... ... ...

6 błędów przy zbieraniu zgody na przetwarzanie danych osobowych

Dodane

14-08-2014

Mam Startup

Wielu funkcjonujących w Internecie przedsiębiorców gromadzi i przetwarza dane osobowe w celach marketingowych. Nie każdy robi to zgodnie z prawem. Znaczna część popełnia błędy już na pierwszym etapie całej zabawy, tj. uzyskiwania zgody na przetwarzanie danych. Przyjrzyjmy się, na czym te błędy polegają.

Zdjęcie royalty free z Fotolia

1. Uzależnienia możliwości skorzystania z płatnej usługi od wyrażenia zgody na przetwarzanie danych

Niedopuszczalne jest wymuszanie zgody na przetwarzanie danych w celach marketingowych poprzez uczynienie jej niezbędnym elementem możliwości skorzystania z usługi, za którą użytkownik i tak płaci. Zgoda w tym zakresie musi zostać udzielona przez użytkownika dobrowolnie. To po części ten sam problem, co w przypadku ukrywania zgody w regulaminie, ale ze względu na jego doniosłość, warto zwrócić na niego szczególną uwagę.

Inaczej sytuacja wygląda, gdy w zamian za wyrażenie zgody na przetwarzanie danych w celach marketingowych użytkownik otrzymuje jakieś ekwiwalentne świadczenie – np. dostęp do poczty, komunikatora, czy innej usługi. W takim przypadku, mimo obowiązku wyrażenia zgody, nadal pozostaje ona dobrowolna – ponieważ użytkownik może zrezygnować z określonej usługi. Dane osobowe to po prostu waluta, którą płaci się dzisiaj w Internecie za „darmowe” usługi.

Należy zatem rozróżnić sytuację usługi płatnej i bezpłatnej. W przypadku, gdy użytkownik płaci za określony produkt, bądź usługę – nie można go jednocześnie zmuszać do wyrażenia zgody na przetwarzanie danych w celach marketingowych. To po części ten sam problem, co w przypadku ukrywania zgody w regulaminie (patrz: pkt 3), ale ze względu na jego doniosłość, warto zwrócić na niego szczególną uwagę.

2. Checkboxy domyślnie zaznaczone

Nagminnym błędem jest ustawianie checkboxów na domyślnie zaznaczone. Wymóg ich samodzielnego zaznaczenia przez użytkownika nie wynika wprawdzie bezpośrednio z przepisów prawa, ale należy przyjąć, że domyślne zaznaczenie checkboxa nadaje zgodzie użytkownika charakter domniemany, a w konsekwencji zgoda taka nie spełnia wymogów stawianych przez ustawę o ochronie danych osobowych. Polemika z taką interpretacją jest oczywiście możliwa, ale przedsiębiorcy chcącemu mieć pewność, co do zgodności z prawem prowadzonych działań, należy rekomendować pozostawianie checkboxów domyślnie niezaznaczonych. Tym bardziej, że Wojciech Wiewiórkowski, Generalny Inspektor Ochrony Danych Osobowych, opowiedział się za tym rozwiązaniem:

Twardo i z zasady rzecznicy ochrony prywatności (w tym GIODO) przeciwni są zgodzi na podstawie domyślnego ustawienia formularza. Co do tego nie ma żadnych wątpliwości. [...] W ustawieniach domyślnych checkbox powinien być niezaznaczony [... ].

3. Łączenie akceptacji regulaminu ze zgodą na przetwarzanie danych

Zgoda na przetwarzanie danych musi być wydzielona od pozostałych oświadczeń użytkownika, w szczególności od akceptacji regulaminu. Sprytny trick polegający na łączeniu tych dwóch oświadczeń nie wchodzi w grę. Potwierdza to też GIODO w swoim oświadczeniu, w którym pisze, że: - Podmiot, który przy okazji zawierania umowy zamierza również pozyskać zgodę na przetwarzanie danych osobowych kontrahenta, zobligowany jest do wyodrębnienia oświadczenia, którego treścią jest zgoda na przetwarzanie danych osobowych, od oświadczenia wyrażającego chęć związania się postanowieniami umowy.

Skoro niedopuszczalne jest łączenie akceptacji regulaminu ze zgodą na przetwarzanie danych, to tym bardziej za niedozwolone trzeba uznać ukrywanie zgody w treści tegoż regulaminu. 

