Wymuszanie zgody a ochrona danych osobowych

Nikt nie lubi być do niczego zmuszany. Wywieranie presji czasami przynosi skutek odwrotny i zamiast zgody na przetwarzanie danych osobowych mamy ucieczkę klienta niejako przypartego do muru.

Przedsiębiorcy konkurujący ze sobą na rynku dwoją się i troją, aby wyprzedzić konkurenta, zdobyć jak najwięcej kontaktów, klientów, nawiązać z nimi relację długofalową.

Firmy marketingowe również mają nie lada zadanie, aby zaproponować skuteczne strategie zdobycia lojalnego klienta tak w realu ale również  w internecie.

Dane osobowe. Towar cyfrowego świata. Posiadanie bazy danych osobowych osób, którzy wyrazili zgodę na przetwarzanie tj. wykorzystywanie ich danych osobowych dla celów marketingowych to prawdziwy skarb.

Ochrona danych osobowych. Pojęcie coraz bardziej znane w obrocie gospodarczym. Przedsiębiorcy zaczynają się zastanawiać, że być może problem dotyczy też ich właśnie. Zaczynają szukać, czytać i dochodzą do przekonania często, że w ich procesie zbierania i wykorzystwywania danych znajduje się wiele niedoskonałości. Czasami dzięki lekturze takich blogów jak mój.

Taką niedoskonałością jest wymuszanie zgody na przykład. Przejawia się to na przykład w uzależnieniu realizacji zamówienia określonego produktu lub usługi od wyrażenia zgody na przetwarzanie danych w celach promocyjnych.

Cechą prawidłowej zgody jest jej dobrowolność i swoboda jej wyrażenia.

W przypadku, gdy przedsiębiorca uzależnia świadczenie na rzecz klienta od wyrażenia zgody nie można mówić o swobodzie i dobrowolności. Ochrona danych osobowych wymaga, aby respektować prawo osoby do swobodnego  wyrażenia zgody na przetwarzanie danych w celach marketingowych.

Czasami znajdziemy jednak wyjątki. Będzie to miało miejsce wówczas, gdy osoba w zamian za wyrażoną na przetwarzanie danych osobowych zgodę otrzymuje jakieś ekwiwalentne świadczenie  na przykład usługę poczty elektronicznej, upominek czy szansę wygrania na loterii.

Potwierdza to jednak fakt, iż nie ma niczego za darmo a nasze dane osobowe stały się swoistym towarem, którym się obraca, wykorzystuje, z którego czerpie się zyski.

Nie mniej jednak wszyscy uczestnicy tego obrotu czerpiący zysk z przetwarzania danych osobowych muszą pamiętać, iż dane osobowe są dobrem prawem chronionym, że ustawa przyznaje prawo do ochrony każdego, czyje dane są przetwarzane.

Wobec fakt wzrostu świadomości dotyczącej potrzeby ochrony danych osobowych zwłaszcza w dobie intensywnego rozwoju gospodarki internetowej, nowych technologii powstaje w UE nowe prawo ochrony danych osobowych. Prawo to wyznaczy kierunek ochrony danych osobowych w Europie i na świecie na przyszłe dziesięciolecia.

Jest to najlepszy moment dla przedsiębiorców, aby uporządkować kwestie dotyczące przetwarzania danych osobowych w ich organizacji, aby spokojnie oczekiwać na wejście w życie nowych przepisów.

 

Obrót danymi osobowymi – ochrona danych osobowych

Obrót danymi osobowymi czyli tak naprawdę udostępnianie danych osobowych w oparciu o umowy cywilnoprawne w świetle prawa jest dozwolona. Pamiętać jednak należy, iż udostępnianie danych osobowych w ramach zawieranych umów musi być zgodne z ustawą o ochronie danych osobowych.

W mojej opinii obrót danymi osobowymi musi legitymować się odpowiednią podstawą prawną wymienioną w uodo.

W obrocie róznie  bywa z przestrzeganiem warunków legalnego przetwarzania danych. Pokłosiem takiego postępowania jest udostęnianie danych osobowych osobom nieuprawnionym. Ochrona danych osobowych gwarantowana przez przepisy prawne staje się wówczas iluzoryczna.

Nie jednemu z nas zdarzyło się otrzymać telefon czy e-mail od firmy, której nie udostęniał swoich danych osobowych. Niestety takie sytuacje nie należą do rzadkości. Firmy pamiętać jednak powinny, iż taki nielegalny obrót danymi osobowymi wypełnia znamiona czynów zabronionych, za które ustawa przewiduje sankcje karne.

