Artykuł 6 rozporządzenia RODO wymienia dokładnie sześć podstaw prawnych, które uprawniają firmę do korzystania z informacji o klientach – i tylko jedna z nich to zgoda. Wiosną 2018 roku przepisy weszły w życie na terenie całej wspólnoty państw członkowskich, zmieniając fundamentalnie sposób, w jaki przedsiębiorcy podchodzą do ochrony danych. Wiele firm nadal błędnie zakłada, że każde działanie na danych klienta wymaga jego wyraźnego przyzwolenia. Tymczasem prawo przewiduje sytuacje, w których przetwarzanie danych bez zgody klienta jest nie tylko dopuszczalne, ale wręcz konieczne.
Kiedy firma może przetwarzać dane klientów bez zgody – podstawy prawne RODO
RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, obowiązuje wszystkie podmioty działające na terenie obszaru integracji gospodarczej państw europejskich. Dotyczy to zarówno dużych korporacji, jak i małych firm, jednoosobowych działalności, sklepów internetowych, gabinetów usługowych czy freelancerów. Zakres stosowania przepisów jest więc bardzo szeroki i każdy przedsiębiorca powinien znać podstawowe zasady tego aktu prawnego.
Dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej – może to być imię i nazwisko, adres e-mail, numer telefonu, a nawet adres IP. Brak podstawy prawnej do ich przetwarzania stanowi bezpośrednie naruszenie przepisów RODO i rodzi poważne konsekwencje. Osoba, której dane dotyczą, zyskuje wówczas prawo do żądania ich usunięcia, a organ nadzorczy może nałożyć na firmę karę finansową.
Artykuł 6 rozporządzenia definiuje sześć równorzędnych podstaw prawnych: zgodę osoby, której dane dotyczą; niezbędność do realizacji umowy; obowiązek prawny ciążący na administratorze; ochronę żywotnych interesów; wykonywanie zadań w interesie publicznym; a także uzasadniony interes administratora. Każda z tych podstaw jest samodzielna – firma nie musi łączyć ich ze sobą ani uzasadniać klientowi wyboru jednej z nich.
Klauzula informacyjna przekazywana klientowi przy zbieraniu danych musi zawierać informacje o celu, podstawie prawnej, czasie przechowywania oraz przysługujących prawach osoby, której dane są gromadzone. To obowiązek, nie opcja. Jeśli firma zmienia cel przetwarzania lub podstawę prawną, powinna zaktualizować tę informację i powiadomić o tym zainteresowanych.
Przetwarzanie danych w ramach realizacji umowy – co wolno administratorowi danych
Administratorem danych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie ustala cele i sposoby przetwarzania danych osobowych oraz ponosi odpowiedzialność za ich bezpieczeństwo. W praktyce oznacza to, że właściciel sklepu internetowego staje się administratorem danych swoich klientów od momentu złożenia przez nich pierwszego zamówienia. Ta rola wiąże się z konkretnymi obowiązkami – administrator musi mieć podstawę prawną do zbierania i wykorzystywania każdej kategorii przetwarzanych informacji.
Artykuł 6 ust. 1 lit. b RODO jednoznacznie pozwala na przetwarzanie danych bez zgody klienta, gdy jest to niezbędne do wykonania umowy lub do podjęcia działań przed jej zawarciem. Sklep internetowy może zatem gromadzić adres dostawy, dane kontaktowe i historię zamówień bez osobnego pytania o zgodę, bo te informacje są nieodzowne do realizacji transakcji. Gdyby firma musiała każdorazowo uzyskiwać przyzwolenie na przetwarzanie danych do wysyłki paczki, cały proces zakupowy stałby się niewykonalny.
Wejście RODO w życie w piątym miesiącu 2018 roku wymusiło na przedsiębiorcach gruntowną rewizję procesów operacyjnych. Firmy wdrożyły środki techniczne i organizacyjne chroniące dane przed nieuprawnionym dostępem – szyfrowanie, kontrolę dostępu, polityki retencji. Ochrona danych przestała być wyłącznie kwestią formalną, a stała się elementem codziennego zarządzania ryzykiem.
Warto rozróżnić dwa scenariusze związane z zawarciem umowy. Pierwszy dotyczy sytuacji, gdy klient już zawarł kontrakt z firmą – przetwarzanie jego danych na potrzeby realizacji tego zobowiązania jest wówczas w pełni legalne. Drugi obejmuje działania poprzedzające zawarcie umowy, na przykład przygotowanie oferty lub wyceny na prośbę potencjalnego kontrahenta – tu również nie jest wymagana osobna zgoda. Granicą pozostaje jednak cel: dane zebrane do realizacji zamówienia nie mogą być automatycznie wykorzystywane do celów marketingowych.
