Opublikowano: 3 stycznia 2018 przez Jan Nawrot

Kategoria: rodo | marketing |

Lemlock Lemlock logo

RODO zacznie obowiązywać wkrótce!


W związku ze zbliżającym się terminem obowiązywania RODO, przedsiębiorcy powinni zweryfikować, czy mechanizmy do tej pory stosowane do pozyskiwania i przetwarzania danych są zgodne z nową regulacją. Jakie niezbędne zmiany należy w związku z tym przeprowadzić?

Funkcjonowanie wielu biznesów bazuje na wykorzystaniu danych udostępnionych przez klientów czy partnerów. Do tej pory przedstawiciele różnych organizacji mieli dość „lekkie podejście” do kwestii wyrażania zgody na przetwarzanie danych. Od 25 maja 2018 r. wszystkie Państwa Członkowskie Unii Europejskiej będą zobowiązane do stosowania Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). W tym dokumencie została zawarta definicja zgody, która pozostaje niezmienna (i określa ją dokładnie art. 4 ust. 11 RODO), a modyfikacji ulega sposób jej wyrażenia i odebrania. I właśnie to przysparza kłopoty. Na Administratorze Danych Osobowych (ADO) ciąży obowiązek udowodnienia posiadania zgody na przetwarzanie danych osobowych. To właśnie ADO musi przechowywać i katalogować dokumenty, za pośrednictwem których w każdym czasie będzie w stanie udowodnić posiadanie podstawy prawnej do prawidłowego przeprowadzenia czynności przetwarzania danych.

Nie tak łatwo się zgodzić

Ogólne warunki, które powinna zawierać zgoda na przetwarzanie danych osobowych określa art. 7 RODO. Wspomniana zgoda musi zostać udzielona jeszcze przed rzeczywistym rozpoczęciem przetwarzania danych osobowych. Można tego dokonać za pośrednictwem pisemnego i ustnego wyrażenia woli. Zgoda może być uzyskana drogą elektroniczną np. w sytuacji, gdy użytkownik znajduje się na stronie internetowej z okienkami (z ang. checkbox) i które samodzielnie zaznacza. Warto tutaj wspomnieć o zgodach w formie ustnej. Wówczas administrator Danych Osobowych jest zobowiązany do udowodnienia, że faktycznie została ona pozyskana z zachowaniem procedur RODO.

Analizując RODO i zapisy o zgodzie można wyróżnić jej charakterystyczne cechy. Jak już wcześniej zostało wspomniane, na pewno powinna być ona udzielona za pomocą klarownego, potwierdzającego czynność działania lub oświadczenia złożonego w formie pisemnej lub ustnej. Zatem niedopuszczalne są sytuacje, w których powiadamia się odbiorcę o zamiarze przetwarzania danych, sugerując się brakiem jego sprzeciwu. Zgoda na przetwarzanie danych osobowych nie może być domniemana ani dorozumiana z innego oświadczenia woli, czyli musi być złożona odrębnie. Tylko dokument, który wyraźnie mówi o przetwarzaniu danych w konkretnej sytuacji i w konkretnym czasie jest w pełni legalny. Zgodę należy oddzielić zatem od wszystkich innych oświadczeń, składanych przez odbiorcę. Przy tym musi być ona:

  • w pełni dobrowolna (niepodparta np. wymuszaniem, groźbami czy aktem szantażu)
  • konkretna (z określeniem dokładnego celu przetwarzania)
  • świadoma (użytkownik otwarcie komunikuje, że wie, na co się zgadza, a na co nie)
  • wyrażona bez przymusu (zgodnie z art. 7 ust. 4 RODO: „Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy”.)

Jak powinien wyglądać komunikat o przetwarzaniu danych?

Bardzo często jest zauważalna praktyka automatycznego umieszczania na stronach internetowych pól (domyślnie zaznaczonych) przez Administratorów Danych Osobowych. Jest to zabieg nielegalny w świetle Rozporządzenia. Zabronione będzie także uznanie milczenia lub niepodjęcia określonej czynności, czy też zaniechania działania przez odbiorcę za wyrażenie zgody.

Komunikat o przetwarzaniu danych osobowych musi być sformułowany w sposób możliwie prosty, zwięzły i zrozumiały dla przeciętnego odbiorcy. Niedopuszczalne jest zbyt ogólne określenie celu przetwarzania danych wobec podmiotu danych. Zgoda powinna dotyczyć wszystkich czynności przetwarzania, dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na każdy, pojedynczy cel. Ponadto nie wolno domagać się zgody na przetwarzanie danych osobowych, gdy nie jest ona konieczna do realizacji usługi. Tutaj pojawia się kwestia firm wymagających od swoich klientów wyrażenia zgody na przetwarzanie danych osobowych w celach marketingowych pod presją braku finalizacji transakcji handlowej. Jest to niezgodne z RODO i godzi w prawo do swobodnego podejmowania decyzji.

Osoba przekazująca prawa osobowe ma prawo domagać się od ADO:

  • podania adresu siedziby i jej pełnej nazwy (w przypadku, gdy ADO to osoba fizyczna, musi ona podać swoje imię, nazwisko i adres zamieszkania),
  • przedstawienia celu, zakresu i konsekwencji zbierania danych,
  • podania motywu i źródła zebranych danych,
  • respektowania prawa do stałego dostępu do treści przekazanych danych oraz do ich aktualizacji,
  • respektowania uprawnienień wynikających z art. 32 ust. 1 pkt 7 i 8 (np. prawa do przenoszenia danych, do sprzeciwu czy do bycia zapomnianym).

