Przedstawiam drugą część cyklu o newsletterach. Dzisiaj dowiesz się, co powinno znaleźć się w zgodzie wyrażonej przez użytkownika na przetwarzanie danych osobowych. W kolejnej części omówimy obowiązki administratora danych osobowych w związku z już przetwarzanymi danymi.
Jak wiesz z pierwszej części cyklu, adresy e-mail zbierane w celu przesyłania newslettera, mogą zostać uznane za dane osobowe w świetle ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwłaszcza jeśli zawierają imiona, nazwiska, nazwę firmy albo występują wspólnie z innymi informacjami dotyczącymi danej osoby.
Nie da się przewidzieć, na jaki adres mailowy Twoi użytkownicy będą chcieli otrzymywać newsletter. W praktyce warto więc przygotować wzór zgody na przetwarzanie danych osobowych, który zapisujący się na newsletter powinni zaakceptować.
Zgoda na przetwarzanie danych osobowych
Ustawa o ochronie danych przewiduje różne przypadki, kiedy można przetwarzać dane osobowe, ale z punktu widzenia newslettera najbardziej interesuje nas zgoda na przetwarzanie danych osobowych. Jeśli nie zachodzi żaden inny przypadek z ustawy, to właśnie ona jest niezbędna, aby legalnie przetwarzać dane osobowe.
Nie ma odgórnego wzoru zgody na przetwarzanie danych osobowych. Ustawa mówi za to, jaką zgoda powinna mieć treść. Jak myślisz, co powinno się w niej znaleźć?
Na to pytanie odpowiada art. 7 pkt 5 ustawy, zgodnie z którym:
“Przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenia; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie.”
Z treści udzielonej zgody powinno bez wątpliwości wynikać, na co została udzielona, czyli:
dane będą przetwarzane. Zgoda na przetwarzanie danych osobowych nie może być blankietowa, nie wystarczy ogólna formuła, bez wskazania o jakie dane chodzi i w jakim celu będą one przetwarzane (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych osobowych. Komentarz, Wolter Kluwers S.A. 2015).
Forma zgody jest dowolna; oczywiście w przypadku newsletterów będzie to zgoda elektroniczna. Bardzo ważne jest to, że udzielenie zgody musi być aktywnym działaniem użytkownika. Nie wystarczy poinformowanie o zamiarze przetwarzania danych osobowych i brak sprzeciwu drugiej strony. Checkbox umieszczony przy oświadczeniu o wyrażeniu zgody nie powinien także być z góry zaznaczony - użytkownik musi czynnie wyrazić zgodę na przetwarzanie swoich danych.
Osoba lub podmiot przetwarzający dane osobowe to administrator danych osobowych. Ma on pewne obowiązki. Zgodnie z art. 24 ust. 1 ustawy o ochronie danych osobowych, przy zbieraniu danych od osoby, której dane te dotyczą, administrator musi poinformować tę osobę o:
adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
prawie dostępu do treści swoich danych oraz ich poprawiania,
dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Udzielenie powyższych informacji jest niezbędne, aby przetwarzanie danych odbywało się zgodnie z prawem. Co prawda przepisy nie wskazują terminu, w jakim należy podać informacje, ale przyjmuje się, że musi to nastąpić jeszcze przed zebraniem danych, co najmniej w zakresie punktu 2 i 4 (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych osobowych. Komentarz, Wolter Kluwers S.A. 2015). Moim zdaniem najlepszym wyjściem będzie podanie wszelkich niezbędnych informacji od razu.
Oczywiście muszą one być konkretne oraz aktualne.
Jak to jest, że czasami wyrażamy zgodę na przetwarzanie naszych danych osobowych przez jakiś podmiot, a następnie okazuje się, że nasze dane znajdują się w posiadaniu innych osób czy firm?
Warto wiedzieć, że dopuszczalne jest zbieranie takiej zgody na przetwarzanie danych osobowych, w której od razu zaakceptujemy, że administrator danych będzie je przekazywał innym podmiotom. Powinny one zostać wskazane oraz cel przetwarzania danych powinien być tożsamy.
Czytajmy więc uważnie treść zgód na przetwarzanie danych osobowych, a konstruując je, zastanawiajmy się nad ich zakresem.
Cele marketingowe i informacje handlowe
Czasami spotyka się praktykę, zgodnie z którą łączy się zgodę na przetwarzanie danych w określonym celu (np. wykonywanie umowy) ze zgodą na przetwarzanie danych osobowych w celach marketingowych i tworzy się z obu zgód jedno oświadczenie użytkownika. Jest to nieprawidłowe. Zgodna na przetwarzanie danych osobowych w celach marketingowych musi być zgodą odrębną, tak aby użytkownik był w stanie wyrazić ewentualną zgodę na przetwarzanie swoich danych w jasno określonym, konkretnym celu.
UWAGA! Również zgoda na otrzymywanie informacji handlowych drogą elektroniczną, uregulowana w ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną - jeżeli chcemy ją odebrać - powinna być odebrana oddzielnie od zgody lub zgód na przetwarzanie danych osobowych.
Jak wskazał np. Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 27 kwietnia 2011 (sygn. akt II SA/Wa 269/11), "umieszczenie zgody na dwa w istocie sposoby przetwarzania udzielonych danych osobowych w jednym zdaniu, bez ich rozdzielenia i wskazania, czego ta zgoda dotyczy, w niewątpliwy sposób powoduje, iż osoba wyrażająca zgodę nie wie dokładnie, na co wyraża taką zgodę".
Zapamiętaj!
- Aby legalnie przetwarzać cudze dane osobowe, musi to być możliwe na gruncie ustawy o ochronie danych osobowych.
- W kwestii newslettera najbardziej interesuje nas zgoda na przetwarzanie danych osobowych, wymieniona w ustawie o ochronie danych osobowych jako jeden z przypadków, kiedy przetwarzanie danych jest zgodne z prawem.
- Zgoda ta musi być wyraźna i bez wątpliwości musi z niej wynikać, na co dana osoba się zgodziła: jakie jej dane będą przetwarzane w jakim zakresie oraz w jakim celu i przez kogo.
- Forma zgody na przetwarzanie danych osobowych jest dowolna.
- Zgoda na przetwarzanie danych osobowych może być w każdym czasie odwołana.
- Administrator danych osobowych musi udzielić osobie, od której zbiera danej, informacji w zakresie wskazanym w ustawie o ochronie danych osobowych.
- Zgoda na przetwarzanie danych osobowych, np w celu wykonania umowy oraz zgoda na cele marketingowe powinny być odrębne. Odrębna powinna także być zgoda na otrzymywanie informacji handlowych drogą elektroniczną.
Jakie pytania nasuwają się Wam, jako użytkownikom, a może i twórcom newsletterów? Dajcie znać
Photo credit: gajman via Foter.com / CC BY