Jeśli administrator powierza operacje na danych zewnętrznemu podmiotowi – firmie księgowej czy dostawcy oprogramowania – musi zawrzeć z nim umowę powierzenia przetwarzania. Bez takiej umowy każde udostępnienie informacji o klientach osobie trzeciej stanowi naruszenie przepisów.
Uzasadniony interes i ochrona danych w celach marketingowych – zasady i ograniczenia
Uzasadniony interes administratora to podstawa prawna, która budzi najwięcej wątpliwości w praktyce. Przepisy RODO pozwalają na jej stosowanie, gdy przetwarzanie jest niezbędne do realizacji prawnie uzasadnionych celów firmy, jednak pod warunkiem, że interesy te nie są nadrzędne wobec wolności osoby, której dane dotyczą. To tzw. test równowagi – firma musi samodzielnie ocenić, czy jej interes przeważa nad prawami klienta.
Marketing bezpośredni kierowany do dotychczasowych klientów to klasyczny przykład dozwolonego stosowania tej przesłanki. Właściciel sklepu internetowego może wysyłać im informacje o podobnych produktach bez uprzedniej zgody, o ile klienci mieli możliwość sprzeciwienia się takiemu wykorzystaniu ich danych. Każda taka komunikacja powinna zawierać łatwo dostępną opcję rezygnacji z dalszego kontaktu.
Klauzula informacyjna w tym kontekście musi jasno wskazywać, że podstawą prawną wysyłki jest uzasadniony interes administratora, a nie zgoda odbiorcy. Różnica jest istotna, bo klient ma prawo w każdej chwili wnieść sprzeciw wobec takiego przetwarzania – i firma musi go uwzględnić niezwłocznie. Niedopełnienie tego obowiązku może skutkować skargą do Urzędu Ochrony Danych Osobowych.
Profilowanie klientów reguluje art. 22 RODO. Jeśli firma automatycznie podejmuje decyzje dotyczące klientów – na przykład przyznaje lub odmawia kredytu wyłącznie na podstawie algorytmu – osoba, której dane są w ten sposób analizowane, ma prawo do interwencji ludzkiej i zakwestionowania tej decyzji. Firmy często prowadzą profilowanie bez świadomości, że podlegają tym szczególnym wymogom.
Przepisy RODO a obowiązki dokumentacyjne – rejestry i powierzenie przetwarzania danych podmiotom zewnętrznym
Rozporządzenie RODO nakłada na firmy obowiązek prowadzenia rejestru czynności przetwarzania danych. Dokument ten powinien zawierać cele przetwarzania, kategorie osób i danych, odbiorców informacji oraz planowane terminy ich usunięcia. Obowiązek ten dotyczy co do zasady podmiotów zatrudniających powyżej 250 pracowników, jednak mniejsze przedsiębiorstwa też muszą go prowadzić, jeśli przetwarzanie niesie ryzyko naruszenia praw osób fizycznych lub obejmuje szczególne kategorie danych.
Dane szczególnie chronione, opisane w art. 9 RODO, to informacje dotyczące zdrowia, pochodzenia rasowego, przekonań religijnych czy danych biometrycznych. Ich przetwarzanie wymaga spełnienia nie tylko jednej z podstaw z art. 6, ale również osobnej przesłanki z art. 9 ust. 2. Gabinet lekarski może przetwarzać dane zdrowotne pacjenta bez jego zgody, gdy jest to niezbędne do diagnozy lub leczenia – ale wyłącznie przez personel medyczny objęty tajemnicą zawodową.
Gdy firma przekazuje dane klientów podmiotom zewnętrznym – hostingodawcy, biuru rachunkowemu, systemowi CRM – konieczne jest zawarcie pisemnej umowy powierzenia przetwarzania. Umowa ta musi określać zakres i cel operacji wykonywanych przez zewnętrznego dostawcę oraz zobowiązywać go do stosowania odpowiednich środków bezpieczeństwa. Jej brak sprawia, że przetwarzanie odbywa się bez podstawy prawnej.
Inspektor Ochrony Danych (IOD) to funkcja obowiązkowa dla organów publicznych oraz firm przetwarzających dane na dużą skalę lub regularnie operujących na danych szczególnie chronionych. IOD ocenia legalność poszczególnych procesów, doradza administratorowi i pełni rolę punktu kontaktowego dla organu nadzorczego. Podmioty, które nie mają obowiązku powołania IOD, mogą to zrobić dobrowolnie – taka osoba pomaga uniknąć kosztownych błędów.
Zgoda na przetwarzanie danych – kiedy jest wymagana i jak powinna wyglądać
Zgoda osoby, której dane dotyczą, jest tylko jedną z sześciu podstaw prawnych – i nie zawsze najbezpieczniejszą. Gdy firma opiera przetwarzanie wyłącznie na zgodzie, klient może ją w każdej chwili wycofać, co zobowiązuje administratora do natychmiastowego zaprzestania operacji na jego danych. Jeśli natomiast podstawą jest realizacja umowy lub obowiązek prawny, wycofanie zgody nie ma żadnego wpływu na legalność dotychczasowych działań.
