Pozyskiwanie zgód – o czym powinno poinformować się klientów

Będąc przedsiębiorcą, zwłaszcza jeśli prowadzi się działalność w internecie, nie ucieknie się przed RODO. Rozporządzenie ma bowiem zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez administratora w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii. Ponadto RODO ma zastosowanie także do przetwarzania danych osób, których dane dotyczą, przebywających w Unii, gdy czynności przetwarzania wiążą się z oferowaniem towarów lub usług osobom w Unii lub monitorowaniem zachowania, jeśli do zachowania dochodzi w Unii.

Oznacza to, że nawet jeśli siedziba przedsiębiorstwa znajduje się poza Unią, ale oferuje produkty mieszkańcom Unii, to przedsiębiorca jest zobligowany stosować RODO.

Mając powyższe na uwadze, warto zastanowić się nad modyfikacjami tekstów obecnie zbieranych zgód oraz udzielanych informacji. O czym przede wszystkim powinno się poinformować klientów?

Jeżeli zbiera się dane osobowe bezpośrednio od ich dysponenta (np. sklep pozyskuje dane od klienta zainteresowanego kupnem produktu), należy podać:

  1. swoją tożsamość i dane kontaktowe (przykładowo: nazwa spółki, numer NIP i KRS, adres siedziby, numer telefonu, adres e-mail),
  2. dane inspektora ochrony danych osobowych (jeżeli został powołany),
  3. cel i podstawę prawną przetwarzania danych (np. celem może być zrealizowanie złożonego przez klienta zamówienia, zaś podstawą prawną art. 6 ust. 1 lit. a RODO, czyli zgoda na przetwarzanie),
  4. informację o odbiorcach danych, jeżeli istnieją,
  5. okres, przez jaki dane będą przechowywane lub jeśli to niemożliwe – kryteria ustalania tego okresu,
  6. informację o prawie do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
  7. informację o prawie do cofnięcia zgody w dowolnym momencie,
  8. informację o prawie wniesienia skargi do organu nadzorczego,
  9. informację o tym, czy podanie danych osobowych jest wymogiem ustawowym, umownym lub warunkiem zawarcia umowy oraz czy osoba jest zobowiązana do podania danych oraz o konsekwencjach niepodania danych,
  10. informację o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Przykładowa treść informacji dla klientów

Powyższa lista wydaje się dość obszerna. Poniżej przytoczono przykłady treści informacji, jakie mogą zostać skierowane do potencjalnych klientów.

Podając adres e-mail, wyraża Pan/Pani zgodę na otrzymywanie informacji (w tym informacji handlowej) za pomocą środków komunikacji elektronicznej od [nazwa podmiotu] oraz na używanie telekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośredniego. Wyrażenie zgody jest dobrowolne. Proszę pamiętać, że w każdym momencie może Pan/Pani odwołać ww. zgodę, logując się na swoje konto i wybierając odpowiednią opcję. Konto dostępne jest pod tym linkiem: [...].

Ważne

Sprawdź poprawność integracji swojej witryny oraz wymiany informacji o statusie subskrypcji klientów.

 

Zapis wynika z obecnie obowiązującej ustawy o świadczeniu usług drogą elektroniczną. Artykuł 10 ust. 2 wspomnianej ustawy uzależnia możliwość przesyłania informacji handlowej od wyrażenia przez użytkownika stosownej zgody. Nieuzgodnione z użytkownikiem przesyłanie informacji handlowej stanowi wykroczenie oraz czyn nieuczciwej konkurencji.

Omawiana problematyka będzie uregulowana kolejnym rozporządzeniem unijnym, oparcie zapisu o ustawę o świadczeniu usług drogą elektroniczną ma więc charakter tymczasowy.

Zaznaczając „Wyrażam zgodę”, składa Pan/Pani oświadczenie wyrażające zgodę na przetwarzanie swoich danych osobowych zawartych w niniejszym formularzu w celu realizacji zamówienia złożonego przez YYY (dane administratora danych osobowych, dalej „administrator”) zgodnie z art. 6 ust. 1 lit. a rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”) L 119/40 PL Dziennik Urzędowy Unii Europejskiej 4.5.2016 (tekst w języku polskim).

