Wielokrotnie pisałam o zgodzie na przetwarzanie danych osobowych. Dzisiaj to samo ale na przykładzie z praktyki sądu ochrony konkurencji i konsumentów.

W regulaminie świadczenia usług drogą elektroniczną sklep zawarł postanowienie, iż klient dokonujący zakupu wyraża zgodę na przekazanie swojego adresu e-mail innej Spółce oraz jednoczesnie również wyraża swoją zgodę na przetwarzanie danych w celu wypełnienia ankiety o dokonanej w sklepie transakcji. Tym samym regulaminem, jednym zapisem usługodawca, w tym przypadku sklep internetowy chciał upiec kilka pieczeni na jednym ogniu.

Jak wiadomo regulamin jest wzorcem umownym, jest umową, do której konsumenci przystępują bez możliwości negocjowania jej warunków. Chcąc kupić produkt w sklepie internetowym klikają „akcpetuję regulamin”. Akceptują tym samym wszystko, co się w treści takiego regulaminu znajduje. Między innymi zgody, o treści cytowanej wyżej. Trzeba jednak pamiętać, iż w celu realizacji umowy sklep internetowy może przetwarzać dane swoich klientów bez konieczności uzyskiwania dodatkowej zgody.

Jednakże każdy inny, niż realizacja zakupu, cel wymaga uzyskania wyraźnej zgody konsumenta. W klauzuli opisanej powyżej połączono zgody na udostępnienie danych innemu podmiotowi, co jest odrebnym celem i wymaga odrębnej zgody ze zgodą na przetwarzanie danych osobowych w celu wypełnienia ankiety, co również stanowi odrębny cel.

A teraz szczypta teorii. Zgoda na przetwarzanie danych osobowych w postaci oświadczenia woli musi zostać złożona świadomie, wyraźnie i co ważne swobodnie. Poprzez zmieszczenie w treści regulaminu oświadczeń o cytowanej wyżej treści konsument nie miał szans na swobodne udzielenie zgody. Jeśli chciał kupić towar musiał zaakceptować cały regulamin, ze wszystkimi jego postanowieniami.

Wielokrotnie pisałam, że praktyki łączenia w jednej klauzuli rożnych celów przetwarzania danych osobowych, do których zaliczymy również udostępnianie danych podmiotom trzecim, może spotkać się z negatywną oceną ze strony organów ochrony danych czy sądów.

Omawianą w niniejszym wpisie klauzulę sąd ochrony konkurencji i konsumentów uznał za niedozwolone postanowienie wzorca umowy i zakazał wykorzystywania go w umowach z konsumentami.

Tak, w rzeczywistości sytuacja, gdy administratorów danych osobowych jest dwóch może się przydarzyć. Nie należy ona co prawda do sytuacji typowych, jednakże w życiu jest możliwa. Co ważniejsze mimo, iż przepisy prawne wyraźnie takiej sytuacji nie przewidują to nie oznacza to, iż sytacja taka w świetle prawa jest niemożliwa czy niedopuszczalna. Może ona mieć miejsce wówczas, gdy zbiór danych osobowych pozostaje we wspólnej dyspozycji więcej niż jednego podmiotu.

Administrator danych to jak dobrze wiemy jeden z głównych graczy w procesie ochrony i przetwarzania danych osobowych. Na nim spoczywa największe brzemie odpowiedzialności za dane osobowe, którymi administruje czy zamierza administrować. Decyduje on o celach i środkach przetwarzania danych osobowych. Oznacza to, że wyznacza cele, w których dane będzie przetwarzał oraz wyznacza środki, które umożliwią mu realizcję tychże celów.

W przypadku, gdy administratorów jest dwóch mogą oni działać wspólnie. W takim przypadku decyzje dotyczące zbioru podlegałby uzgadnianiu między nimi lub byłyby wynikiem uzgodnionego w tym zakresie podziału komptencji. Administratorzy mogą też działać samodzielnie i wówczas każdy z nich posiadałby status „samodzielnego” administratora.

