Ochrona Danych Osobowych

Dane osobowe to cenna waluta. Jak je pozyskiwać i jak je legalnie przetwarzać?

Posted on Author Comment(0)

Dane osobowe takie jak imię i nazwisko, email czy adres zamieszkania, jak również odpowiednie sprofilowanie pod kątem zainteresowań czy grupy wiekowej to wymierna wartość dla działań marketingowych i sprzedażowych wielu przedsiębiorstw. Jednakże każdy formularz kontaktowy, newsletter, zapisy do programu lojalnościowego czy system monitoringu – to również punkty styku między firmą a przepisami o ochronie danych.

Zdjęcie samochodu z serwisu Unsplash

Można zauważyć, że od czasu wejścia w życie unijnych przepisów o ochronie danych osobowych znanych pod skrótem „RODO” wzrosła świadomość w tym obszarze, a społeczeństwo przykłada większą wagę do ochrony swojej tożsamości w sieci. W obliczu tych zmian oraz wzrostu aktywności działań organów nadzorczych (jak Urząd Ochrony Danych Osobowych), przedsiębiorcy zadają sobie jedno, kluczowe pytanie:

Czy mogę legalnie przetwarzać dane bez pytania każdorazowo o zgodę osoby, której dane dotyczą?

Rozporządzenie o Ochronie Danych Osobowych (Dz.Urz.UE.L 2016 Nr 119, str. 1) (dalej jako: ,,RODO’’) przewiduje kilka podstaw prawnych do przetwarzania danych osobowych. Dwie z nich pojawiają się najczęściej w praktyce biznesowej, tj. zgoda osoby, której dane dotyczą,  na przetwarzanie swoich danych osobowych oraz prawnie uzasadniony interes administratora danych.

Wielu administratorów odruchowo sięga po tą pierwszą opcję – uważając ją za „bezpieczną przystań” – ale nie zawsze jest to konieczne. Co więcej, w niektórych przypadkach zgoda może się okazać rozwiązaniem niepraktycznym, a nawet ryzykownym. Z drugiej strony – uzasadniony interes, choć bardziej elastyczny, wymaga solidnej analizy i odpowiedniej dokumentacji.

Zgoda – najbezpieczniejszy, ale nie zawsze najlepszy wybór

Zgoda osoby, której dane dotyczą zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów jest najczęściej kojarzoną podstawą prawną przetwarzania danych osobowych. I rzeczywiście – jeśli mamy wyraźne „tak” od osoby, której dane dotyczą, wiele ryzyk znika.

Wśród zalet zgody osoby, której dane dotyczą, na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów można wskazać jasność i przejrzystość[1] przetwarzania danych osobowych, dzięki czemu osoba, której dane dotyczą wie, na co się zgadza i może łatwo śledzić swoje dane. Kolejnym pozytywem jest większa kontrola po stronie osoby, której dane dotyczą, co może wpływać na większe zaufanie do naszego przedsiębiorstwa. Ponadto warto podkreślić, że pytanie o zgodę postrzegane jest jako oznaka dbałości o prywatność klientów.

Zgoda osoby, której dane dotyczą, na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów posiada również pewne wady. W pierwszej kolejności należy wskazać wymogi formalne legalności. Ww. zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna, co oznacza, że nie można „ukryć” jej w regulaminie czy zaznaczyć domyślnie np. plikach cookies. Kolejna słabość pobierania zgody jest powiązana z kontrolą osoby, której dane dotyczą. Bowiem ta osoba może w każdej chwili ją wycofać, co może sparaliżować niektóre procesy (np. wysyłkę newslettera). Warto podkreślić, że po wycofaniu zgody przetwarzanie danych musi natychmiast ustać[2]. Inną z kolei wadą opierania procesu przetwarzania danych na podstawie zgody jest tzw. ryzyko „nadmiaru zgód”. W wielu sytuacjach firmy pytają o zgodę niepotrzebnie, co może prowadzić do utraty danych lub wprowadzenia niepotrzebnego chaosu (np. pytanie o zgodę na przetwarzanie danych do faktury – co nie jest wymagane).