Wyrażenie zgody jest dobrowolne i stanowi wymóg umowny oraz jest niezbędne do wykonania umowy polegającej na sprzedaży produktów, które zostały przez Pana/Panią zamówione w naszym sklepie. Brak zgody na przetwarzanie podanych danych, w szczególności imienia, nazwiska, adresu, telefonu kontaktowego oraz adresu e-mail uniemożliwi nam wykonanie zamówienia. Nie będziemy bowiem w stanie przesłać zamówionego towaru na wskazany adres ani skontaktować się z Panem/Panią. W przypadku wyboru doręczenia przesyłki w sposób inny niż osobisty odbiór będziemy także zmuszeni przekazać dane osobowe do wybranego przez Pana/Panią kuriera lub operatora pocztowego celem realizacji zamówienia.

Szersza zgoda wynika z regulacji RODO kładących większy nacisk na tzw. obowiązek informacyjny leżący po stronie administratora danych. Zapis w ww. formie, wraz z postanowieniami wskazanymi poniżej, powinien spełnić wszelkie wymogi wynikające z rozporządzenia.

Zostałem poinformowany, że administrator będzie przetwarzał niektóre dane osobowe, tj. [wymienić dane osobowe], w celu lepszego dopasowania treści marketingu bezpośredniego produktów i usług administratora na podstawie art. 6 ust. 1 lit. f RODO.

Zapis reguluje profilowanie w odniesieniu do osób zarejestrowanych na danej witrynie – administrator uprawniony jest bowiem do przetwarzania danych osobowych (w tym profilowania), nawet bez wyraźnej zgody użytkownika, do realizacji swoich prawnie uzasadnionych celów (za które samo RODO uznaje cele marketingowe). Chcąc jednak zrealizować obowiązek informacyjny, konieczne jest dokładne określenie przedmiotowych danych – pomimo braku wyraźnej zgody ze strony użytkownika, ten bowiem musi zostać poinformowany o zakresie danych, jakie zbierać będzie administrator.

(OPCJONALNIE) Inspektorem danych osobowych z ramienia administratora danych jest (...). Kontakt z inspektorem możliwy jest za pomocą formularza kontaktowego, pod numerem telefonu (...) oraz za pośrednictwem e-maila (...).

W przypadku powołania inspektora danych osobowych (dalej jako IDO) konieczne jest wskazanie jego danych kontaktowych w informacjach załączonych do formularzy, w których użytkownicy podają swoje dane osobowe. IDO należy wyznaczyć co do zasady wyłącznie w sytuacji, gdy dane przedsiębiorstwo prowadzi działalność polegającą głównie na przetwarzaniu danych osobowych bądź gdy przetwarzaniem zajmuje się organ publiczny.

Wiem, że przysługuje mi prawo do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych.

RODO kładzie mocny nacisk na kontrolę użytkownika nad jego danymi osobowymi. Po ich powierzeniu administratorowi użytkownik może żądać dostępu do zgromadzonych danych, sprostowania zawartych w nich nieprawidłowości, zażądać ograniczenia ich przetwarzania (tak w sytuacji kwestionowania ich prawidłowości, na okres pozwalający sprawdzić administratorowi ich zgodność z prawdą, jak i w przypadku, gdy przetwarzanie danych okaże się np. zbędne, nieuzasadnione bądź bezprawne) oraz skorzystać z prawa do ich usunięcia (w tym na podstawie sprzeciwu) lub ich przeniesienia. W tej ostatniej sytuacji administrator zobowiązany jest do przekazania danych w powszechnie stosowanym formacie, który umożliwi ich dalsze przeniesienie do zbioru innego podmiotu.

Wiem, że moje dane będą przechowywane przez okres nie dłuższy niż jest to niezbędne do realizacji celu przetwarzania danych, tj. realizacji zamówienia oraz przesyłania spersonalizowanej informacji handlowej, przy czym po tym okresie dane mogą być przechowywane tylko na potrzeby zabezpieczenia dochodzenia roszczeń.

