi u nas produkt, a podczas składania zamówienia poda nam swoje dane, to nie musimy prosić go o ich przetworzenie. My po prostu musimy to zrobić. Poza tym po dokonanej transakcji dane takie muszą zostać przez nas usunięte. Są więc w tym przypadku użyte jednorazowo i to w konkretnym celu – w celu podpisania umowy-sprzedaży.
Obowiązki administratora - ochrona danych osobowych (RODO)
Pamiętajmy też o swoich obowiązkach jako administratorzy danych osobowych. Przez cały czas musimy postępować jawnie i transparentnie. Osoba, której dane przetwarzamy, musi dokładnie wiedzieć, że je posiadamy, wiedzieć, co z nimi robimy, gdzie się znajdują, jak je zbieramy, jak je kompletujemy. Pamiętajmy też, aby dokładnie zastanowić się, jakie dane będą nam niezbędne, aby realizować nasze cele, a następnie tylko te konkretne dane dalej przetwarzać. W tym przypadku lepiej zebrać danych za mało, aniżeli za dużo. Jeśli będziemy potrzebowali więcej danych w przyszłości, co będzie podyktowane przesłankami prawnymi, wówczas lepiej ponownie poprosić o zgodę na przetwarzanie danych osobowych, z uwzględnieniem zmian i wyjaśnieniem dlaczego rozszerzyliśmy ilość danych o np. PESEL czy nr dowodu osobistego. Pamiętajmy, że każdy rodzaj zbieranych przez nas danych musi być uzasadniony.
Koniecznie pamiętajmy też, aby dane przez nas przetwarzane były przetwarzane w sposób prawidłowy. Musimy zapewnić osobę, która udzieliła nam zgodę, że jej dane zostały zapisane poprawnie i w taki sposób poprawny będą dalej używane. Musimy też zapewnić, że w każdej chwili dane te będą mogły zostać zmodyfikowane, że będa w przyszłości do wglądu danej osoby. Np., gdy osoba zmieniłaby miejsce zamieszkania, a potrzebujemy je znać, aby realizować cele naszej firmy w postaci choćby wysyłki zakupionej przez klienta prenumeraty czasopisma, wówczas klient po skontaktowaniu się z administratorem, musi mieć możliwość wprowadzenia zmian w systemie i poprosić osobę, która ma dostęp do bazy o zmianę adresu.
PODSUMOWANIE
Na koniec pamiętajmy, aby dane, które przechowujemy, były u nas w pełni bezpieczne. W systemach, bazach, w których są one gromadzone, muszą istnieć odpowiednie zabezpieczenia, które pozwolą uniknąć przypadków np. nagłego wycieknięcia danych i dostania się ich w niepowołane ręce. Musimy zabezpieczyć je w sposób roztropny, a więc niekoniecznie na każde istniejące zagrożenie, ale na każde realne zagrożenie, które może wystąpić w naszej firmie czy instytucji, którą prowadzimy. Nikt nie wymaga też od nas, abyśmy wydawali setki tysięcy złotych na zabezpieczenia, gdy jesteśmy np. mikroprzedsiębiorcami. Zróbmy wszystko możliwie jak najlepiej, ale jednocześnie mądrze i z rozsądkiem. Przy ewentualnych kłopotach będziemy bowiem musieli wykazać, że zrobiliśmy wszystko, co w naszej mocy (czyli m.in. w naszej konkretnej sytuacji finansowej, z wiedzą o zagrożeniach jaką mieliśmy), aby uniknąć np. ataku hackerskiego.
I choć bardzo byśmy chcieli w jednym artykule zawrzeć wszystko to, co dotyczy wyglądu zgody na przetwarzanie czyichś danych osobowych, a także poinformować o wszystkich wyjątkach czy zasadach działania, to jednak jest to niemożliwe. RODO to dość skomplikowany obszar, który najlepiej powierzyć opiece doświadczonym osobom. Zachęcamy do kontaktu z naszym biurem rachunkowym online lub do wizyty bezpośrednio w siedzibie Audyt Legis (nasze biuro rachunkowe w Warszawie). Zajmujemy się pełną księgowością, kwestiami bezpieczeństwa (m.in. integracją systemów IT) – w tym właśnie związanych z przechowywaniem danych. Stosujemy certyfikaty bezpieczeństwa, które gwarantują pewność ochrony Państwa dokumentów. Zapraszamy do kontaktu. Pełna lista naszych usług znajduje się tutaj. 🙂