Treść zgody i obowiązki informacyjne według RODO
Jak powinna wyglądać zgoda by była poprawna według przepisów RODO? Kiedy trzeba zbierać zgodę, a kiedy nie. Jakie obowiązki informacyjne trzeba spełnić zbierając dane osobowe.
- Rafał Stępniewski
- /
- 24 kwietnia 2018
Na stronie sklepu internetowego sprzedawcy udostępniają wiele formularzy za pośrednictwem których, klient może podać swoje dane osobowe w różnych calach, np. założenia konta klienta, złożenia zamówienie, zapisu na Newsletter, skontaktowania się ze sprzedawcą za pośrednictwem formularza kontaktowego, zapisu na szkolenie on-line/webinar itp. W poniższych opracowaniu przedstawimy Państwu jak powinna wyglądać zgoda przy tego typu formularzach, jakie obowiązki musi spełnić Sprzedawca, jak również czym kierować się przygotowując tego typu formularze.
Firma przy projektowaniu formularzy za pośrednictwem których może się z nią skontaktować klient, w tym za pośrednictwem których klient podaje swoje dane osobowe, powinna mieć na względzie kilka podstawowych zasad wynikających z RODO.
ZGODNOŚCI Z PRAWEM, RZETELNOŚCI I PRZEJRZYSTOŚCI
oznacza to że dane osobowe przetwarzane muszą być zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. W praktyce, musimy zbierać dane z poszanowanie obowiązujących przepisów w tym właśnie RODO, formularze powinny być przejrzyste tzn. klient powinien dokładnie wiedzieć jakich danych potrzebujemy i w jakim celu, formularz musi być sformułowany w sposób jasny i prosty, tak by nie wynikały z niego żadne dwuznaczności w zakresie celu przetwarzania danych osobowych.
OGRANICZENIA CELU
oznacza zbieranie danych w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. W praktyce jeśli klient podaje nam adres e-mail w cel rejestracji konta, a pod formularzem rejestracji nie było dodatkowego checkbox’a w którym klient mógłby wyrazić zgodę na Newsletter, to nie możemy tego adresu e-mail dołączyć do naszej bazy do wysyłki informacji handlowej.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
ZASADA MINIMALIZACJI DANYCH
oznacza, że dane mają być zbierane adekwatnie, stosownie oraz w sposób ograniczony do tego, co niezbędne do celów, w których są przetwarzane. W praktyce oznacza to, że jeżeli mamy formularz zamówienia, to danymi osobowymi adekwatnymi na pewno będą imię i nazwisko, adres e-mail, adres dostawy, numer telefonu. Czasami w formularzach można również spotkać płeć oraz datę urodzenia. Te dwie dane nie są potrzebne do przeprocesowania zamówienia, ale np. Sprzedawca chciałby skorzystać z tych informacji w celu wysłania kartki urodzinowej lub specjalnej oferty dedykowanej np. dla kobiet w dniu 8 marca. Aby móc to wykonać pod chccebox’em o akceptacji regulaminu powinien się również pojawić checkbox zapisu na Newsletter.
Przy większość formularzy będzie również funkcjonowała tzw. zgoda na przetwarzanie danych osobowych. Ogólne rozporządzenie o ochronie danych osobowych (RODO) nie zmieniło w znacznym stopniu aktualnie obowiązującej definicji zgody na przetwarzanie danych osobowych. Wprowadziło natomiast obok dotychczas funkcjonującej zgody w formie oświadczenia woli – możliwość uznania za ważną zgody wyrażonej w sposób dorozumiany poprzez wyraźne działanie potwierdzające. Wypracowane zostały także niezbędne elementy okazania zgody, a są nimi: dobrowolność, konkretność, świadomość i jednoznaczność.
Szczegółowo o zasada dotyczących zgód pisaliśmy już na naszym blogu.
