Powszechnie spotykam się z oburzeniem tych których dane osobowe są przetwarzane (np. przez sprzedających), pomimo braku ich zgody. Z drugiej strony obserwuję w biznesie stosowanie ogromnej ilości klauzul zgód. Czy zatem zgoda na przetwarzanie danych osobowych jest rzeczywiście w każdej sytuacji niezbędna? Otóż nie – w dalszej części artykułu wykażę, iż zgoda nie zawsze jest obligatoryjna. Co więcej posługiwanie się klauzulami zgód na przetwarzanie danych osobowych bywa nieproporcjonalne i mylące.
Zgody nie można również traktować jako dodatkowe zabezpieczenie. Z uwagi na rozmiar tego opracowania skupię się jedynie na przetwarzaniu danych zwykłych (np. imię i nazwisko, numer telefonu, PESEL, adres e-mail), z pominięciem danych wrażliwych (np. stan zdrowia). Zgodnie z art. 23 ustawy o ochronie danych osobowych („ustawa”) przetwarzanie danych osobowych jest możliwe w oparciu o następujące przesłanki prawne: zgoda osoby, której dane dotyczą (1), niezbędność dla realizacji uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (2), konieczność dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed jej zawarciem, na żądanie tej osoby (3), niezbędność do wykonania określonych prawem zadań realizowanych dla dobra publicznego (4), usprawiedliwiony cel realizowany przez administratorów danych albo odbiorców danych, przy założeniu, że przetwarzanie to nie narusza praw i wolności osoby, której dane dotyczą (5). Wszystkie wymienione powyżej podstawy przetwarzania danych są równorzędne, a zatem wystarczające jest spełnienie przez administratora przynajmniej jednej z nich.
Zgoda na wzięcie udziału w rekrutacji. Najpowszechniej klauzulę zgody stosuje się w procesach rekrutacyjnych. Klauzula taka wpisana jest w CV często automatycznie i z ostrożności. Celem rekrutacji jest dążenie do nawiązania relacji umownych (na podstawie umowy o pracę lub umowy cywilnoprawnej), a zgodnie z art. 23 ust. 1 pkt. 3 ustawy dopuszczalne jest przetwarzanie danych osobowych, gdy jest to niezbędne do podjęcia działań przed zawarciem umowy. Mając na uwadze ekonomikę w pozyskiwaniu oświadczeń rekomenduję zaniechanie pozyskiwania takich zgód, a tym bardziej niewarunkowanie możliwości wzięcia udziału w rekrutacji jej wyrażeniem. Niezbędne jest jednak pewne zastrzeżenie. Po zakończeniu procesu rekrutacji dane osobowe kandydata, który nie wyraził zgody na przetwarzanie danych dla celów przyszłych rekrutacji, należy usunąć.
Zgoda na przetwarzanie danych osobowych dla celów realizacji umowy. Przy okazji zawierania różnego rodzaju umów, zarówno drogą tradycyjną, jak i elektroniczną, spotykam się z zapytaniem o zgodę na przetwarzanie danych osobowych dla celów realizacji zamówienia. W sytuacji gdy osoba jest zainteresowana nawiązaniem relacji umownych np. zakupieniem produktu w e-sklepie – przetwarzanie danych osobowych jest niezbędne i opiera się na podstawie art. 23 ust. 1 pkt. 3 ustawy. Podobnie wygląda sytuacja przy organizacji programu lojalnościowego, czy dystrybucji newsletter’a. Substratem umowy jest tutaj regulamin. Jego akceptacja jest wystarczająca do przetwarzania danych osobowych dla celów organizacji programu, czy wysyłki newslettera.
Zgoda na marketing. Mniej oczywista jest odpowiedź na pytanie o podstawę przetwarzania danych osobowych dla celów marketingu. Ustawodawca dopuszcza przetwarzanie danych osobowych gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów administratorów danych oraz gdy nie ma podstaw do przyjęcia, że przeważą kolidujące chronione interesy osoby, której dane dotyczą, z uwagi na co będzie można mówić o naruszeniu jej praw i wolności. Co więcej w art. 23 ust. 4 ustawy uznano za cel prawnie usprawiedliwiony – „marketing bezpośredni własnych produktów lub usług administratora danych osobowych”. Oznacza to, iż dopuszczalne jest przetwarzanie danych osobowych dla celów marketingowych bez wyrażenia dodatkowej zgody przez podmiot danych.
Przepisy szczególne. Administrator nie ma jednak pełnej dowolności w wykorzystywaniu danych osobowych dla celów marketingowych. Artykuł 10 ustawy o świadczeniu usług drogą elektroniczną, zakazuje przesyłania niezamówionej informacji handlowej skierowanej do osoby fizycznej za pomocą środków komunikacji elektronicznej. Mowa tutaj o wiadomości e-mail lub SMS. W tym przypadku niezbędna jest zgoda. Ponadto na podstawie art. 172 prawa telekomunikacyjnego wymagana jest kolejna zgoda. Zakazane jest bowiem używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, w sytuacji gdy użytkownik końcowy uprzednio nie wyraził na to zgody. Co więcej zgodnie z powszechny, stanowiskiem, pomimo podobieństwa obu przepisów, oświadczeń nie można połączyć w jedną klauzulę. Zatem aby możliwa była np. akcja e-mail niezbędne jest dysponowanie obu oświadczeniami. Reasumując uwagi co do przepisów szczególnych, powyższe sprowadza się do wykorzystania danych osobowych w specyficzny sposób i dla szczególnego celu, ale nie jest to zgoda na przetwarzanie danych osobowych jako takich, o której pisałam na wstępie. Niezależnie bowiem od tych szczególnych przepisów administrator może np. wysłać promocyjny list drogą tradycyjną nie dysponując szczególną zgodą.
Justyna Matuszak-Leśny, LL.M.
Radca Prawny
Partner