Strona główna  Strona główna » Polityka prywatności RODO
Marki

POLITYKA PRYWATNOŚCI RODO

W nowym rozporządzeniu o Ochronie Danych Osobowych RODO bardzo duże znaczenie prawne   przypisano do formy składanego oświadczenia o udzieleniu zgody na przetwarzanie danych osobowych. 

 

Zgoda w wielu przepisach RODO stanowi przesłankę legalizującą przetwarzanie. Zgodnie z nową definicją „zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego przyzwala na przetwarzanie dotyczących jej danych osobowych”

 

Nie jest wymagana zgoda w formie „osobnej formułki” w przypadkach określonych w Rozporządzeniu RODO :

 

1. Jeżeli dane osobowe zostały przekazane w celu realizacji umowy, której stroną jest osoba, której dane dotyczą lub podjęcie na żądanie osoby, której dane dotyczą czynności niezbędnych do zawarcia umowy. Przykład – osoba, która dokonuje zakupu poprzez sklep internetowy „automatycznie swoim zachowaniem” wyraża  zgodę na wykorzystanie danych do realizacji sprzedaży, - wystawienie faktury, wysyłkę itd. - wszystko – ale tylko tyle ile jest niezbędne do realizacji dostawy zamówionych produktów. 

2.Zrealizowanie ciążącego na administratorze obowiązku wynikającego z przepisów prawa. Na przykład przetwarzanie danych pracownika w związku z zatrudnieniem.

3. Ochrona żywotnych interesów osoby, której dane dotyczą. Na przykład w sytuacjach kryzysowych – kataklizmów i katastrof, gdy przetwarzanie danych ma na celu ochronę życia i zdrowia osoby.

4. Wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

5. Wykonanie celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią. Interesy te nie mogą jednak być nadrzędne wobec interesów lub podstawowych praw i wolności osoby, której dotyczą, w szczególności dziecka.

 

W każdym innym przypadku konieczne jest udzielenie zgody na niżej opisanych warunkach. 

 

Aby zgoda była prawnie skuteczna  to muszą być spełnione łącznie następujące elementy formalne: 

 

- zgoda musi być udzielona w formie oświadczenia lub wyraźnego działania potwierdzającego – w przypadku sklepu internetowego może to być formułka w formie check-box – jednak należy pamiętać, że

 

- zgoda musi być udzielona jawnie i świadomie – nie może być w formie oświadczenia pośredniego np. „dokonanie zakupu oznacza zgodę...”, „złożenie zamówienia oznacza zgodę...” - takie zgody są NIEWAŻNE z mocy prawa, 

-  nie może być podpowiedzi na TAK, osoba składająca oświadczenie musi samodzielnie wstawić „x” do okienka i następnie zatwierdzić udzielenie zgody,

- nie jest ważna zgoda domniemana udzielona w sposób pośredni  – np. umieszczona w REGULAMINIE – akceptacja regulaminu nie wystarcza tu do ważności takiej zgody, 

 

- złożenie oświadczenia musi  być dobrowolne . Niezłożenie oświadczenia nie może się wiązać  się z negatywnymi konsekwencjami. Nie można uzależnić zawarcie umowy od udzielenia zgody  na przetwarzanie na inny cel (np. marketing) – jeżeli dodatkowe świadczenie nie jest konieczne do wykonania podstawowej umowy.

 

- Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celachJeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Cel przetwarzania musi być jasno i jednoznacznie określony. 

 

- zgoda powinna być konkretna i świadoma. Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej określenia:       KOMU jest udzielana  - nazwa identyfikująca administratora danych, numer ewidencyjny np. NIP lub KRS, oraz koniecznie dane kontaktowe adres e-mail i (o ile możliwe) telefon.

 W JAKIM CELU  - (zgoda bez określenia celu jest NIEWAŻNA!)

 

- składający oświadczenie musi być poinformowany o prawie do wycofania zgody w dowolnym momencie.  Przy czym – to nowość - wycofanie zgody powinno mieć taką samą formę jak jej udzielenie – powinno być równie łatwe jak jej wyrażenie – zalecane jest udostępnienie takiej samej formy – np. poprzez check-box.

 

- Składający oświadczenie  musi być poinformowany o prawie do wglądu, poprawiania oraz żądania usunięcia wszystkich danych (prawo do bycia zapomnianym).

 

Ciężar dowodu odebrania upoważnienia do przetwarzania danych osobowych (istotne szczególnie dla autorów stron internetowych). 

 

art. 7 ust. 1 rozporządzenia RODO wprowadza zasadę: 

 

Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

 

Spełnienie tego warunku wymaga nowych rozwiązań umożliwiających archiwizację uzyskanych zgód. Może to być ewidencja wpisana w program sklepu internetowego – może to być też dowolna ewidencja w innej formie. 

W przypadku zgody uzyskiwanej drogą elektroniczną, pojawia się jeszcze wymóg potwierdzenia zgody przez użytkownika. Wydaje się zatem, że w tym przypadku wskazane jest zastosowania metody double opt-in, gdy użytkownik po wypełnieniu formularza, musi jeszcze kliknąć w link potwierdzający swoją zgodę wysyłany mailem.

 

Należy jednak zwrócić uwagę na nowy obowiązek:  

 

Wycofanie zgody powinno mieć taką samą formę jak jej udzielenie – powinno być równie łatwe jak jej udzielenie 

 

Najczęściej oświadczenie jest składane w formie check-box na stronie internetowej. Z wyjaśnień do rozporządzenia wynika, że należy udostępnić możliwość cofnięcia zgody w takiej samej formie check-box. Jeżeli udzielenie zgody jest zapisywane w bazie danych to cofnięcie też powinno być zapisane (konieczność dowodu udzielenia lub cofnięcia zgody leży po stronie administratora). 

   

 

        1.  
        2. Warunki wyrażenia zgody przez dziecko

 

Rozporządzenie RODO wprowadza nowe regulacje dotyczące warunków wyrażania zgody przez dzieci. Zgodnie z art. 8 ust. 1 RODO, jeżeli zastosowanie ma zgoda na przetwarzanie danych osobowych, w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat (prawdopodobnie w Polsce będzie zachowana dotychczasowa niższa granica 13 – ale takiej decyzji formalnej jeszcze nie ma).  Jeżeli dziecko nie ukończyło 16 lat - przetwarzanie będzie dozwolone wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej przez nią zgody. Taki zapis wydaje się bardzo logiczny i uzasadniony. Problem pojawia się jednak w związku z wprowadzeniem wymogu  WERYFIKACJI przez ADMINISTRATORA, czy zgoda jest RZECZYWIŚCIE udzielona przez OPIEKUNA i czy jest to RZECZYWIŚCIE OPIEKUN.  Jak to robić ? Na razie nie zostało określone. 

Czy uzyskane dotychczas zgody na przetwarzanie danych osobowych  (pod obecnie obowiązującymi przepisami UODO) – są ważne?

 Rozporządzenie nie unieważnia dotychczasowych oświadczeń i przetwarzanie danych w oparciu o uzyskane oświadczenia po dniu 25.05.2018 jest dozwolone. Wg wyjaśnień na stronach GIODO jest jednak pewne „ale”.  Wg GIODO oświadczenie będzie nadal ważne, jeżeli zostało uzyskane przy zachowaniu wymogów obowiązujących pod RODO. W praktyce – z moich obserwacji i analiz – praktycznie prawie wszystkie uzyskane zgody będą z powyższego powodu nieważne. 

Zazwyczaj brak możliwości kontynuowania przetwarzania w oparciu o dotychczasowe zgody będzie wynikał z:

  • niewyrażania zgody w sposób świadomy (np. oświadczenie „Wyrażam zgodę na przetwarzanie danych osobowych zgodnie z Ustawą o ochronie danych osobowych”, .

  •  braku wskazania komu zgoda jest udzielana (nazwa, dane administratora i dane do kontaktu)

  •  jasne i konkretne określenie celu przetwarzania), 

  • braku dobrowolności (podpowiedź na TAK w formule zgody – w formie okienek domyślnie zaznaczonych.)

Specyficzne przykłady oświadczeń z udzieleniem zgody – na warunkach RODO.

 

Przy zapisie na newsletter należy zebrać następujące zgody:

  1. zgodę na przetwarzanie danych osobowych do celów marketingowych

  2. oraz zgodę na przesyłanie informacji handlowych środkami komunikacji elektronicznej.

  3. oraz zgodę na wykorzystanie telekomunikacyjnych urządzeń końcowych (zgoda z art. 172 prawa telekomunikacyjnego jest niezależna od dotychczas funkcjonujących zgód )

 

Sam proces pozyskiwania zgód powinien być jasny i klarowny dla osoby, która ma taką zgodę wyrazić. Tym samym zgoda nie może być po prostu ukryta w regulaminie, czy w jakikolwiek sposób domyślna.

 

Problemy z przetwarzaniem danych za pomocą mechanizmów Google (np. w Google docs.)

Firma Google Inc – w rozumieniu przepisów o RODO ma siedzibę w „państwie trzecim” - (t.j. poza Unią Europejską). W związku z tym zastosowanie mają przepisy: 

Art. 47. 1. Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych.
1a. Odpowiedni poziom ochrony danych osobowych, o którym mowa w ust. 1, jest oceniany z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności biorąc pod uwagę charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia danych oraz przepisy prawa obowiązujące w danym państwie trzecim oraz stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe.
2. Przepisu ust. 1 nie stosuje się, gdy przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej, gwarantującymi odpowiedni poziom ochrony tych danych.
3. Administrator danych może jednak przekazać dane osobowe do państwa trzeciego, jeżeli:
1) osoba, której dane dotyczą, udzieliła na to zgody na piśmie;
2) przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie; 

 

Przykładowe treści oświadczeń.

 

1. Jeżeli klient dokonuje zakupu poprzez sklep internetowy  bez rejestracji (zakładania konta) i podaje swoje dane WYŁĄCZNIE W CELU ZREALIZOWANIA UMOWY (wystawienie dokumentu sprzedaży i  dostarczenie zamówionych produktów na wskazany adres ) - nie jest wymagane uzyskanie zgody klienta na przetwarzanie jego danych .

 

2. Jeżeli klient ZAKŁADA KONTO – powinien wyrazić zgodę na przetwarzanie jego danych osobowych w tym celu (musi być określony CEL przetwarzania danych). Uwaga: check-box nie może zawierać podpowiedzi na TAK. Musi być pusty , klient musi SAM wpisać krzyżyk (lub inny znak stosownie do programu) i ZAAKCEPTOWAĆ – inaczej oświadczenie jest nieważne !

 

1 wariant: (najkrótszy -  literalnie nie jest zgodny z RODO ale stosowany przez duże firmy więc prawdopodobnie będzie akceptowany) -  zastosowania tylko wtedy gdy są odpowiednie zapisy w Regulaminie i Polityce Prywatności : 

 

Klikając ZAŁOŻ KONTO oświadczam, ze wyrażam zgodę na założenie konta na warunkach świadczenia usługi opisanych w REGULAMINIE i POLITYCE PRYWATNOŚCI 

 

(w regulaminie i Polityce Prywatności, które przygotowuję są odpowiednie zapisy do tego wariantu) 

 

2 wariant (bezpieczny – zawiera w oświadczeniu wszystkie elementy wymagane dla zgody) : 

 

Jeżeli klient ZAKŁADA KONTO – powinien wyrazić zgodę na przetwarzanie jego danych osobowych w tym celu (musi być określony CEL przetwarzania danych). Uwaga: check-box nie może zawierać podpowiedzi na TAK. Musi być pusty , klient musi SAM wpisać krzyżyk (lub inny znak stosownie do programu) i ZAAKCEPTOWAĆ – inaczej oświadczenie jest nieważne !

 

Przykładowa treść:

 

Wyrażam zgodę na  przetwarzanie moich danych osobowych przez firmę (tu nazwa firmy, identyfikator NIP lub KRS, adres e-mail do kontaktu z administratorem) w celu założenia i utrzymywania  mojego konta użytkownika na warunkach opisanych w REGULAMINIE i  przy zachowaniu przepisów rozporządzenia o ochronie danych osobowych (RODO). Zostałem poinformowany, że zgodę mogę wycofać w dowolnym momencie. Zostałem poinformowany, że mam prawo wglądu, poprawiania oraz żądania usunięcia moich danych osobowych w dowolnej chwili. 

 

3 wariant (pośredni między 1 i 2) : 

 

Wyrażam zgodę na przetwarzanie przez Sprzedawcę moich danych osobowych zawartych w formularzu rejestracji konta w celu i zakresie niezbędnym do realizacji zamówień – na zasadach określonych w regulaminie i w rozporządzeniu RODO. Zostałem poinformowany, że zgodę mogę wycofać w dowolnym momencie. Zostałem poinformowany, że mam prawo wglądu, poprawiania oraz żądania usunięcia moich danych osobowych w dowolnej chwili. 

 

Zasady przetwarzania danych Sprzedawcy opisuje Polityka Prywatności.  

 

–-------------------------------------------------------------------------------------------

3. Jeżeli chcemy wysyłać  newsletter to KLIENT musi wyrazić 3 zgody – w trzech osobnych check-boxach ! - zanim kliknie np. na  wyskakujące okienko - „ZAPISZ SIE NA NEWSLETTER” itp.)

Przy zapisie na newsletter należy zebrać następujące zgody:

a) zgodę na przetwarzanie danych osobowych do celów marketingowych

b) oraz zgodę na przesyłanie informacji handlowych środkami komunikacji elektronicznej.

c) oraz zgodę na wykorzystanie telekomunikacyjnych urządzeń końcowych (zgoda z art. 172 prawa telekomunikacyjnego jest niezależna od dotychczas funkcjonujących zgód )

Powszechnie nie jest praktykowane zbieranie zgody jak w pkt. c). Należy jednak wziąć pod uwagę, że  - kara pieniężna za brak wymaganej zgody z art. 172 wynosi do 3% przychodu z poprzedniego roku i nakładana jest w drodze decyzji przez Prezesa Urzędu Komunikacji Elektronicznej.)

 

Jeżeli do rozsyłania newslettera są wykorzystywane adresy „zakupione” od innych   podmiotów to z tymi podmiotami trzeba obowiązkowo zawrzeć umowy, w których podmioty te zagwarantują, iż udostępniane dane pozyskały zgodnie z prawem. Jeśli zaczniesz wykorzystywać dane z bazy pozyskanej w ten sposób, to zgodnie z RODO konieczne będzie poinformowanie osób, których dane wykorzystujesz (np. do celów marketingowych) w jaki sposób ich dane zostały pozyskane.

 

Jeśli wysyłkę newslettera w imieniu firmy realizuje firma zewnętrzna, musisz upewnić się, że masz z nią zawartą umowę powierzenia przetwarzania danych osobowych.

 

3.1. zgoda na  na przesyłanie informacji handlowych środkami komunikacji elektronicznej.

Wyrażam zgodę na otrzymywanie drogą elektroniczną na wskazany przeze mnie adres e-mail informacji handlowej w rozumieniu art. 10 ust. 1 ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną od [dane kontaktowe firmy – nazwa,  identyfikator NIP lub KRS]. Oświadczam, że zostałam(em) poinformowana(y) o przysługującym mi prawie dostępu do treści moich danych osobowych oraz ich poprawiania oraz żądania usunięcia, jak również prawa do wycofania zgody w każdym czasie. 

3.2. zgoda na  przetwarzanie danych osobowych do celów marketingowych

Wyrażam zgodę na przetwarzanie moich danych osobowych w rozumieniu rozporządzenia RODO o ochronie danych osobowych oraz ustawy z dnia 16 lipca 2004 roku Prawo telekomunikacyjne w celach marketingu bezpośredniego przez [dane kontaktowe firmy – w tym koniecznie e-mail i ew. telefon] i oświadczam, iż podanie przeze mnie danych osobowych jest dobrowolne. Oświadczam, że zostałam(em) poinformowana(y) o przysługującym mi prawie dostępu do treści moich danych osobowych oraz ich poprawiania oraz żądania ich usunięcia, jak również prawie do wycofania zgody w każdym czasie.  

3.3. zgoda na używanie telekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośredniego.

Wyrażam zgodę na używanie telekomunikacyjnych urządzeń końcowych do przesyłania informacji o ……. dla   [dane kontaktowe firmy – w tym koniecznie e-mail i ew. telefon], oświadczam, że zostałem poinformowany o prawie do wycofania zgody w każdym czasie.