Obowiązek wykazania odebrania zgody
Fakt uzyskania zgody powinien być możliwy do udowodnienia. Obowiązek ten wpisuje się w zasadę rozliczalności, na której oparte są nowe przepisy unijne dotyczące ochrony danych osobowych. Administratorzy danych otrzymali dużą dowolność w zakresie ochrony procesów przetwarzania danych osobowych, z tym, że powinni być w stanie wykazać, że faktycznie realizują nałożone przez rozporządzenie wymogi. Dlatego w przypadku zbierania zgód w formie pisemnej należy archiwizować podpisane formularze. W przypadku odbierania zgód w formie elektronicznej, np. za pomocą checkboxa, system informatyczny powinien zapisywać adres IP oraz datę zaznaczenia checkboxa. Dopuszczalne jest również zbieranie zgody na przetwarzanie danych osobowych w rozmowie telefonicznej. Rozmowa taka powinna być jednak nagrywana, o czym uprzednio należy poinformować osobę, której dane dotyczą.
Zgody z jakimi najczęściej administratorzy sklepów/serwisów internetowych będą mieli do czynienia to:
- akceptacja regulaminu, (w tym również regulaminu konkursu);
- zapis na newsletter;
- formularz kontaktowy;
- zapis na szkolenie on-line/webbinar.
Formularz rejestracji konta i jednorazowego zamówienia
Poprawna treść zgody pod formularzem:
„Oświadczam, iż zapoznałem się z treścią Regulaminu.”
RODO nakłada na administratora obowiązek aby podczas zbierania danych osobowych administrator spełniał obowiązek informacyjny (art. 13 RODO). Zalecamy aby obowiązek informacyjny zrealizować umieszczając stosowne klauzule (patrz. poniżej artykułu) w treści Polityki Prywatności. Rekomendujemy zamieszczenie pod checkboxem o akceptacji regulaminu linku do Polityki Prywatności zatytułowany: „Zasady ochrony danych osobowych.”, w którym spełnione będą obowiązki informacyjne wynikające z RODO.
Zgoda na subskrypcję newsletter’a
Obowiązujące ustawy w zakresie świadczenia usług drogą elektroniczną oraz RODO, zobowiązują aby przy subskrypcji na Newsletter zadbać o (w zależności od różnych wariantów):
- i. klauzulę zgody na przesyłanie informacji handlowych drogą elektroniczną zgodnie z art. 10 ust. 1 i 2 ustawy o świadczeniu usług drogą elektroniczną); ii. klauzulę zgody na przetwarzanie danych osobowych na podstawie art. 172 Prawa telekomunikacyjnego; iii. podanie informacji, że cofnięcie zgody jest tak łatwe jak jej wyrażenie (art. 7 ust. 3 RODO)
- spełnienie obowiązku informacyjnego. Podczas zbierania danych osobowych administrator spełnia obowiązek informacyjny art. 13 RODO). Obowiązek można zrealizować umieszczając stosowne klauzule w treści Polityki Prywatności;
Rekomendujemy pozostawienie na stronie głównej wyłącznie okna: „Zapisz się na Newsletter” bez pola na wpisanie adresu e-mail. Kliknięcie tego okna przenosi do formularza rejestracyjnego na Newsletter, w którym znajduje się pole do wypełnienia adresu e-mail oraz następujące elementy, w zależności od kanału komunikacji z Klientem:
- Klauzula zgody z checkboxem o treści: Wyrażam zgodę na przesyłanie informacji handlowych za pomocą środków komunikacji elektronicznej w rozumieniu ustawy z dnia 18 lipca 2002 roku o świadczenie usług drogą elektroniczną (Dz.U.2017.1219 t.j.) na podany adres e-mail na temat usług oferowanych przez ABC Sp. z o.o. przy ul. [x] z siedzibą w [x]. Zgoda jest dobrowolna i może być w każdej chwili wycofana, klikając w odpowiedni link na końcu wiadomości e-mail. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przez jej wycofaniem. Wyrażam zgodę na przesyłanie informacji handlowych za pomocą środków komunikacji elektronicznej w rozumieniu ustawy z dnia 18 lipca 2002 roku o świadczenie usług drogą elektroniczną (Dz.U.2017.1219 t.j.) w formie wiadomości tekstowej sms na podany numer telefonu na temat usług oferowanych przez ABC Sp. z o.o. przy ul. [x] z siedzibą w [x]. Zgoda jest dobrowolna i może być w każdej chwili wycofana, klikając w odpowiedni link na końcu wiadomości e-mail. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przez jej wycofaniem.Komentarz: Gdyby administrator chciałby pozyskiwać dane kllientów (w tym numery ich telefonów) do wysyłania wyłącznie informacji handlowych drogą elektroniczną (wiadomości e-mail i sms) – patrz powyższe dwie zgody, zbędnym będzie zbieranie zgody określonej w art. 172 Prawa Telekomunikacyjnego. Jeśli jednak ten sam administrator chciałby poza wysyłaniem informacji handlowych, kontaktować się z klientem poprzez wykonywanie połączeń głosowych, podczas których przedstawiałby treści marketingowe, ww. odrębna zgoda będzie wymagana o treści: Wyrażam zgodę na przetwarzanie moich danych osobowych przez ABC Sp. z o.o. przy ul. [x] z siedzibą w [x], dla celów marketingu bezpośredniego, wykonywanego przy użyciu telekomunikacyjnych urządzeń końcowych oraz automatycznych systemów wywołujących, tj. numer telefonu, zgodnie z art. 172 ustawy z dnia 16 lipca 2004r. Prawo telekomunikacyjne (Dz.U. z 2017 r., poz. 1907 ze zm.).” Zgoda jest dobrowolna i może być w każdej chwili wycofana, kierując wiadomość na adres e-mail administratora. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przez jej wycofaniem.
- Link do Polityki Prywatności zatytułowany: „Zasady ochrony danych osobowych".
Formularz kontaktowy
Podczas zbierania danych osobowych administrator zgodnie z RODO spełnia obowiązek informacyjny (art. 13 RODO). Obowiązek można zrealizować umieszczając stosowne klauzule w treści Polityki Prywatności (patrz poniżej). Administrator tak jak w powyższych przypadkach i w tym również powinien stosować zasadę minimalizacji danych (art. 5 ust 1 lit. c), co oznacza zbieranie danych adekwatnie, stosownych danych, oraz ograniczonych danych do tego, co niezbędne do celu, w którym są przetwarzane. Administrator w praktyce musi rozważyć aby zbierać odpowiednią ilość danych. Dla przykładu zastosowanie obowiązkowych pól w formularzu kontaktowym zarówno dla adresu e-mail i numeru telefonu jest nieadekwatne w stosunku do celu jednorazowego kontaktu z klientem (art. 26 ust. 1 pkt. 3 ustawy o ochronie danych osobowych/art. 5 ust. 1 lit. c RODO). Jeżeli Administrator w formularzu kontaktowym przewiduje możliwość kontaktu z klientem zarówno drogą elektroniczną, jak i telefoniczną, to klient powinien mieć możliwość wyboru jednej opcji. Jak na przykładzie poniższym, żadne z pól nie jest obligatoryjne.
- Imię i nazwisko
- Adres e-mail
- Numer telefonu
- Treść wiadomości:
Rekomendujemy zamieszczenie pod formularzem linku do Polityki Prywatności zatytułowany: „Zasady ochrony danych osobowych.”
Zgoda, a zapis na szkolenie on-line/webbinar
Poprawna treść zgody pod formularzem:
„Oświadczam, iż zapoznałem się z treścią Regulaminu szkolenia on-line.”
RODO nakłada na administratora obowiązek aby podczas zbierania danych osobowych administrator spełniał obowiązek informacyjny (art. 13 RODO). Zalecamy aby obowiązek informacyjny zrealizować umieszczając stosowne klauzule (patrz. poniżej artykułu) w treści Polityki Prywatności. Rekomendujemy zamieszczenie pod checkboxem o akceptacji regulaminu linku do Polityki Prywatności zatytułowany: „Zasady ochrony danych osobowych.
Wiecej na temat obowiązków informacyjnych wymaganych przez RODO znajdziesz w naszym kolejnym artykułe na blogu.
Ważne: jeżeli klient skorzysta z formularza kontaktowego, wówczas firma ma podstawę prawną do korespondowania/kontaktowa się z klientem w sprawie, w której się zwraca. Jeżeli w przyszłości pozyskane dane osobowe miałby być wykorzystane do celów marketingowych, a w szczególności promowania innych produktów/usług wówczas w formularzu kontaktowym powinna znaleźć się zgoda na wiadomości handlowe – zgodnie z podanym wyżej przykładem.
