Efekt RODO – tak chyba najlepiej nazwać sytuacje, które obserwujemy od kilku tygodni w związku z rozpoczęciem stosowania unijnego rozporządzenia 2016/679 o ochronie danych osobowych. I nie chodzi tylko o skrzynki mailowe zapchane wiadomościami od przedsiębiorców, którzy przechowują dane. Z powodu krążących powszechnie mitów dochodzi niekiedy do bezmyślnych zachowań, które mogą mieć poważne konsekwencje. Jak na przykład słynny już wypadek uczniów na Zakopiance i wielogodzinne próby ustalenia przez rodziców, do którego szpitala zabrano ich dziecko. Mitów krąży tak wiele, że resort cyfryzacji postanowił nawet powołać zespół ekspertów, aby przygotować poradnik, który wyjaśni pojawiające się wątpliwości i nieporozumienia. Niestety efekt ich pracy ma być gotowy dopiero w sierpniu. Tymczasem liczba pytań zadawanych na szkoleniach i forach dyskusyjnych świadczy o tym, że wyjaśnienia są potrzebne jak najszybciej. Dziś przedstawiamy zatem odpowiedzi na niektóre pytania, które stawiają podczas szkoleń i na forach internetowych przedsiębiorcy.

Czy potrzebna jest zgoda, gdy klient prosi o ofertę?

Zdarza się, że po wysłaniu e-mailem zapytania o ofertę w odpowiedzi otrzymuję prośbę o wyrażenie zgody na przetwarzanie danych w celach marketingowych – jako warunek przesłania tej oferty. Czy słusznie?
odpowiedź
Można odnieść wrażenie, że wielu przedsiębiorców uważa, że jedyną albo najważniejszą podstawą do przetwarzania danych klientów jest ich zgoda. To nieprawda. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1) wskazuje sześć równorzędnych podstaw przetwarzania danych. Zgoda jest tylko jedną z nich. Równie istotne są: niezbędność przetwarzania danych do wykonania umowy (np. wysłanie zamówionego produktu na adres klienta, wystawienie faktury) albo niezbędność do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. To właśnie ta ostatnia przesłanka będzie właściwą podstawą do przetwarzania danych potencjalnego klienta, który przesłał do przedsiębiorcy zapytanie.
problem

Czy szesnastolatek zrobi zakupy w internecie?

Prowadzę sklep internetowy. Czy mogę przetwarzać dane osób, które ukończyły 16 lat, bez zgody ich rodziców?
odpowiedź
RODO umożliwia wyrażenie skutecznej zgody na przetwarzanie danych przez osoby powyżej 16. roku życia, bez zgody rodzica, ale dotyczy to tylko usług społeczeństwa informacyjnego, oferowanych bezpośrednio dziecku. W praktyce chodzi więc głównie o takie usługi, które poprzez ich zakres przedmiotowy (np. usługa VOD, gry online, portale edukacyjne, magazyny dziecięce lub dziecięce kanały muzyczne online) lub poprzez sposób komunikacji (np. zastosowany język, symbole, grafiki) są skierowane głównie do dzieci. Aczkolwiek usługi, które są kierowane zarówno do dzieci, jak i do dorosłych również będą tym przepisem objęte (np. portale społecznościowe).
Jednak tradycyjna sprzedaż przez internet z fizyczną dostawą produktu albo inne świadczenie, którego nie można zrealizować online ‒ nie są objęte tym przepisem. Nawet gdyby umowa zawarta z szesnastolatkiem mogła być ważna, to przetwarzanie jego danych może wymagać zgody rodzica.
problem

Jak postępować z wizytówkami?