Bywa też, że winne są same osoby udostępniające swoje dane osobowe, które często nie czytają dokadnie zgód, które podpisują a które zawierają w swojej treści niejednokrotnie zgodę na udostępnianie danych osobom trzecim.

Czasami też podmioty, którym administrator danych powierzył do przetwarzania dane powołują się na umowę powierzenia do przetwarzania, jako podstwę prawną przetwarzania danych. Jednakże należy pamiętać, iż w przypadku, gdy przetwarzający wykorzystuje dane do własnych a nie administratora danych celów umowa o powierzenie do przetwarzania nie może stanowić podstawy prawnej takiego przetwarzania.

Zgoda na przetwarzanie danych osobowych – wymuszona

Wielokrotnie pisałam o zgodzie na przetwarzanie danych osobowych. Dzisiaj to samo ale na przykładzie z praktyki sądu ochrony konkurencji i konsumentów.

W regulaminie świadczenia usług drogą elektroniczną sklep zawarł postanowienie, iż klient dokonujący zakupu wyraża zgodę na przekazanie swojego adresu e-mail innej Spółce oraz jednoczesnie również wyraża swoją zgodę na przetwarzanie danych w celu wypełnienia ankiety o dokonanej w sklepie transakcji. Tym samym regulaminem, jednym zapisem usługodawca, w tym przypadku sklep internetowy chciał upiec kilka pieczeni na jednym ogniu.

Jak wiadomo regulamin jest wzorcem umownym, jest umową, do której konsumenci przystępują bez możliwości negocjowania jej warunków. Chcąc kupić produkt w sklepie internetowym klikają “akcpetuję regulamin”. Akceptują tym samym wszystko, co się w treści takiego regulaminu znajduje. Między innymi zgody, o treści cytowanej wyżej. Trzeba jednak pamiętać, iż w celu realizacji umowy sklep internetowy może przetwarzać dane swoich klientów bez konieczności uzyskiwania dodatkowej zgody.

Jednakże każdy inny, niż realizacja zakupu, cel wymaga uzyskania wyraźnej zgody konsumenta. W klauzuli opisanej powyżej połączono zgody na udostępnienie danych innemu podmiotowi, co jest odrebnym celem i wymaga odrębnej zgody ze zgodą na przetwarzanie danych osobowych w celu wypełnienia ankiety, co również stanowi odrębny cel.

A teraz szczypta teorii. Zgoda na przetwarzanie danych osobowych w postaci oświadczenia woli musi zostać złożona świadomie, wyraźnie i co ważne swobodnie. Poprzez zmieszczenie w treści regulaminu oświadczeń o cytowanej wyżej treści konsument nie miał szans na swobodne udzielenie zgody. Jeśli chciał kupić towar musiał zaakceptować cały regulamin, ze wszystkimi jego postanowieniami.

Wielokrotnie pisałam, że praktyki łączenia w jednej klauzuli rożnych celów przetwarzania danych osobowych, do których zaliczymy również udostępnianie danych podmiotom trzecim, może spotkać się z negatywną oceną ze strony organów ochrony danych czy sądów.

Omawianą w niniejszym wpisie klauzulę sąd ochrony konkurencji i konsumentów uznał za niedozwolone postanowienie wzorca umowy i zakazał wykorzystywania go w umowach z konsumentami.

Bywa, że administratorów jest dwóch

Tak, w rzeczywistości sytuacja, gdy administratorów danych osobowych jest dwóch może się przydarzyć. Nie należy ona co prawda do sytuacji typowych, jednakże w życiu jest możliwa. Co ważniejsze mimo, iż przepisy prawne wyraźnie takiej sytuacji nie przewidują to nie oznacza to, iż sytacja taka w świetle prawa jest niemożliwa czy niedopuszczalna. Może ona mieć miejsce wówczas, gdy zbiór danych osobowych pozostaje we wspólnej dyspozycji więcej niż jednego podmiotu.

Administrator danych to jak dobrze wiemy jeden z głównych graczy w procesie ochrony i przetwarzania danych osobowych. Na nim spoczywa największe brzemie odpowiedzialności za dane osobowe, którymi administruje czy zamierza administrować. Decyduje on o celach i środkach przetwarzania danych osobowych. Oznacza to, że wyznacza cele, w których dane będzie przetwarzał oraz wyznacza środki, które umożliwią mu realizcję tychże celów.

W przypadku, gdy administratorów jest dwóch mogą oni działać wspólnie. W takim przypadku decyzje dotyczące zbioru podlegałby uzgadnianiu między nimi lub byłyby wynikiem uzgodnionego w tym zakresie podziału komptencji. Administratorzy mogą też działać samodzielnie i wówczas każdy z nich posiadałby status “samodzielnego” administratora.

Sytuacji, gdy w procesie ochrony i przetwarzania danych osobowych administratorów jest dwóch nie należy mylić z relacją administrator danych i przetwarzający, gdyż jest to zupełnie inna sytuacja. Administrator danych osobowych oraz przetwarzający są to dwa podmioty, które występują w procesie przetwarzania danych osobowych.  Jednakże rola, jaką każdy z tych podmiotów pełni jest odmienna i odmienne są też i obowiązki, ktore prawo przewiduje dla każdego z nich.

Reforma ochrony danych coraz bliżej

Reforma ochrony danych była jednym z głównych tematów marcowej sesji plenarnej Parlamentu Europejskiego.

W dniu 12 marca 2014 r. Parlament Europejski przegłosował przyjecie przepisów projektu rozporządzenia o ochronie danych osobowych . To kolejny ważny krok w sprawie reformy ochrony prywatności, zaś obecnie kluczowe dla nowych przepisów są toczące się prace w Radzie Unii Europejskiej.  Dzięki temu, posłowie wybrani w maju, będą mogli zadecydować o podjęciu pracy wykonanej przez poprzedników, aby nie zaczynać od początku.

Rozporządzenie przyniesie szereg zmian. Najważniejsze jednak, że będzie obowiązywało we wszystkich państwach Unii Europejskiej bezpośrednio. Wychodzi na przeciw zmianom, które zaszły od uchwalenia 19 lat temu dyrektywy o ochronie danych osobowych.

Postęp w dziedzinie nowych technologii, bogactwo sposobów przetwarzania danych osobowych w internecie to wyzwania, którym reforma stara się sprostać.

W świecie wirtualnym,  w którym dane osobowe stały się swoistą walutą, wartością samą w sobie ich szczególna ochrona wydaje się niekwestionowana. Wszyscy są co do tego zgodni. Jednak stawiając na ochronę danych osobowych z pola widzenia nie można tracić też dynamicznego rozwoju gospodarki internetowej. Proponowane rozwiązania wobec tego muszą dążyć do odpowiedniego wyważenia tych dwóch istotnych wartości.

 

 

Zgoda na przetwarzanie danych osobowych – błędy

Administrator danych musi wykazać się podstawą do przetwarzania danych osobowych. Prawo wymienia przesłanki, w oparciu o które takie przetwarzanie jest uprawnione. Jedną z podstaw legalnego przetwarzania danych jest zgoda. Przepisy mówią, że zgoda nie może być dorozumiana ani domniemana z oświadczeń woli innej treści.

W praktyce wygląda to tak, że administrator musi sformułować treść klazuli zgody, którą będzie odbierał od osób przy okazji zbierania danych. Sprawa wydaje się prosta, jednak jak to zwykle w życiu bywa tylko z pozoru.

W obrocie bowiem występuje wiele błędów w zakresie prawidłowego formułowania treści klauzul zgody. Najczęstszym z nich jest łączenie zgody na przetwarzanie danych osobowych ze zgodą na przesyłanie informacji handlowej drogą elektroniczną czy zgodą na udostępnianie danych podmiotom trzecim.

Powszechnie stosowaną praktyką jest również umieszczenie zgody na przetwarzanie danych osobowych w treści umów cywilnoprawnych  czy regulaminów. Praktyki takiej również nie można uznać za prawidłową w świetle prawa.

Administrator danych osobowych  powinien zadbać o poprawność zbieranych zgód. Jest to pierwszy krok w procesie przetwarzania danych. Jest on o tyle istotny, że rzutuje na cały proces przetwarzania danych osobowych, który może zostać zakwestionowany przez błędy na tym pierwszym wstępnym etapie. To trochę jak z przysięgą małżeńską. Błąd w oświadczeniu woli przy zawieraniu małżenstwa może być przyczyną unieważnienia tegoż małżeństwa.

Niestety w życiu administratorzy danych rozpoczynający proces zbierania danych z różnych przyczyn popełniają na tym wstępnym, bardzo ważnym etapie szereg błędów. Najgorsze, gdy taki stan trwa latami, baza danych osobowych rośnie a korekta błędów po latach, gdy baza liczy tysiące danych osobowych może się okazać problematyczna o ile w ogóle możliwa.