Sytuacji, gdy w procesie ochrony i przetwarzania danych osobowych administratorów jest dwóch nie należy mylić z relacją administrator danych i przetwarzający, gdyż jest to zupełnie inna sytuacja. Administrator danych osobowych oraz przetwarzający są to dwa podmioty, które występują w procesie przetwarzania danych osobowych.  Jednakże rola, jaką każdy z tych podmiotów pełni jest odmienna i odmienne są też i obowiązki, ktore prawo przewiduje dla każdego z nich.

Reforma ochrony danych coraz bliżej

Reforma ochrony danych była jednym z głównych tematów marcowej sesji plenarnej Parlamentu Europejskiego.

W dniu 12 marca 2014 r. Parlament Europejski przegłosował przyjecie przepisów projektu rozporządzenia o ochronie danych osobowych . To kolejny ważny krok w sprawie reformy ochrony prywatności, zaś obecnie kluczowe dla nowych przepisów są toczące się prace w Radzie Unii Europejskiej.  Dzięki temu, posłowie wybrani w maju, będą mogli zadecydować o podjęciu pracy wykonanej przez poprzedników, aby nie zaczynać od początku.

Rozporządzenie przyniesie szereg zmian. Najważniejsze jednak, że będzie obowiązywało we wszystkich państwach Unii Europejskiej bezpośrednio. Wychodzi na przeciw zmianom, które zaszły od uchwalenia 19 lat temu dyrektywy o ochronie danych osobowych.

Postęp w dziedzinie nowych technologii, bogactwo sposobów przetwarzania danych osobowych w internecie to wyzwania, którym reforma stara się sprostać.

W świecie wirtualnym,  w którym dane osobowe stały się swoistą walutą, wartością samą w sobie ich szczególna ochrona wydaje się niekwestionowana. Wszyscy są co do tego zgodni. Jednak stawiając na ochronę danych osobowych z pola widzenia nie można tracić też dynamicznego rozwoju gospodarki internetowej. Proponowane rozwiązania wobec tego muszą dążyć do odpowiedniego wyważenia tych dwóch istotnych wartości.

 

 

Administrator danych musi wykazać się podstawą do przetwarzania danych osobowych. Prawo wymienia przesłanki, w oparciu o które takie przetwarzanie jest uprawnione. Jedną z podstaw legalnego przetwarzania danych jest zgoda. Przepisy mówią, że zgoda nie może być dorozumiana ani domniemana z oświadczeń woli innej treści.

W praktyce wygląda to tak, że administrator musi sformułować treść klazuli zgody, którą będzie odbierał od osób przy okazji zbierania danych. Sprawa wydaje się prosta, jednak jak to zwykle w życiu bywa tylko z pozoru.

W obrocie bowiem występuje wiele błędów w zakresie prawidłowego formułowania treści klauzul zgody. Najczęstszym z nich jest łączenie zgody na przetwarzanie danych osobowych ze zgodą na przesyłanie informacji handlowej drogą elektroniczną czy zgodą na udostępnianie danych podmiotom trzecim.

Powszechnie stosowaną praktyką jest również umieszczenie zgody na przetwarzanie danych osobowych w treści umów cywilnoprawnych  czy regulaminów. Praktyki takiej również nie można uznać za prawidłową w świetle prawa.

Administrator danych osobowych  powinien zadbać o poprawność zbieranych zgód. Jest to pierwszy krok w procesie przetwarzania danych. Jest on o tyle istotny, że rzutuje na cały proces przetwarzania danych osobowych, który może zostać zakwestionowany przez błędy na tym pierwszym wstępnym etapie. To trochę jak z przysięgą małżeńską. Błąd w oświadczeniu woli przy zawieraniu małżenstwa może być przyczyną unieważnienia tegoż małżeństwa.

Niestety w życiu administratorzy danych rozpoczynający proces zbierania danych z różnych przyczyn popełniają na tym wstępnym, bardzo ważnym etapie szereg błędów. Najgorsze, gdy taki stan trwa latami, baza danych osobowych rośnie a korekta błędów po latach, gdy baza liczy tysiące danych osobowych może się okazać problematyczna o ile w ogóle możliwa.

 

Zgoda na badanie osobowości

Wczoraj dzwonił do mnie znajomy. Pracodawca poprosił go o wyrażenie zgody na badanie osobowości przy pomocy grafologicznej analizy pisma. Swoją drogą podobno bardzo skuteczna metoda. Był nieco zdezorientowany.  Pytał mnie czy pracodawca ma prawo żądać od niego wyrażenia zgody na takie badanie. Odpowiedziałam, że żądać to nie może na pewno.

