Zgoda użytkownika na przetwarzanie jego danych osobowych

Zgoda użytkownika na przetwarzanie jego danych osobowych

Dane osobowe są w rozporządzeniu zdefiniowane jako „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (‘osobie, której dane dotyczą’); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.”

Osoby zidentyfikowane to na przykład pracownicy albo kontrahenci przedsiębiorcy. Z kolei osoby niezidentyfikowane, których dane również muszą być chronione zgodnie z przepisami RODO, to kandydaci do pracy przysyłający CV, osoby, do których firma wysyła oferty handlowe, klienci sklepu internetowego lub użytkownicy zapisani na newsletter itd.

Zgodnie z RODO, osoby prawne nie mają danych osobowych, ale mają je ich pracownicy, będący osobami fizycznymi. Ogólny firmowy e-mail, na przykład kontakt@firmaX.pl, nie podlega ochronie, ale podlegają jej adresy imienne pracowników, czyli jankowalski@firmaX.pl.

Przetwarzanie danych osobowych oznacza jakiekolwiek czynności wykonywane na nich: gromadzenie, przechowywanie, usuwanie, opracowywanie lub udostępnianie. Zgodnie z RODO dane osób fizycznych przedsiębiorca można przetwarzać tylko w określonych warunkach i celach. W przypadku danych zwykłych – czyli takich, które nie są związane ze sferą wrażliwą (przynależność rasowa, poglądy religijne lub polityczne, dane genetyczne lub biometryczne, orientacja seksualna itd.) – są to głównie następujące sytuacje:

• osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w określonych celach,
• przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia na jej żądanie działań zmierzających do zawarcia umowy,
• przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
• przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, w szczególności dziecka.

Przedsiębiorcy powinni pamiętać o tym, że to na nich – jako administratorach – ciąży obowiązek wykazania, że dysponują odpowiednią podstawą prawną do przetwarzania danych. Jeżeli podstawą jest zgoda użytkownika, to w razie wątpliwości administrator danych musi wykazać, że taką zgodę uzyskał. Dlatego jeśli firma buduje bazę danych użytkowników, to powinna archiwizować w niej dane o tym, kiedy i na jaki zakres przetwarzania wyraziła zgodę dana osoba.

Zgoda na przetwarzanie danych musi być wyrażona dobrowolnie i świadomie, w drodze jednoznacznej, potwierdzającej czynności. RODO mówi wyraźnie: milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody. Użytkownik podający swoje dane na stronie internetowej musi wyrazić ją świadomie i czynnie, na przykład poprzez zaznaczenie odpowiedniego pola – tak zwanego checkboksa. Nie wystarczy zatem wyświetlić użytkownikowi informacji o tym, że firma będzie przetwarzała jego dane osobowe, nie można też stosować checkboksów, które są domyślnie zaznaczone.

Jeśli dane osobowe są zbierane w różnych celach, to przedsiębiorca musi pozyskać osobne zgody na każdy z nich. Przykładowo, jeśli chcemy rejestrować użytkowników z zamiarem wykorzystania ich danych do celów marketingowych oraz w celu opracowywania danych, powinno być to zapisane w odrębnych formułach zgód, które zostaną wyświetlone obok zgody na przetwarzanie danych. Użytkownik powinien zaznaczyć każdą z nich z osobna.