Cel legalny

Artykuł 6 ust. 1 RODO stanowi, że przetwarzanie danych może się odbywać jedynie w przypadku, gdy spełniona jest co najmniej jedna z poniższych przesłanek:

a. zgoda osoby, której dane dotyczą;
b. przetwarzanie danych jest niezbędne do wykonania umowy z osobą, której dane dotyczą, albo do podjęcia działań przedkontraktowych na żądanie tejże osoby.

Potwierdzenie, że dane osobowe są niezbędne do wykonania umowy, raczej nie powinno nastręczać trudności. Przykładowo, do wykonania umowy sprzedaży butów, zawartej przez internet, niezbędne jest przetwarzanie przez sklep e-commerce informacji o adresie konsumenta, tak aby możliwe było wysłanie do niego towaru.

Niezbędność do podjęcia działań przedkontraktowych na żądanie określonej osoby zachodzi wówczas, gdy konsument zainteresowany ofertą danej firmy zadzwoni do niej/zada pytanie poprzez wiadomość e-mail, zada pytanie za pośrednictwem chatu lub innego podobnego narzędzia (np. Messenger na Face­booku). Należy w takiej sytuacji uważać – przetwarzanie może bowiem nastąpić jedynie w celu realizacji konkretnego żądania konsumenta. Nie można z takiego pojedynczego zapytania wyciągnąć wniosku, że konsument jest zainteresowany naszą ofertą i dlatego można w przyszłości przesyłać mu newslettery czy SMS-y;
 

PRZYKŁAD

Konsument Jan Kowalski zadzwonił na infolinię producenta okien. Otrzymuje informację o konkretnym modelu, w tym konkretną ofertę na tenże model. W rozmowie telefonicznej nie pytano konsumenta o żadne dodatkowe zgody czy chęć otrzymywania ofert w przyszłości. Klient w ciągu kilku tygodni nie ponawia kontaktu z firmą, co oznacza, że zrezygnował z zakupu okien u tego producenta.

Po dwóch miesiącach producent okien przesyła Janowi Kowalskiemu wiadomość SMS z ofertą na inne, bardzo podobne okna, tym razem z rabatem 15%. Dodatkowo Jan Kowalski otrzymuje też ofertę zakupu drzwi.

Powyższe działanie jest nieprawidłowe, ponieważ nie jest niezbędne do wykonania przedkontraktowych żądań Jana Kowalskiego. W tym przypadku producent okien nie może też powołać się na prawnie usprawiedliwiony interes w postaci marketingu bezpośredniego, ponieważ Jan Kowalski nie stał się nigdy klientem tego producenta.

 

c.  obowiązek prawny administratora;
–   np. konieczność prowadzenia akt osobowych pracowników (przepisy prawa pracy dokładnie wskazują, jakie informacje należy w takich aktach gromadzić);
d.  ochrona żywotnych interesów osoby, której dane dotyczą;
–   np. turysta wędruje w zimie po Tatrach. W pewnym momencie napotyka inną osobę, która poślizgnęła się i przy upadku straciła przytomność. Turysta korzysta z dowodu osobistego poszkodowanego, podając dane poszkodowanego Tatrzańskiemu Ochotniczemu Pogotowiu Ratunkowemu. Jest to działanie podejmowane w celu ochrony żywotnych interesów drugiej osoby;
e.  wykonywanie zadania w interesie publicznym;
–   np. prowadzenie gminnej ewidencji gruntów, w której znajdują się informacje o właścicielach nieruchomości;
f.   przetwarzanie do realizacji prawnie usprawiedliwionych interesów administratora, przy czym należy tutaj dokonać ważenia interesów administratora i interesów podmiotu danych;
–   np. dochodzenie roszczeń w sądzie przeciwko konsumentowi, który nie zapłacił za usługę, czy przetwarzanie danych przez bank w postaci archiwizowania i analizowania tytułów każdej operacji bankowej na cele zapobiegania oszustwom.

Podsumowując, zbieranie i dalsze przetwarzanie danych osobowych może mieć miejsce (będzie legalne) jedynie wówczas, gdy odbywa się ono na podstawie jednej z przesłanek wymienionej w art. 6 ust. 1 RODO.