Nie jest tajemnicą, że firmom oferującym różnego rodzaju produkty i usługi najbardziej zależy na leadach. Tylko jak zdobyć te kontakty? Najprostszym sposobem jest oczywiście zachęcenie do pozostawienia swoich danych osobowych przy użyciu różnych formularzy: zapisu na newsletter, pobrania darmowego pliku, wysłania zapytania, zgłoszenia na webinar etc. Według art. 23 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę. Wyjątkiem jest przetwarzanie danych w celu realizacji umowy – jeśli firma gromadzi dane przyszłego klienta i ma zamiar wykorzystywać je wyłącznie do celu realizacji umowy, którą z nim zawiera, nie powinna wymagać wyrażenia zgody na przetwarzanie danych.

W praktyce mało który administrator danych zbiera dane osobowe w sposób prawidłowy. Część podmiotów robi to nieumyślnie – przepisy bowiem nie określają wzorów zgód, część natomiast udaje, że nie wie, że nieznajomość prawa nie usprawiedliwia i usiłuje przykryć swoje niecne praktyki pozyskania cennych maili za sprawą różnych dziwnych konstrukcji słowno-technicznych. Prześwietlmy zatem problem i nauczmy się robić to właściwie!

Jakie elementy musi zawierać zgoda na przetwarzanie danych osobowych?

Aby zgoda była udzielona prawidłowo, administrator danych zobowiązany jest poinformować tę osobę o:

Art. 24. 1. (…)

1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku;

2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych;

3) prawie dostępu do treści swoich danych oraz ich poprawiania;

4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Prawidłowa zgoda na przetwarzanie danych osobowych powinna więc wyglądać tak:

○ Wyrażam zgodę na przetwarzanie moich danych osobowych dla celów Q przez firmę X z siedzibą w Y przy ul. Z, zgodnie z ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2002 r. Nr 144, poz. 1204 z późn. zm.).

Zostałam/em poinformowana/y o dobrowolności podawania danych osobowych oraz o przysługującym mi prawie dostępu do treści moich danych oraz ich poprawiania.

Wiele celów – jedna zgoda?

Naczelny Sąd Administracyjny w wyroku z dnia 19 listopada 2001 r. (sygn. akt II SA 2748/00) stwierdził, że:

„(…) oświadczenie o wyrażeniu zgody na przetwarzanie danych w celach innych niż realizacja warunków umownych, nie może znajdować się jako jedno z postanowień umownych. Zgoda (…) musi być odrębnym oświadczeniem woli, z treści którego wynikałaby zgoda na przetwarzanie w tym właśnie celu.

Formuła „Wyrażam zgodę na przetwarzanie moich danych w celach marketingowych” jest sprzeczna z prawem gdyż nie określa podmiotu uprawnionego do przetwarzania danych ani nie posiada wymaganej przez ustawę formułki o dobrowolnym podaniu danych i prawie do ich przetwarzania etc. Zgoda na przesyłanie newslettera i ofert drogą elektroniczną nie równa się zgodzie na przetwarzanie danych w celach marketingowych. To dwie zupełnie różne zgody i dotyczą różnych zagadnień. Nie można jedną wspólną zgodą załatwić wszystkiego co wyjaśnia szerzej GIODO (do przeczytania). Do osoby od której uzyskaliśmy zgodę na przetwarzanie danych osobowych w celach marketingowych możemy np. zadzwonić albo wrzucić jej adres mailowy do listy remarketingowej, nie wolno nam jednak wysyłać jej e-maila z którego treści wynika chęć zaofertowania jakiegoś produktu. Nawet samo zapytanie Czy mogłabym przedstawić Panu/Pani ofertę X? może stanowić naruszenie, podobnie jak linki zawarte w stopkach.

Jeżeli do osoby od której uzyskujemy dane chcemy dzwonić i pisać e-maile powinniśmy uzyskać od niej dwie odrębne zgody jak na przykładzie poniżej:

○ Wyrażam zgodę na przetwarzanie moich danych osobowych dla celów marketingowych przez firmę X z siedzibą w Y przy ul. Z, zgodnie z ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2002 r. Nr 144, poz. 1204 z późn. zm.).

○ Wyrażam zgodę na przesyłanie informacji handlowych drogą elektroniczną przez firmę X z siedzibą w Y przy ul. Z, zgodnie z ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2002 r. Nr 144, poz. 1204 z późn. zm.).

Zostałam/em poinformowana/y o dobrowolności podawania danych osobowych oraz o przysługującym mi prawie dostępu do treści moich danych oraz ich poprawiania.