Przepisy RODO precyzują, że zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. Nie może być ukryta w ogólnych warunkach umowy ani wyrażona przez milczenie czy domyślne zaznaczenie checkboxa. Każdorazowo firma powinna jasno komunikować, co zamierza robić z informacjami i na jakiej podstawie prawnej.
Zgody na przetwarzanie danych wymagają przede wszystkim działania marketingowe skierowane do osób niebędących dotychczasowymi klientami oraz operacje na danych szczególnie chronionych, gdy żadna inna przesłanka z art. 9 nie ma zastosowania. Zgoda na jeden cel nie obejmuje automatycznie innych – przyzwolenie na newsletter nie uprawnia do udostępnienia danych partnerom handlowym.
Ocena skutków dla ochrony danych, znana jako DPIA (Data Protection Impact Assessment), jest obowiązkowa przed rozpoczęciem przetwarzania, które może powodować wysokie ryzyko naruszenia praw osób fizycznych. Dotyczy to m.in. profilowania na dużą skalę, monitorowania miejsc publicznych czy przetwarzania danych szczególnie chronionych. DPIA pozwala z wyprzedzeniem zidentyfikować zagrożenia i wdrożyć środki minimalizujące ryzyko, zanim dojdzie do rzeczywistego naruszenia.
Międzynarodowy transfer danych poza terytorium strefy handlowej obejmującej kraje Europy podlega odrębnym regułom. Firma korzystająca z usług chmurowych dostawcy spoza tej strefy musi zapewnić odpowiedni poziom ochrony – poprzez decyzję Komisji Europejskiej o adekwatności, standardowe klauzule umowne lub wiążące reguły korporacyjne. Brak takich zabezpieczeń sprawia, że nawet legalne przetwarzanie danych w Polsce staje się naruszeniem przepisów w momencie ich przekazania za granicę.
Najczęściej zadawane pytania
Czy można wycofać zgodę na przetwarzanie danych i jakie są tego skutki?
Wycofanie zgody jest możliwe w każdej chwili i nie wymaga podania przyczyny – wynika to wprost z art. 7 ust. 3 RODO. Administrator musi zaprzestać przetwarzania niezwłocznie po otrzymaniu takiej informacji, jednak cofnięcie zgody nie wpływa na legalność operacji przeprowadzonych wcześniej. Jeśli firma przetwarzała dane na kilku podstawach prawnych jednocześnie, wycofanie dotyczy wyłącznie tej jednej – pozostałe nadal obowiązują.
Czy ochrona zdrowia stanowi samodzielną podstawę do przetwarzania danych bez zgody?
Art. 9 ust. 2 lit. c RODO pozwala na przetwarzanie danych dotyczących zdrowia bez zgody pacjenta, gdy jest to niezbędne do ochrony jego żywotnych interesów lub interesów innej osoby fizycznej, a osoba ta jest fizycznie lub prawnie niezdolna do wyrażenia zgody. Osobna przesłanka z art. 9 ust. 2 lit. h dotyczy celów medycyny zapobiegawczej, diagnostyki i leczenia – i wymaga, by operacje odbywały się wyłącznie przez personel objęty tajemnicą zawodową. Obie przesłanki są niezależne od zgody pacjenta.
Jakie prawa przysługują osobom, których dane są przetwarzane przez firmę?
Osoba, której dane są przetwarzane, ma prawo do dostępu do swoich informacji, ich sprostowania, usunięcia (tzw. prawo do bycia zapomnianym) oraz przeniesienia do innego administratora – wszystkie te uprawnienia wynikają z art. 15-20 RODO. Przysługuje jej też prawo do wniesienia sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie, a firma musi rozpatrzyć taki sprzeciw bez zbędnej zwłoki. W przypadku naruszenia tych praw można złożyć skargę do Urzędu Ochrony Danych Osobowych.
Czy przetwarzanie danych do wykonania umowy wymaga zgody?
Nie – art. 6 ust. 1 lit. b RODO wprost zwalnia firmę z obowiązku uzyskania zgody klienta, gdy przetwarzanie jest niezbędne do wykonania umowy lub do podjęcia działań przed jej zawarciem na żądanie osoby, której dane dotyczą. Sklep internetowy może zatem gromadzić dane adresowe i kontaktowe kupującego bez osobnego checkboxa, bo ta podstawa prawna jest wystarczająca. Zgoda byłaby natomiast wymagana, gdyby firma chciała te same dane wykorzystać do celów wykraczających poza realizację zamówienia.
Artykuł ma charakter informacyjny i nie zastępuje konsultacji z prawnikiem lub specjalistą ds. ochrony danych osobowych.