Pracodawca może żądać od pracownika lub kandydata do pracy danych wymienionych szczegółowo w Kodeksie pracy. Oznacza to, że nie ma podstaw prawnych żądanie przez pracodawcę jakichkolwiek innych danych niż te literalnie wymienione w przepisach. A badanie osobowości przy pomocy testów psychologicznych mimo postulatów ze strony środowiska pracodawców nie zostało w prawie polskim uregulowane.

Przetwarzanie innych danych nawet za zgodą pracownika wielokrotnie w doktrynie i orzecznictwie zostało uznane za nieuprawnione. Przede wszystkim z uwagi na stosunek podległości służbowej występujący między pracodawcą a pracownikiem, który powoduje, iż zgoda wyrażona przez pracownika zawsze może być zakwestionowana.

Zgoda na przetwarzanie danych osobowych musi być wyraźna oraz wyrażona w sposób swobodny i nieskrępowany jakąkolwiek presją. W tym przypadku oczekiwaniami pracodawcy, aby pracownik wyraził zgodę na pożądane przez pracodawce badanie.

Z drugiej jednak strony wydaje się, że podejście zaprezentowane powyżej może być niekorzystne nie tylko dla pracodawcy, ale również dla samego pracownika. Sam pracownik bowiem może mieć wolę wyrażenia zgody na wykonanie takiego czy innego badania.

Najlepiej byłoby oczywiście, gdyby przepisy kodeksu pracy zostały zmienione w zakresie danych, które  pracodawca ma prawo przetwarzać. W tej kwestii środowisko pracodawców zwraca uwagę na konieczność przetwarzania danych o karalności, przeprowadzania testów psychologicznych i psychometrycznych czy gromadzenia danych o pracownikach zawartych w opiniach czy referencjach.

Mój znajomy zgodził się na badanie. Większość z pracowników czy kandydatów do pracy chyba jednak poproszona taką zgodę wyraża w obawie negatywnych konsekwencji, jakie mogłoby ich spotkać ze strony pracodawcy w przypadku.

W związku z powyższym omawiane kwestie powinny uregulować przepisy w sposób otwierający drogę do przetwarzania niektórych rodzajów danych osobowych osobowych, w sposób gwarantujący poszanowanie praw i wolności pracowników. 

Dane osobowe z przeszłości…

Dane osobowe w potocznym odczuciu kojarzą się z nazwiskiem i imieniem osoby fizycznej. Ustawa o ochronie danych osobowych mówi jednak, iż dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Zakres wobec tego informacji chronionych jest bardzo szeroki i wykracza poza dane stricte osobowe. Są to bowiem wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Ciekawa sprawa dotycząca tego zagadnienia znalazła swój finał przed sądem. Zaczęło się od niewinnego zamieszczenia na naszej klasie przez jednego z użytkowników grupowego zdjęcia klasy uczniów konkretnej  szkoły podstawowej. Wszyscy uczniowe również zostali oznaczeni personalnie z imienia i nazwiska.

Jednemu z uczniów ten fakt się nie spodobał. Uznał, ze jego prywatność została naruszona, nie wyrażał zgody na udostępnianie swoich danych w internecie.

Co ciekawe GIODO uznał, iż zdjęcie sprzed 30 czy 40 lat nawet oznaczone imieniem i nazwiskiem nie pozwala na identyfikację konkretnej osoby fizycznej, tego dzisiejszego 40 latka. Dziwne prawda.

Sprawa znalazła swój finał przed Sądem. Pomijając inne ważne wątki wynikłe na jej tle sentencja orzeczenia nie pozostawiała wątpliwości. Zamieszczone na naszej klasie grupowe zdjęcie klasy konkretnej szkoły podstawowej, oznaczone imieniem i nazwiskiem, pozwala na identyfikację konkretnej osoby fizycznej. Sąd uznał, iż nie ma znaczenia fakt, iż wizerunek tejże osoby znacząco odbiega od tego sprzed 30 lat, widniejącego na szkolnej fotografii.

Orzeczenie wydaje się być logiczne i zaspokaja poczucie społecznej sprawiedliwości. Jednakże jak widać kwestia nie była taka oczywista nawet dla samego GIODO.

Nie tak dawno pisałam o kartach rabatowych tak chętnie oferowanych w zamian za zgodę na przetwarzanie danych osobowych.

Na własnej skórze również miałam okazję przekonać się, że nie ma nic za darmo.

Wypełniając formularz w celu wydania karty klienta nie odznaczyłam wszystkich możliwych zgód. Nie podobało mi się na przykład, że sklep chce przetwarzać moje dane osobowe nie tylko dla własnych celów marketingowych, ale również chce je udostępniać innym podmiotom. Nie wyraziłam więc zgody na udostępnianie moich danych osobowych innym podmiotom. Podpisałam formularz i oddałam sprzedawcy. Wówczas zostałam poinformowana, że muszę udzielić wszystkich zgód, aby otrzymać kartę klienta.

Zgoda na przetwarzanie danych osobowych jest oświadczeniem woli składanym drugiej stronie.

Zgoda musi mieć charakter wyraźny a jej wszystkie aspekty dla podpisującego powinny być jasne w momencie wyrażenia.

Więcej na temat zgody możesz się dowiedzieć z innych moich artykułów. Na przykład tutaj http://przetwarzaniedanych.pl/przeslanki-przetwarzania-danych-osobowych-czesc-i/.

Kluczowym zgadnieniem dla omawianej sytuacji jest fakt, iż decyzja w sprawie wyrażenia zgody powinna być podjęta swobodnie.

Czy można uznać za swobodnie podjętą w sprawie wyrażenia zgody decyzję, która została niejako wyrażona pod presją, za którą możemy uznać uzależnienie od tejże zgody świadczenia nam określonych usług.

No własnie wywieranie jakiejkolwiek presji w celu wyrażenia przez osobę zgody na przetwarzanie danych osobowych stawia tę osobę w krępującej sytuacji, w której trudno mówić o swobodnym podjęciu decyzji.

Wszelkie naciski, presje i inne praktyki stosowane w celu wymuszenia zgody na przetwarzanie danych w przypadku, gdy usługi są odpłatne uznane są za niedopuszczalne i bezprawne.

Nie do końca się z tym zgadzam, ale w pewnych warunkach, gdy usługi świadczone są nieodpłatnie uznaje się, że można uzależnić ich świadczenie od wyrażenia przez usługobiorcę zgody na przetwarzanie jego danych osobowych.

Moim zdaniem nie oznacza to jednak zupełnej w tym zakresie dowolności i usługodawcay powinni postępować tak, aby nie narazić się na zarzut  naruszenia zasad współżycia społecznego czy dobrych obyczajów.

 

 

Prawo penalizuje przesyłanie niezamówionej informacji handlowej. Zapytanie jednak o zgodę na przesłanie informacji handlowej uznaje się za dopuszczalne. W mojej opinii podejście to w świetle prawa jest usprawiedliwione.

Kontrowersyjna czasami bywa treść zapytania, która w przeważającej większości przypadków już zawiera informację handlową. W takim przypadku musi być zakwalifikowana jako niezamówiona informacja handlowa i tym samym zakazana.

Zapytanie o zgodę nie może w swojej treści zawierać informacji handlowej czyli treści reklamującej lub promującej towar czy usługi. Wielokrotnie już pisałam, iż informacja handlowa w polskim porządku prawnym ujęta jest bardzo szeroko i jest nią w zasadzie każda informacja czy komunikat o chrakterze marketingu bezpośredniego, pośredniego a także propozycje zawarcia umowy itd.

Z uwagi na tak szeroką definicję informacji handlowej treść zapytania o zgodę na jej przesyłanie powinna być sformułowana w sposób neutralny tak, aby nie narazić się na zarzut naruszenia przepisów o zakazie przesyłania niezmówionej informacji handlowej.

Powyższe nie oznacza jednak, że w treści samego zapytania nie można wskazać pewnych szczegółów dotyczących informacji handlowych, których zapytanie dotyczy. Osoba udzielająca zgody musi posiadać minimum wiedzy o zakresie i treści przyszłej informacji, aby świadomie podjąć decyzję o wyrażeniu bądź niewyrażaniu zgody na jej przesyłanie.

