4 rzeczy, które warto wiedzieć o zgodach na kontakt i przetwarzaniu danych
Czy pozyskiwanie zgody na przetwarzanie danych zawsze jest konieczne? Jakie “sztuczki” wykorzystują firmy, aby uśpić naszą czujność i pozyskać zgodę na kontakt niezgodnie z prawem? Na co należy uważać? Odpowiedzi znajdziecie w artykule.
Proces przetwarzania danych i nawiązywania kontaktu zdalnego prowadzonego w celach marketingowych musi być w odpowiedni sposób prawnie zabezpieczony. Ten temat został szczegółowo omówiony w innym artykule. Nie każdy jednak wie, jakie są wyjątki od tej zasady i kiedy forma wyrażania zgody jest niezgodna z prawem.
1. Nie zawsze trzeba uzyskać zgodę, aby przetwarzać dane osobowe
Artykuł 6 RODO mówi, że przetwarzanie danych osobowych w określonym celu jest zgodne z prawem, jeżeli jest spełniony co najmniej jeden z poniższych warunków:
- osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych;
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.
W niektórych przypadkach nie jest wymagane bezpośrednie pozyskanie zgody od podmiotu danych. Nie wyklucza to jednak obowiązku administratora do wykonania Obowiązku Informacyjnego (OI) w każdym z ww. przypadków. W kontekście przesłanki f. dodatkowo każdorazowo musi zostać wskazany „prawnie uzasadniony interes realizowany przez administratora”. Podsumowując: przetwarzając dane osobowe (bez względu na podstawę prawną z Art. 6 RODO), obligatoryjnie musimy wykonać OI.
FarmaProm może wykonać obowiązek informacyjny w imieniu klientów, którzy korzystają z naszej bazy danych. Realizacja takiej wysyłki, w zależności od potrzeb, może być jednorazowa, cykliczna lub łącząca obie możliwości w toku dłuższej współpracy – dodaje Mariusz Tylkowski, dyrektor ds. Medycznych Baz Danych w FarmaProm.
Warto zauważyć, że nie trzeba pozyskiwać zgody na przetwarzanie danych osobowych np. w celu zawarcia jakiejś umowy. Można je wtedy przetwarzać zgodnie z punktem b.
Przykład: firma ma potencjalnego nowego klienta, z którym realnie nie prowadzi jeszcze współpracy, ale nawiązuje już kontakt w celu jej rozpoczęcia. Co za tym idzie, nie ma jeszcze zawartej umowy powierzenia danych osobowych ani wyrażonej zgody na ich przetwarzanie, a jednak już to robi, przygotowując dokumenty potrzebne do rozpoczęcia współpracy. Przetwarzanie to następuje więc na podstawie przesłanki z lit. b., a dokładnie z jego drugiej części – tj. „przetwarzanie jest niezbędne do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy”.
2. Wymuszona zgoda nie jest ważna
Jeżeli wyrażenie zgody stanowi nieodłączną i niepodlegającą negocjacji część warunków, uznaje się, że nie jest ona dobrowolna.
Przykład: jeśli serwis internetowy warunkuje możliwość założenia w nim konta od wyrażenia zgody marketingowej, to nawet w sytuacji, w której dojdzie do rejestracji, zgoda taka jest nieważna. Serwis ten nie może powoływać się na nią, gdy chce przetwarzać Twoje dane w celach marketingowych.
Niedozwolone jest także domyślne zaznaczenie checkboxa ze zgodą na kontakt zdalny (jak i wszystkich pozostałych). W takich sytuacjach firma liczy na niedopatrzenie klienta, który nie odznaczy takiego checkboxa. Jest to niezgodne z prawem. Każdy dobrowolnie i świadomie musi wyrazić taką zgodę.
3. Zgoda marketingowa w zamian za rabat może stać się niezgodna z prawem
Osoby fizyczne często poddawane są presji finansowej polegającej na udzieleniu zgody w zamian za zniżki lub inne oferty handlowe, bądź są zmuszane do wyrażenia zgody za sprawą wiązanych przepisów warunkujących dostęp do usługi, co jest sprzeczne z art. 7 RODO.
Nie ma jeszcze jednoznacznych wytycznych ani orzeczeń sądu, które zgodę udzieloną w taki sposób uznałyby za niezgodną z prawem. Nie jest jednak ona uznawana za uniwersalnie dobrowolną, w związku z czym zapewne kwestią czasu będzie oficjalne orzeczenie o braku jej legalności.
4. “Ustawienia przeglądarki” to nie zgoda!
Jedna z decyzji wydanych przez Urząd Ochrony Danych Osobowych jednoznacznie wskazuje, że samo określone ustawienie strony internetowej przez jej administratora (podobnie ustawienie przeglądarki internetowej) i poinformowanie o tym ustawieniu jej użytkownika nie jest wystarczające do uznania, że ów użytkownik wyraził zgodę na udostępnienie jego danych innemu podmiotowi.
Dlatego wszelkie powiadomienia zamieszczane przez administratorów stron internetowych, które zawierają komunikat, iż dalsze korzystanie ze strony internetowej oznacza wyrażenie zgody na przetwarzanie danych osobowych, w świetle przepisów RODO są niezgodne z prawem, a zgody tak pozyskane są nieważne.
Powyższe przykłady pokazują, jak ważna jest znajomość kwestii prawnych związanych z wyrażaniem zgody na komunikację i przetwarzaniem danych. Warto wiedzieć, kiedy firma kontaktuje się z nami dzięki nielegalnie uzyskanej zgodzie i poprosić w takich sytuacjach o wykreślenie z listy kontaktów.
Chcesz bezpiecznie i legalnie pozyskiwać zgody na kontakt zdalny od lekarzy, farmaceutów i innych zawodów medycznych? Sprawdź nasz formularz i rozwijaj swoją bazę!