Przetwarzanie danych osobowych przez osoby trzecie

Jesteśmy administratorem danych subskrybentów naszego newslettera. Czy możemy przekazać naszą listę subskrybentów partnerowi biznesowemu aby wysłał do naszych klientów swoją ofertę? Owszem, możemy – o ile wcześniej uzyskaliśmy odpowiednio skonstruowaną zgodę od osób wchodzących w skład bazy. Pamiętajmy też, że przekazanie danych osobowych nie jest równoznaczne z ich powierzeniem np. zewnętrznej firmie realizującej wysyłki newslettera w naszym imieniu – do powierzenia danych osobowych innemu podmiotowi w celu realizacji działań objętych umową/wcześniej uzyskaną zgodą nie jest potrzebne złożenie odrębnego oświadczenia.

We wspomnianym już wyroku z dnia 19 listopada 2001 r. (sygn. akt II SA 2748/00), Naczelny Sąd Administracyjny stwierdził, że udostępnienie danych osobom trzecim może mieć miejsce tylko wtedy, gdy osoba, której dane dotyczą wyrazi na to wyraźną, odrębną zgodę. Jeżeli chcemy umożliwić innemu podmiotowi dostęp do danych osobowych osób z naszej bazy, musimy uzyskać od nich na to osobną zgodę na udostępnienie danych, chyba, że oświadczenie woli o wyrażaniu zgody na przetwarzanie danych obejmowało także możliwość udostępnienia danych innemu administratorowi (Janusz Barta, Ryszard Markiewicz, Ochrona danych osobowych Komentarz, Zakamycze 2002, s. 388; S. Grynhoffi P. Woźny, Ochrona Danych Osobowych w praktyce, pkt 2/2, s. 7-11).

Poniżej przykładowe, poprawne wzory zgód uwzględniające udostępniane danych osobowych osobom trzecim:

○ Wyrażam zgodę na przesyłanie informacji handlowych drogą elektroniczną przez firmę X z siedzibą w Y przy ul. Z oraz przez podmioty trzecie, z którymi X współpracuje, zgodnie z ustawą (…).

○ Wyrażam zgodę na przetwarzanie moich danych osobowych dla celów marketingowych przez firmę X z siedzibą w Y przy ul. Z  oraz osoby trzecie, działające z jego upoważnienia i na jego rzecz, zgodnie z ustawą (…).

Domyślnie zaznaczony checkbox – można czy nie można?

Nie można. Zgoda ma być udzielona w sposób dobrowolny, nie zaś podyktowana domyślnymi ustawieniami formularzy. Oświadczenie o wyrażeniu zgody musi być złożone świadomie i być zgodne z zamiarem. Według GIODO nikt nie może czuć się zmuszony do wyrażenia zgody (czytaj więcej).

Nieprawidłowa jest także próba załatwienia sprawy za pomocą domniemania zgody poprzez np. zamieszczenia checkboxa:

○ Nie wyrażam zgody na wysyłkę Newslettera.

To, że ktoś takiego pola nie odhaczy, nie oznacza, że wyraża tym samym zgodę na otrzymywanie Newslettera. Co najwyżej może się w ten sposób wypisać z listy subskrybentów.

Kiedy zgoda na przetwarzanie danych osobowych może być wymagana?

Mowa tu o sytuacji, w której w zamian za wyrażenie zgody na przetwarzanie danych osobowych, osoba która ją wyraża otrzymuje jakieś konkretne, bezpłatne świadczenie np. dostęp do serwisu, szkolenie, gadżet etc. Bardzo częstą praktyką jest np. wymóg wyrażenia zgody na przetwarzanie danych np. w celach marketingowych przed udziałem w konkursie z nagrodami, pobraniem darmowego egzemplarza magazynu lub uczestnictwa w bezpłatnym webinarze. Zgoda na przetwarzanie danych staje się w tym wypadku walutą, którą płacimy w podziękowaniu za możliwość otrzymania darmowego produktu lub usługi. Pamiętajmy, że wyjątek ten dotyczy wyłącznie bezpłatnych świadczeń – kiedy ktoś płaci za określony produkt/usługę, nie możemy go zmuszać do wyrażenia zgody na przetwarzanie danych w celach innych niż realizacja umowy (która to – dla przypomnienia – nie jest wymagana).

Ważne! Od dnia 25 maja 2018 r. ustawę o ochronie danych osobowych zastąpi  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Reklamy