RODO: firmy przesadzają z prośbami o zgody klientów

(2018-07-10)

Sklepy internetowe nie muszą prosić klientów o zgodę na przetwarzanie danych osobowych w związku z dokonaniem zakupu. Jej brak nie może być też powodem odmowy wystawienia faktury.

Wiele firm na wyrost żąda od swoich klientów zgód na przetwarzanie danych osobowych. Wbrew temu, co mówią, nie wynika to z RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Co do zasady według RODO zgoda jest potrzebna tylko wtedy, kiedy zbierane dane nie są związane z istotą usługi ani nie są niezbędne do standardowych działań marketingowych. Adwokat Mateusz Grzech z kancelarii adwokackiej Duraj Reck i Partnerzy przypomina, że rozporządzenie wskazuje sytuacje, w których można przetwarzać dane osobowe bez pozyskiwania zgody. Należą do nich m.in. obowiązek prawny ciążący na administratorze, ochrona żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, interes publiczny, prawnie uzasadniony interes administratora. Kiedy więc w praktyce zgody nie są potrzebne?


Nadinterpretacja przepisów


– Niepotrzebne zgody najczęściej dotyczą danych, które firma/organizacja może przetwarzać, dlatego że są jej niezbędne do zrealizowania umowy z klientem/beneficjentem, albo w oparciu o własny, uzasadniony interes – tłumaczy Katarzyna Szymielewicz, współzałożycielka i prezeska Fundacji Panoptykon. – Pojawiają się też wtedy, kiedy firma/organizacja nie wie, że może spokojnie powierzyć dane osobowe innemu podmiotowi na podstawie umowy powierzenia albo nie rozumie, że przetwarzania pewnych danych wręcz wymaga od niej przepis prawa – tłumaczy Katarzyna Szymielewicz. I podaje przykłady, kiedy żądanie zgody jest zbędne:
•    Sklep internetowy żąda zgody na przetwarzanie danych w związku z realizacją zamówienia, przekazanie kurierowi danych kontaktowych klienta, który zrobił w nim zakup. Tymczasem tutaj podstawą jest zawarta umowa sprzedaży.
•    Agencja nieruchomości prosi o zgodę, żeby przekazać dane osobowe kupującego mieszkanie notariuszowi – bez tych danych notariusz nie sporządzi aktu notarialnego, są więc niezbędne.
•    Firma usługowa, np. fryzjer odmawia wystawienia faktury „bo nie ma zgody z RODO”. Nie można wystawić faktury in blanco, a jej wystawienie na życzenie klienta to przecież obowiązek firmy.
•   Publiczne przedszkole zbiera zgody rodziców na przetwarzanie danych ich i ich dzieci, informując, że przetwarza je w celu realizowania swoich zadań ustawowych i statutowych, a cofnięcie zgody oznacza brak możliwości uczęszczania dziecka do przedszkola.

 
Wbrew interesowi przedsiębiorcy


Co więcej, pytanie o zgodę i jej pozyskanie ma sens tylko wtedy, kiedy administrator jest w stanie uszanować każdą odpowiedź. Tymczasem jeśli klient nie wyrazi zgodny na przetwarzanie danych w związku z zakupem, to nie oznacza, że nie może dokończyć transakcji. Wręcz nie byłoby to w interesie sprzedawcy. – Tak więc firmy powinny dobrze się zastanowić, czy w każdej sytuacji warto prosić o zgody. Z dużym prawdopodobieństwem zgoda potrzebna jest do profilowania i marketingu podmiotów trzecich – wyjaśnia Katarzyna Szymielewicz. Z tym że przy newsletterze chodzi o zgodę z ustawy o świadczeniu usług drogą elektroniczną* na przesyłanie informacji handlowych, a nie o zgodę z RODO. Z kolei tzw. marketing własny można oprzeć na uzasadnionym interesie.


Zgody wymuszone


Ponadto sklepy internetowe często nie zdając sobie sprawy, że zmuszając klientów do wyrażenia zgody, łamią przepisy. Jak? Gdy np. klient musi zaznaczyć checkbox „zgadzam się na przekazywanie danych partnerom handlowym”, by dokończyć transakcję. – Tak wyrażona zgoda jest nieważna. – Nie ma mocy prawnej, bo została wymuszona – tłumaczy Katarzyna Szymielewicz. – Zgodnie bowiem z RODO zgoda musi być jednoznaczna, dobrowolna, świadoma i konkretna – wyjaśnia.

Często też w ustawieniach prywatności dotyczących przetwarzania danych osobowych (np. przekazywania danych innym firmom, integrowania danych z różnych źródeł, śledzenia lokalizacji etc.) domyślnie zaznaczone jest pole oznaczające „zgodę” (suwak, checkbox etc.). Domyślna zgoda może być też ukryta w regulaminie, którego klient nie może negocjować. Takie działanie jest również bezprawne. – Fakt, że akceptujemy taki regulamin, bo nie mamy innego wyjścia, wcale nie oznacza, że zgadzamy się na przekazywanie danych – czytamy na stronie Fundacji Panoptykon. Zgodnie z RODO zgoda nie jest dobrowolna, jeżeli nie możemy wyrazić jej osobno (niezależnie) na różne rodzaje i cele przetwarzania danych (bo np. zostały „spakowane” w jeden regulamin albo jeden pop-up).


Uwaga na UODO


Firmy powinny też wiedzieć, że od 25 maja klient ma więcej możliwości zwalczania naruszeń przepisów o przetwarzaniu danych. Przede wszystkim każdy, kto uważa, że firma przetwarza dane na podstawie domyślnej zgody, może wysłać do niej żądanie ich usunięcia. – Firma, która tak robi, tak naprawdę nie ma podstawy prawnej, bo zebrana przez nią „zgoda” jest nieważna. Jeśli to działanie nic nie da, np. w ciągu 30 dni nikt nie odpowiedział na żądanie, można  złożyć skargę do prezesa Urzędu Ochrony Danych Osobowych lub pozew do sądu – tłumaczy Katarzyna Szymielewicz.
Co więcej klient od razu może podjąć kroki prawne. RODO wcale nie wymaga wcześniejszego kontaktu z firmą.
 

Jolanta Ojczyk

Organizator
Wolters Kluwer Polska Sp. z o.o.
Patronat Honorowy
Ministerstwo Cyfryzacji
Główni Partnerzy Merytoryczni
G+P Gawroński & Partners
Lubasz i Wspólnicy Kancelaria radców prawnych
Współpraca merytoryczna
LEX Ochrona Danych Osobowych
Sakowska-Baryła, Czaplińska Kancelaria Radców Prawnych Sp. p.
Traple Konarski Podrecki i Wspólnicy
Sieradzka & Partners
Partnerzy
Altkom
Centrum Kształcenia Podyplomowego Uczelni Łazarskiego
PwC
Wsparcie technologiczne
LEX Compliance RODO
Patroni medialni
Prawo.pl
co do zasady
Back to Top