Zakazana informacja handlowa

Właśnie otrzymałam wiadomość z zapytaniem o zgodę na przesłanie informacji handlowej dotyczącej warsztatów na temat skutecznej windykacji, które odbędą się w Warszawie. Dalej podana jest dokładna data prowadzenia warsztatów, konkretna cena, którą należy uiścić za uczestnictwo.

W e-mail’u prosi się odbiorcę o udzielenie zgody na przesłanie informacji handlowej dotyczącej tychże warsztatów podczas, gdy większość informacji zawiera już samo zapytanie o zgodę.

W internecie zapytań takich krąży bez liku i każdy bez wątpienia miał okazję otrzymać podobne zapytanie, jak ja dzisiaj.

Wysyłanie informacji handlowych pocztą elektroniczną wymaga uprzedniej i wyraźnej zgody odbiorcy informacji. Oznacza to, że zakazane jest wysyłanie informacji handlowej drogą elektronczną bez zgody odbiorców.

O informacji handlowej i jej definicji w świetle prawa pisałam tutaj http://przetwarzaniedanych.pl/zimowa-lawina-rabatow/.

W polskim porzadku prawnym zakazane jest wysyłanie reklam do oznaczonego odbiorcy będącego osobą fizyczną. Oznacza to, że dopszuczalne będzie wysyłanie ofert i innych wiadomości marketingowych na adresy firmowe, ale takie, które nie zawierają danych osobowych osób fizycznych.

Na wstępie dałam przykład  zapytania o zgodę na przesyłanie informacji handlowej, przesyłanego do odbiorcy jako tzw. pierwszy e-mail .  Jednakże e-mail ten w swojej treści oprócz  prośby o wyrażnie zgody na przesyłanie informacji zawierał też informację handlową sensu stricte. Taka praktyka nie może znaleźć usprawiedliwienia w obowiązujących rzepisach a informacja taka musi być zakwalifikowana jako zakazana informacja handlowa.

Czytanie linii papilarnych…

Każdemu z pewnością zdarzyło się nie raz, nie dwa tworzyć na potrzeby rekrutacyjne słynne cv. Z reguły większość z nas używa gotowych wzorów dostępnych w sieci. Na koniec w każdym wzorze umieszczamy klauzulę zgody na przetwarzanie naszych danych osobowych na potrzeby rekrutacji i zadowoleni z siebie wysyłamy cv do pracodawcy.

Zgodnie z kodeksem pracy pracodawca ma prawo żądać od pracownika i kandydata do pracy następujących danych:

 imię (imiona) i nazwisko, 
 imiona rodziców,
datę urodzenia,
miejsce zamieszkania (adres do korespondencji),
wykształcenie,
 przebieg dotychczasowego zatrudnienia.

Może żądać też jeszcze innych danych, jeśli jest to konieczne dla korzystania przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.

Czy pracodawca może żądać od pracownika linii papilarnych palców pracowników w celu ewidencjonowania czasu pracy przy pomocy zainstalowanych w wejściu czytników tych linii. Okazuje się, że nie może. W tym duchu zapadały decyzje GIODO oraz orzeczenia sądowe.

Sąd zakwestionował dopuszczalność przetwarzania przez pracodawcę takich danych, pomimo że uzyskał on od pracowników zgodę na piśmie na przetwarzanie elementów ich linii papilarnych, w której precyzyjnie wskazano cel operacji na danych.

Zdaniem sądu wyrażona na prośbę pracodawcy pisemna zgoda pracownika na pobranie i przetworzenie jego danych osobowych narusza prawa pracownika i swobodę wyrażenia przez niego woli. Za tak sformułowanym stanowiskiem przemawia zależność pracownika od pracodawcy. Brak równowagi w relacji pracodawca – pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych).

GIODO mówi jednak, że zgoda pracownika na przetwarzanie jego danych osobowych innych niż taksatywnie wynienionych w kodeksie pracy ma znaczenie o tyle, o ile pracownikowi pozostawiona jest rzeczywista swoboda jej wyrażenia. Oznacza to możliwość niewyrażenia zgody na przetwarzanie danych osobowych bez żadnych negatywnych dla pracownika konsekwencji.