Dlatego właśnie RODO przewiduje alternatywę na pozyskiwanie podstawy prawnej na przetwarzanie danych osobowych.

Uzasadniony interes – elastyczna i praktyczna podstawa

Zgodnie z art. 6 ust. 1 lit. f RODO, przetwarzanie danych osobowych jest zgodne z prawem, jeśli jest niezbędne do celów wynikających z prawnie uzasadnionych interesów administratora, o ile nie są one nadrzędne wobec interesów lub praw i wolności osoby, której dane dotyczą.

Co to oznacza w praktyce?

Można na tej podstawie przetwarzać dane osobowe bez konieczności uzyskiwania zgody osoby, której dane dotyczą. Przykładem przetwarzania danych osobowych na podstawie uzasadnionego interesu może być prowadzenie marketingu bezpośredniego do obecnych klientów, analiza danych dla poprawy bezpieczeństwa systemów IT, zabezpieczanie przysługujących roszczeń, stosowanie monitoringu wizyjnego w celu ochrony mienia, czy również przeciwdziałanie nadużyciom wewnętrznym w przedsiębiorstwie.

Niemniej, aby móc oprzeć proces przetwarzania danych na uzasadnionym interesie, uprzednio należy zidentyfikować interes administratora, ocenić niezbędność przetwarzania danych osobowych oraz dokonać tzw. testu równowagi interesów (czyli sprawdzić, czy prawa osoby, której dane dotyczą, nie są ważniejsze). Analiza dokonana w związku z testem równowagi powinna być dokładnie udokumentowana. Bowiem w razie kontroli organu nadzoru, administrator będzie mógł wykazać, że dokładnie ocenił sytuację. Decydując się na tą podstawę przetwarzanie danych, administrator powinien zrealizować względem osoby fizycznej obowiązek informacyjny i wskazać, że może ona zapoznać się z wynikami testu równowagi.

Jak podejść do tematu w Twoim przedsiębiorstwie?

Oto kilka wskazówek:

  • przed rozpoczęciem przetwarzania danych należy ocenić cel, zakres i ryzyka;
  • nie nadużywaj zgody, w niektórych przypadkach może to niepotrzebne skomplikować sytuację;
  • testy równowagi interesów, analiza ryzyk i rejestr czynności przetwarzania mogą uratować firmę w przypadku kontroli;
  • indywidualna ocena konkretnej sytuacji jest kluczowa, dlatego rozważ skonsultowanie się z prawnikiem lub IOD.

Zarówno zgoda, jak i uzasadniony interes mają swoje miejsce w systemie ochrony danych. Nie chodzi o to, by wybierać „bezpieczniej” lub „wygodniej” – chodzi o to, by wybierać właściwie. A każde przedsiębiorstwo powinno mieć ten wybór pod kontrolą – najlepiej z pomocą profesjonalnego doradcy.

 —————————–

[1] Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 31 stycznia 2024 r., II SA/Wa 1861/23

[2] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 30 grudnia 2022 r. ZSPR.440.963.2019

Dominik Jóźwiak

Aplikant adwokacki

Email: biznesprawnik@turcza.com.pl

Bądź na bieżąco ze zmieniającym się prawem. Dołącz do subskrybentów Newslettera prawnego Kancelarii TURCZA!

    Post Views: 35

    Powiązane artykuły
    Działalność gospodarcza Ochrona Danych Osobowych

    ePrivacy | Rewolucja czy ewolucja? Czyli kilka słów o tym, czy bać się, czy nie bać.

    Posted on Author

    Post Views: 2 136
    Ochrona Danych Osobowych

    Prawo do kopiowania dokumentów na podstawie przepisów ustawy o dokumentach publicznych, przepisach bankowych oraz „RODO”.

    Posted on Author

    Post Views: 4 528
    Ochrona Danych Osobowych

    E-mail z danymi osobowymi wysłany do niewłaściwego adresata – czy podlega zgłoszeniu do PUODO?

    Posted on Author

    Post Views: 19 660

    Dodaj komentarz

    This site uses Akismet to reduce spam. Learn how your comment data is processed.