Czy zgoda na przetwarzanie danych wyrażona dziś będzie ważna w RODO?

Zgoda na przetwarzanie danych osobowych złożona i uznana w ramach obowiązujących dotychczas przepisów wydaje się być nieco problematycznym zagadnieniem. Ważność wniesionego wcześniej oświadczenia woli i możliwość zalegalizowania procesu przetwarzania danych osobowych na przesłance zgody, od momentu wejścia w życie nowych przepisów zgodnych z RODO, uzależniona będzie od dodatkowego wymogu, a mianowicie poinformowania osoby, która taką zgodę ma wyrazić, o możliwości jej wycofania w dowolnym momencie, przy czym informacja taka musi być skierowana do tej osoby jeszcze przed złożeniem przez nią tego oświadczenia.

Słowem podsumowania należy powiedzieć, że nowe przepisy nie pociągają za sobą rewolucyjnych zmian. Sama formuła pozyskiwania zgody pozostaje zasadniczo niezmieniona, rozszerzeniu uległy zasady jej pozyskiwania.

Lemlock ebook. Poradnik ekspercki: Trzy podejścia do cyberbezpieczeństwa
Interesuje Cię kompleksowe rozwiązanie,
związane z bezpieczeństwem gromadzonych przez Ciebie danych?
Zgoda na  przetwarzanie danych w celu kontaktu
Potwierdzam, że zapoznałem/am się z  klauzulą informacyjną Sagiton Sp. z o.o.

Niniejszym wyrażam zgodę na przetwarzanie moich danych osobowych przez Administratora Danych Osobowych (dalej: „ADO”) – Sagiton Sp. z o.o. ul. Fabryczna 19, 53-609 Wrocław, w zakresie: imię i nazwisko, adres email lub telefon, w celach sprzedaży produktów i usług Sagiton Sp. z o.o. oraz w celu przesłania do mnie informacji zwrotnej i nawiązania ze mną kontaktu przez Sagiton Sp. z o.o.

Jednocześnie przyjmuję do wiadomości, że: w każdej chwili mogę zażądać usunięcia moich danych osobowych z bazy ADO Sagiton Sp. z o.o., poprzez wysłanie na adres poczty elektronicznej grzegorz.makosa@lemlock.com. lub na piśmie, na adres Sagiton Sp. z o.o., ul. Fabryczna 19, 53-609 Wrocław, oświadczenia zawierającego stosowne żądanie co skutkować będzie usunięciem moich danych osobowych z bazy danych ADO Sagiton Sp. z o.o.; mam prawo dostępu do treści swoich danych; podanie moich danych jest dobrowolne, aczkolwiek odmowa ich podania jest równoznaczna z nieotrzymywaniem informacji dotyczących sprzedaży produktów i usług Sagiton Sp. z o.o., a także z nieotrzymaniem informacji zwrotnej i nawiązaniem ze mną kontaktu przez Sagiton Sp. z o.o.

Zgodnie z art. 13 ust. 1 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016r., (RODO), informujemy, iż administratorem Pana/Pani danych osobowych jest Sagiton Sp. z o.o. z siedzibą przy ul. Fabrycznej 19, 53-609 Wrocław, e-mail: grzegorz.makosa@lemlock.com.

Pana/Pani dane osobowe przetwarzane będą w zakresie imię i nazwisko, adres email i/lub numer telefonu w celu odpowiedzi na Pana/Pani zapytanie/prośbę o kontakt i wystosowanie informacji zwrotnej– na podstawie art. 6 ust. 1 lit a RODO tj. zgody na przetwarzanie danych osobowych.

Administrator danych informuje, że Pana/Pani dane osobowe nie będą udostępniane podmiotom trzecim.

Pana/Pani dane nie będą przekazywane poza Europejski Obszar Gospodarczy lub do organizacji międzynarodowych.

Pana/Pani dane osobowe będą przetwarzane do wycofania przez Pana/Panią zgody na przetwarzanie danych a także w przypadku ustania celów przetwarzania tych danych.

Ma Pan/Pani prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia oraz prawo do wniesienia sprzeciwu.

W przypadku wyrażenia zgody ma Pan/Pani prawo wycofania zgody w dowolnym momencie. Skorzystanie z prawa do wycofania zgody nie ma wpływu na przetwarzanie, które miało miejsce do momentu wycofania zgody.

Przysługuje Panu/Pani prawo do wniesienia skargi do organu nadzorczego tj. Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.

Podanie przez Pana/Panią danych osobowych jest warunkiem nawiązania z Panem/Panią kontaktu przez Sagiton Sp. z o.o. z siedziba przy ul. Fabrycznej 19, 53-609 Wrocław. W przypadku niepodania danych osobowych, Sagiton Sp. z o.o., nie będzie w stanie nawiązać z Panem/Panią kontaktu.

Administrator Danych Sagiton Sp. z o.o. informuje, iż nie będzie wykorzystywał Pana/Pani danych osobowych do zautomatyzowanego podejmowania decyzji, które opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec Pana/Pani skutki prawne lub w podobny sposób istotnie na Pana/Panią wpływa.

Pozostańmy w kontakcie: