RODO stosowane jest w naszym kraju od kilkudziesięciu dni. Narobiło się w związku z tym sporo zamieszania, które pewnie dopiero po jakimś czasie zniknie. To zamieszanie w większości przypadków nie wynika jednak z samych przepisów RODO, a z ich błędnego zrozumienia bądź też oparcia się wyłącznie na jakimś fragmencie Rozporządzenia, bez uwzględnienia pozostałych przepisów tam zawartych.
W związku z tym chciałem skupić się na nieco przyziemnej kwestii jaką jest zbieranie zgód na przetwarzanie danych. Momentami mam wrażenie, że niektórzy chcą te zgody zbierać wszędzie i zawsze. Nawet gdy takiej zgody nie potrzebują.
Dlatego zostaliśmy, jako użytkownicy Internetu, zasypani pytaniami o wyrażenie zgody na przetwarzanie danych osobowych na stronach internetowych. Z tego też powodu w wielu umowach pojawiają się bardziej lub mniej rozbudowane klauzule dotyczące wyrażenia zgody na przetwarzanie danych osobowych wraz z zawarciem umowy.
A trzeba sobie powiedzieć, że zgoda jest jedną z kilku podstaw do przetwarzania danych osobowych. Do tego aby legalnie przetwarzać czyjeś dane osobowe wystarczy jedna taka podstawa. Nie zawsze więc będziemy potrzebowali zgody aby przetwarzać czyjeś dane osobowe. I dlatego musimy odpowiedzieć sobie na podstawowe pytanie - czy zawierając umowę z naszym klientem potrzebujemy jego zgody na przetwarzanie danych osobowych?
Jedną z podstaw do przetwarzania danych osobowych (inną niż zgoda) jest sytuacja gdy dane przetwarzane są w związku z zawarciem lub wykonaniem umowy – czyli jeżeli zawieramy z kimś umowę to sam fakt jej zawarcia jest wystarczającą podstawą do przetwarzania danych osobowych. Nie musimy zbierać od takich osób zgody na przetwarzanie ich danych osobowych (a nawet nie powinniśmy).
Należy tylko pamiętać, aby w związku z zawarciem umowy zażądać od takiej osoby rzeczywiście tylko tych informacji, które są potrzebne do zawarcia i wykonania tej umowy (tzn. nie zbierać dodatkowych danych „na zapas”) i wykorzystać je właśnie po to aby tę umowę wykonać - co oznacza, że nie możemy później spamować naszego klienta ofertami innych naszych usług lub produktów bo podał nam w umowie adres poczty elektronicznej, który mieliśmy wykorzystać do kontaktu właśnie w celu wykonania tej umowy.
Pamiętajmy też o tym, że umowa nie zawsze musi zostać zawarta w formie pisemnej – jeżeli klient zlecił nam wykonanie jakiejś usługi, a cały kontakt odbywał się za pomocą poczty elektronicznej, to również zawarł z nami umowę i mamy podstawę do przetwarzania danych osobowych w tym zakresie.
Na tej podstawie możliwe jest również przetwarzanie danych potencjalnego klienta przed zawarciem umowy – w sytuacji gdy potencjalny klient zgłasza się do nas i chce skorzystać z naszych usług lub zakupić nasz produkt, również możemy przetwarzać jego dane osobowe i nie potrzebujemy na to odrębnej zgody.
Co więcej, zebranie zgody w takiej sytuacji mogłoby zostać uznane za wprowadzenie klienta w błąd – jeżeli więc podstawą do przetwarzania danych jest zawarta pomiędzy stronami umowa, to tego należy się trzymać.
Niezależnie, w przypadku przetwarzania danych w związku z wyrażoną zgodą, musimy pamiętać o spełnieniu obowiązku informacyjnego wobec tej osoby dotyczącego przetwarzania jej danych osobowych – zgodnie z przepisem art. 13 ust. 1 i 2 RODO. Należy to zrobić bez względu na to jaka jest podstawa do przetwarzania danych osobowych – również gdy podstawą jest zawarta umowa.
Podsumowując – warto zastanowić się, czy zawsze podstawą do przetwarzania danych osobowych musi być zgoda. Często uda się nam znaleźć lepsze (łatwiejsze do spełnienia) przesłanki – i należy wtedy się ich trzymać.