Niektórzy uważają, że trzeba odbierać zgodę na przetwarzanie danych przed przyjęciem wizytówki. Inni nakazują przechowywanie ich w chaosie, żeby nie stanowiły zbioru danych. Jeszcze inni w ogóle nie chcą ich przyjmować, żeby nie mieć problemu. Jak należy z nimi postępować?
odpowiedź
Na temat wizytówek narosło wiele mitów. Tymczasem RODO łagodzi warunki uzyskania zgody na przetwarzanie danych. Według RODO zgodą jest okazanie woli w formie oświadczenia lub wyraźnego działania. Skoro więc ktoś wręcza wizytówkę, to zgadza się, aby przetwarzać jego dane w celu kontaktowania się z nim. Co innego, jeśli te dane przedsiębiorca (lub jego pracownik) chce przetwarzać w innych celach, np. przesyłania newslettera – na to potrzebna będzie zgoda (wynikająca nie tylko z RODO, lecz także z ustawy o świadczeniu usług drogą elektroniczną).
Należy jednak pamiętać, aby wizytówki przechowywać tak, aby dostępu do nich nie miały osoby postronne, np. sprzątające biuro lub serwisujące komputer.
problem

Czy można wywoływać pacjenta po nazwisku?

Czy w poczekalni, np. u lekarza czy u dentysty, dopuszczalne jest wywoływanie pacjenta po nazwisku? Podobnie czy dopuszczalne jest używanie nazwiska klienta przez taksówkarza albo nazwiska osoby, która w recepcji odbiera klucze do zarezerwowanego pokoju?
odpowiedź
Każdy przypadek wymaga tu odrębnej analizy – z uwzględnieniem zdrowego rozsądku. Jeżeli osoba udaje się do lekarza, to sama ujawnia swoje dane osobowe (np. wizerunek) innym pacjentom. Tutaj nie powinno być problemu z wywoływaniem pacjentów po naz wisku.
Także taksówkarz ma prawo do identyfikacji osoby, która zamówiła kurs. Skoro osoba ta podaje przy zamówieniu swoje nazwisko, to zgadza się na jego przekazanie kierowcy. Podobnie jest z hotelem – skoro klient rezerwuje pokój na swoje nazwisko, to zgadza się na jego podanie na recepcji w celu identyfikacji swojej osoby.
problem

Czy na zamieszczanie zdjęć trzeba zgody?

Prowadzę niepubliczne przedszkole. Planuję zamieścić na stronie internetowej zdjęcia z zakończenia roku szkolnego. Czy powinnam uzyskać zgody rodziców na takie przetwarzanie danych osobowych? Czy w formule zgody powinnam podać termin, do którego zdjęcia będą zamieszczone na stronie?
odpowiedź
Na rozpowszechnianie zdjęć zawsze musimy uzyskać zgodę portretowanej osoby lub – w przypadku dzieci – ich rodziców. Wynika to nie tyle z RODO, ile z ustawy o prawie autorskim i prawach pokrewnych. Wyjątkiem są zdjęcia zbiorowe, na których dzieci stanowią jedynie szczegół całości. Dlatego zdjęcie przedstawiające setkę dzieci na apelu szkolnym nie będzie wymagało uzyskania zgód rodziców. Ale już zdjęcie przedstawiające poszczególne osoby – tak.
Osoba, której wizerunek będzie rozpowszechniany, powinna – poza informacjami wymaganymi przez RODO – znać czas, miejsce i formę publikacji. W celach dowodowych, w przypadku ewentualnych roszczeń, najlepiej zawrzeć te dane w formularzu zgody.
problem

Jak zgodnie z RODO zamówić catering dla alergika?