Jak wskazano powyżej dobrym miejscem na spełnienie obowiązku informacyjnego zgodnie z RODO jest polityka prywatności. RODO nakłada na administratora konieczność działania w zakresie realizacji obowiązku informacyjnego. Po stronie administratora powinna leżeć wymagana aktywność związana z podaniem wymaganych przepisami prawa informacji – niezależnie od tego czy osoba podaje dane z własnej inicjatywy czy na skutek działań administratora. Niedopuszczalne jest wymuszenie na osobie, od której dane są zbierane, aby ta poszukiwała klauzuli informacyjnej, np. na stronie internetowej, podczas gdy np. dane są zbierane od niej w formie papierowej. Administrator powinien również zadbać o to, aby osoba miała możliwość zapoznania się ze skierowanymi do niej informacjami zanim poda swoje dane.
Elementy obowiązku informacyjnego (art. 13 ust. 1 RODO)
Wyrażona w RODO zasada transparentności przetwarzania danych osobowych wymaga, aby przede wszystkim powiadomić podmiot danych o tożsamości administratora danych oraz podać do niego dane kontaktowe. Ma to umożliwić osobie faktyczną realizację jej uprawnień. Jeżeli jest to zasadne, należy podać tożsamość i dane kontaktowe przedstawiciela, np. gdy administratorem jest spółka prawa handlowego.
Nowością na gruncie RODO jest obowiązek podania danych kontaktowych inspektora ochrony danych. Powołanie osoby na tę funkcję przez administratora danych jest obligatoryjne tylko w przypadkach określonych w art. 37 ust. 1 lit. a-c RODO, w pozostałych przypadkach jest fakultatywne.
Kolejnym wymogiem jest podanie celów przetwarzania danych. Należy mieć na uwadze, że cele powinny zostać wskazane wyraźnie w momencie zbierania danych oraz mieć swoje uzasadnienie. Zakazane jest przetwarzanie danych osobowych, jeżeli cel przetwarzania można osiągnąć innymi sposobami. Dane osobowe powinny zaś być zbierane w ograniczonym, stosownym zakresie, adekwatnym do celu przetwarzania. Przykładowo nie ma konieczności zbierania daty urodzenia w celu przygotowania dla klienta diety i planu treningowego, jeśli firma (administrator danych) potrzebuje tej informacji wyłącznie w celu dopasowania swojej usługi do wieku osoby. Wystarczającym będzie w takim przypadku podanie roku życia, tzn. zapytanie ile osoba ma lat, bez wymagania podania przez nią pełnej daty urodzenia. Informacji o celu nie może zastępować stwierdzenie, że dane będą przetwarzane zgodnie z ogólnym rozporządzeniem o ochronie danych osobowych. Warto o tym wspomnieć, ponieważ często na gruncie aktualnie obowiązujących przepisów w treściach klauzul informuje się, że podanie danych osobowych jest dobrowolne i będzie przetwarzane zgodnie z ustawą o ochronie danych osobowych. W jakim jednak celu – to z klauzuli już nie wynika.
Jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionego interesu realizowanego przez administratora lub stronę trzecią, administrator podaje ten interes.
Jeżeli istnieją odbiorcy danych (podmioty, którym dane są udostępnione), podaje się ich tożsamość lub jeśli nie jest ona znana w momencie zbierania danych – kategorie tych odbiorców.
Gdy ma to zastosowanie, administrator informuje o przekazywaniu danych do państwa trzeciego, tj. państwa spoza Europejskiego Obszaru Gospodarczego lub do organizacji międzynarodowej wraz ze wzmianką, czy Komisja uznała dla ww. odpowiedni stopień ochrony danych.