Jeżeli osoba zbierająca czy w inny sposób przetwarzająca dane osobowe zwraca się o zgodę, musi to zostać sformułowane w sposób jednoznaczny i wyróżniać się spośród innych pochodzących od tej osoby informacji i oświadczeń. W żadnej mierze nie jest wystarczające odsyłanie do treści innych dokumentów, na przykład ogólnych warunków umów, do odrębnie rozsyłanych prospektów lub reklam. [Barta J., Fajgielski P., Markiewicz R., Ochrona danych osobowych. Komentarz., Komentarz do art. 7 ustawy, LEX 2011]

Oświadczenie o wyrażeniu zgody na przetwarzanie danych w celach innych niż realizacja warunków umownych, nie może znajdować się jako jedno z postanowień umownych. Zgoda na przetwarzanie danych w celach marketingowych, reklamowych, informacyjnych [... ] musi być odrębnym oświadczeniem woli, z treści którego wynikałaby zgoda na przetwarzanie w tym właśnie celu. [wyrok Naczelnego Sądu Administracyjnego z dn. 19.11.2001 r., II SA 2748/00)

4. Łączenie zgody na przetwarzanie danych ze zgodą na otrzymywanie informacji handlowej

Rozróżnienie działań marketingowych od przesyłania informacji handlowej często sprawia trudności. Nie czas i miejsce w tej chwili na rozróżnianie tych dwóch pojęć. Przedsiębiorcy, chcącemu uniknąć ewentualnych wątpliwości, polecić należy rozdzielenie tych dwóch zgód i zbieranie oświadczeń oddzielnie, jeśli chodzi o przetwarzanie danych w celach marketingowych i otrzymywanie informacji handlowej drogą elektroniczną. Wojciech Wiewiórkowski, w Przeglądzie Komunalnym nr 12 /2012, pisze: - Zgoda na przetwarzanie danych w celach marketingowych powinna być wyodrębniona od zgody na przesyłanie informacji handlowych drogą elektroniczną. 

5. Zgoda na przekazywanie danych podmiotom trzecim

Zgoda na przekazanie zebranych danych osobom trzecim musi być wyodrębniona od zgody na ich przetwarzanie. Jeśli przedsiębiorca chce przekazywać dane innym podmiotom, np. swoim partnerom, musi uzyskać od konsumenta odrębną zgodę na to działanie wraz z oznaczeniem podmiotów, którym dane będzie przekazywał.

Zgoda na udostępnienie danych osobom trzecim musi być odrębnym od postanowień umownych oświadczeniem woli abonenta, nie musi on bowiem godzić się na udostępnienie swych danych osobom trzecim. [wyrok Naczelnego Sądu Administracyjnego z dn. 19.11.2001 r., II SA 2748/00]

Warto w tym miejscu odróżnić przekazanie danych od powierzenia, ponieważ powierzenie nie wymaga zgody użytkownika. Do powierzenia dochodzi, gdy osoba trzecia wykonuje wprawdzie określone czynności związane z danymi osobowymi, ale robi to w imieniu powierzającego przedsiębiorcy. Typowy przykład to dropshipping, gdy klient zamawia produkty w sklepie przedsiębiorcy, a ten przekazuje jego dane innemu przedsiębiorcy, by zajął się procesem skompletowania i wysyłki zamówienia. Na takie działanie odrębna zgoda nie jest potrzebna.

6. Zgoda blankietowa

Problem zgody blankietowej występuje coraz rzadziej w praktyce, ale warto gwoli ścisłości o nim wspomnieć. Zgoda na przetwarzanie danych musi zawsze wskazywać jakich danych dotyczy oraz w jakim celu będą one przetwarzane. Niedopuszczalne jest zbieranie zgód abstrakcyjnych.

Można kwestionować skuteczność oświadczeń polegających na podpisaniu ogólnikowej formułki: "Zgadzam się na przetwarzanie moich danych osobowych". Zgoda nie może mieć charakteru blankietowego (abstrakcyjnego), a więc odnosić się do bliżej nieokreślonych danych osobowych, które miałyby być przetwarzane w bliżej nieokreślonym celu, czy do bliżej nieokreślonych czynności, które miałyby być wykonywane. [Barta J., Fajgielski P., Markiewicz R., Ochrona danych osobowych. Komentarz., Komentarz do art. 7 ustawy, LEX 2011]

Podsumowanie

Sześć opisanych powyżej sytuacji to najczęstsze błędy popełniane przez przedsiębiorców przy zbieraniu zgód na przetwarzanie danych w celach marketingowych. Z pewnością nie wyczerpują one wszystkich praktyk, które mogą budzić uzasadnione wątpliwości w kontekście wymogów stawianych przez ustawę o ochronie danych osobowych. Pomysłowość i kreatywność to cenne w biznesie wartości, ale w przypadku projektowania najróżniejszych procesów rejestracji z podaniem danych osobowych – bywają zgubne.

Wojciech Wawrzak

Prawnik

Specjalizuje się w prawie własności intelektualnej, autor bloga praKreacja.pl. Doradza twórcom, artystom, freelancerom oraz przedsiębiorcom z branży kreatywnej w zakresie prawnych aspektów prowadzonej przez nich działalności.

Komentarze (0)