Obowiązkiem administratora lub właściciela witryny korzystającej z ... jest przesłanie zgłoszenia usunięcia konta w ... po zaprzestaniu korzystania z usługi ... Możesz wyłączyć konto, logując się do panelu lub wysyłając informację na adres e-mail osoby odpowiedzialnej za współpracę.

Realizując tzw. zasadę minimalizacji przetwarzania danych osobowych, RODO dąży do przeciwdziałania gromadzeniu baz danych osobowych, które nie są już potrzebne w ramach prowadzonej działalności. Efektem tych założeń jest obowiązek określenia momentu, w którym dane przestaną być przetwarzane. W sytuacji kiedy nie jest możliwe okreś­lenie dnia zakończenia przetwarzania, w miejscu oznaczonym „...” należy wskazać kryteria pozwalające na określenie tego momentu, a więc np. do momentu usunięcia przeze mnie konta założonego na portalu XYZ.

Wiem, że przysługuje mi prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Cofnięcie może nastąpić łatwo po zalogowaniu się na moje konto i wyborze odpowiedniej opcji. Konto dostępne jest pod linkiem [...].

Analogicznie, także w tym wypadku należy poinformować użytkownika o przysługującym mu prawie do cofnięcia zgody na przetwarzanie danych osobowych. Wycofanie zgody musi być możliwe do wykonania w sposób równie prosty co wyrażenie zgody na ich przetwarzanie, a więc np. poprzez prosty formularz.

Wiem, że jeżeli moje prawa zostały zagrożone lub naruszone,mogę się skontaktować z krajowym organem nadzoru z siedzibą w ...

Obowiązek poinformowania o właściwym organie sprawującym nadzór nad przetwarzaniem danych przez admi­nistratora ma na celu ułatwienie użytkownikowi zwrócenia się do ww. z wnioskiem o ewentualną interwencję w przypadku, gdy administrator naraża bądź narusza bezpieczeństwo danych osobowych, chociażby w wyniku wycieku danych.

Profilowanie – pop-up na stronIe dla nowych użytkowników

[Nazwa witryny] korzysta z systemu monitorującego Pana/Pani aktywność podczas korzystania z witryny w celu dostosowania jej treści do zainteresowań użytkownika. Szersze informacje o systemie monitorowania można znaleźć [link do polityki prywatności]. Jeżeli pragnie Pan/Pani zgłosić sprzeciw, prosimy o zalogowanie się na swoje konto i wybór odpowiedniej opcji. Konto dostępne jest pod linkiem [...].

Wskazane ostrzeżenie zostało przygotowane w wersji bardziej zachowawczej. Teoretycznie można bowiem przyjąć, iż same dane zbierane w trakcie profilowania (określające wyłącznie to, jak dany użytkownik korzysta z witryny) nie stanowią samoistnie danych osobowych – nie pozwalają bowiem na identyfikację danego użytkownika. Niemniej wiele systemów monitorowania wiąże informacje zebrane w toku profilowania z adresem IP, który według dominującego poglądu stanowi dane osobowe.

Posługując się przykładem, dane dotyczące specyfiki danego użytkownika (w przypadku sklepu internetowego np. ustalenie, iż chętnie ogląda on oferty męskich butów marki Nike w kolorze czarnym) nie pozwalają na jego identyfikację. W połączeniu jednak z danymi pozwalającymi na rozpoznanie – a więc adresem IP – stanowią już, według dominujących poglądów, dane osobowe chronione przez RODO.

Przy przyjęciu, iż podczas profilowania zbierane będą wyłącznie dane dotyczące sposobu korzystania z danej strony i (do momentu rejestracji) w zbiorze nie znajdą się żadne inne dane pozwalające na identyfikację użytkownika (tj. wspomniany adres IP czy np. lokalizacja), powiadomienie najpewniej będzie można uprościć, rezygnując z odesłania do formularza sprzeciwowego. Mając na uwadze charakter RODO, wyjątkowo ogólny w odniesieniu do problematyki profilowania, na obecnym etapie trzeba rekomendować szczególną ostrożność.