Informowanie o prawach osoby, okresie retencji i zautomatyzowanym przetwarzaniu (art. 13 ust. 2 RODO)
Wynikający z RODO obowiązek informowania osoby o wszelkich aspektach związanych z przetwarzaniem danych osobowych ma w zamyśle prawodawcy unijnego podnieść jej świadomość. Prawodawca zakłada, że podmiot danych dowie się od administratora o ryzykach przetwarzania danych, zabezpieczeniach danych, a nade wszystko zyska wiedzę o swoich prawach w zakresie przetwarzania oraz sposobach wykonywania tych praw.
Między innymi dlatego administrator powinien ustalić okres retencji (czyli przechowywania) danych osobowych oraz podać go już w momencie zbierania danych. Jeżeli nie jest w stanie określić terminu usunięcia danych, podaje przynajmniej termin okresowego przeglądu.
W obowiązku administratora leży również poinformowanie osoby o prawie żądania dostępu do jej danych, do sprostowania, usunięcia, przeniesienia lub ograniczenia przetwarzania danych oraz prawie wniesienia sprzeciwu wobec przetwarzania danych. A w przypadku gdy przetwarzanie odbywa się na podstawie zgody – o prawie jej cofnięcia w dowolnym momencie. Cofnięcie zgody nie będzie miało jednak wpływu na zgodność z prawem przetwarzania danych przed jej cofnięciem. Administrator powinien ustalić procedury w zakresie realizacji tych praw przez podmioty danych.
W ramach szeroko rozumianego obowiązku informacyjnego, administrator informuje osobę również o tym, iż ma ona prawo wniesienia skargi do organu nadzorczego.
W zakresie dobrowolności lub obowiązku podania danych, administrator powiadamia czy podanie danych jest obowiązkiem ustawowym, umownym, czy warunkiem zawarcia umowy. Osoba powinna również zostać poinformowana czy ma obowiązek podania danych i jakie ewentualnie poniesie konsekwencje, jeżeli tego nie zrobi.
Nowością na gruncie RODO jest informowanie o zautomatyzowanym podejmowaniu decyzji – w tym profilowaniu. Treść informacji powinna obejmować istotne zasady podejmowania takich decyzji oraz konsekwencjach, jakie mogą one nieść dla osoby, której dane dotyczą.
Rekomendujemy aby pod klauzulami zgód zamieścić link o nazwie Zasady Ochrony Danych Osobowych, który będzie linkował do Polityki prywatności.
Przykładowe klauzule spełnienia obowiązku informacyjnego
- administratorem danych osobowych jest [należy podać nazwę oraz siedzibę];
- inspektorem ochrony danych jest [podać imię i nazwisko oraz kontakt np. e-mail], (ten obowiązek spełniamy jeśli ma zastosowanie);
- dane osobowe przetwarzane będą w celu [należy podać cel przetwarzania zgodnie z art. 6 RODO];
- odbiorcą danych osobowych będą [można wymienić kategorię odbiorców o ile istnieją np. kurierom, bankom];
- dane osobowe będą przekazywane do państwa trzeciego/organizacji międzynarodowej [jeśli ma zastosowanie]. Mogą Państwo uzyskać kopię danych osobowych przekazywanych do państwa trzeciego [wskazać sposób uzyskania kopii danych lub miejsce udostępnienia danych];
- dane osobowe będą przechowywane przez okres [np. do czasu odwołania zgody, jeżeli nie ma możliwości wskazania okresu przechowywania należy podać kryterium ustalania tego okresu np. do czasu zakończenia rekrutacji itp.);
- posiadają Państwo prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- mają Państwo prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych w zakresie naruszenia prawo do ochrony danych osobowych lub innych praw przyznanych na mocy RODO.
- podanie danych osobowych jest [należy wskazać czy podanie danych jest wymogiem ustawowym/warunkiem umownym/warunkiem zawarcia umowy]. Są Państwo zobowiązani do ich podania a konsekwencją niepodania danych osobowych będzie [jeżeli osoba, której dane dotyczą, jest zobowiązana do ich podania należy wskazać ewentualne konsekwencje niepodania danych];
- Państwa dane będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie odbywało się na zasadach [należy podać zasady profilowania jakie Państwo wprowadzili w organizacji], konsekwencją takiego przetwarzania będzie [należy wskazać istotne informacje o zasadach zautomatyzowanego podejmowania decyzji oraz informacje o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą].
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?