Nasza firma planuje zamówienie cateringu na imprezę firmową. Chcemy uwzględnić również menu dla osób, które mają alergię. Czy pracodawca w takim przypadku musi uzyskać zgodę pracowników na przetwarzanie danych dotyczących ich zdrowia?
odpowiedź
lergia pokarmowa to informacja o zdrowiu, a więc szczególna kategoria danych osobowych. Do przetwarzania tego typu danych RODO wymaga wyraźnej zgody. A więc nie wystarczy potwierdzenie osoby wyrażone przez jej zachowanie – musi ona wyraźnie stwierdzić, że zgadza się na przetwarzanie danych dotyczących zdrowia. Dlatego jeśli pracodawca wysyła do pracowników prośbę o wybranie menu lub wskazanie ewentualnych alergii, to osoba, która taką alergię ma i postanawia ją ujawnić, powinna wyrazić zgodę na przetwarzanie jej danych o zdrowiu. W takim przypadku zgoda powinna również obejmować możliwość przekazania danych o zdrowiu innym podmiotom. Z taką sytuacją możemy mieć do czynienia, jeśli pracodawca organizuje oficjalną, elegancką kolację z imiennie wyznaczonymi miejscami i przekazuje restauracji dane o alergii konkretnych pracowników lub gości. Natomiast jeśli pracodawca zamawia catering, wskazując jedynie, o jakie dania chodzi (np. bezglutenowe), bez informowania, którego konkretnie pracownika to dotyczy, to w relacji pracodawca – firma cateringowa nie mamy w ogóle do czynienia z przetwarzaniem danych osobowych.
Podobnie jeśli ktoś jest nieobecny w pracy z powodu choroby, pracodawca nie powinien w firmie rozpowszechniać informacji, jakiego rodzaju jest to choroba. Nawet jeśli pracownik go o tym poinformował. Tutaj konieczna będzie wyraźna zgoda na przetwarzanie tych danych.
problem

Kiedy trzeba spełniać obowiązek informacyjny?

Przez ostatnie tygodnie wielu przedsiębiorców wysyłało do swoich klientów wiadomości, że przechowują ich dane. Czy słusznie? RODO wskazuje, że informacje te należy podać „podczas pozyskiwania danych osobowych”. Skoro te dane zostały dawno pozyskane i są regularnie przetwarzane, to czy konieczne było informowanie ich o tym?
odpowiedź
RODO jest dość ogólne i rzeczywiście daje spory margines do interpretacji. Rozporządzenie przewiduje, że przetwarzanie danych, które już się toczy, powinno zostać dostosowane do nowych przepisów. Jeżeli klienci nie posiadali informacji, których podania wymaga RODO, to najprawdopodobniej całkiem słusznie należało ich poinformować. Większość przedsiębiorców podeszła do tego właśnie w ten sposób, dmuchając na zimne. Również cel RODO – tj. zwiększenie świadomości osób, że ich dane są przetwarzane, i odzyskanie kontroli nad danymi – skłania do tego, aby te informacje przekazać. W przeciwnym razie nadal nie mieliby świadomości, że ich dane są przetwarzane.
Natomiast warto pamiętać, że spełnienie wymogów RODO nie kończy się na wysłaniu jednorazowo do wszystkich osób informacji, że ich dane są przetwarzane. Przedsiębiorca musi na bieżąco informować o przetwarzaniu danych także wszystkich nowych klientów. Nawet jeśli stroną umowy jest inny przedsiębiorca, to zwykle jednocześnie mamy do czynienia z konkretnym człowiekiem, do którego wysyłanego są np. informacje. I ta osoba powinna zostać poinformowana o zasadach przetwarzania jej danych. Można to uczynić w wiadomości e-mail albo nawet w stopce e-maila.

O czym warto pamiętać

!Zgoda nie jest jedyną podstawą przetwarzania danych osobowych. Zgodnie z RODO dane można przetwarzać legalnie, np. jeśli jest to niezbędne do wykonania umowy (wysłania zamówionego produktu na adres klienta, wystawienia faktury) albo w odpowiedzi na zapytanie ofertowe.
!Jeżeli kontrahent przekazuje wizytówkę, to na przetwarzanie danych w celach kontaktu z nim nie trzeba już odbierać pisemnej zgody.
!Osoba, której wizerunek będzie rozpowszechniany, np. na tablicy informacyjnej w szkole czy zakładzie pracy, musi wyrazić zgodę na przetwarzanie danych osobowych. Powinna także znać czas, miejsce i formę publikacji.