02 Sie

Pozyskiwanie zgody na przetwarzanie danych osobowych – najczęstsze błędy

Kto chociaż raz zetknął się z zagadnieniem pozyskiwania zgody wie, że temat jest tylko pozornie łatwy. W praktyce ten proces budzi wiele wątpliwości zaczynając od formy pozyskania, na treści zgody kończąc.

Definicja zgody na przetwarzanie danych osobowych

Ustawa o ochronie danych osobowych: Zgoda osoby, której dane dotyczą (podmiotu danych), to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie.

Ogólne rozporządzenie o ochronie danych osobowych:  zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych

Zgodnie z motywem 40 preambuły RODO:  Aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

Mówiąc krótko, zgoda nie zawsze jest konieczna. Pisałam o tym szerzej tutaj. http://sylwiaczub.pl/pytanie-czy-zawsze-konieczna-jest-zgoda/

Brak dowodu pozyskania zgody

Zgoda jest oświadczeniem woli, może być wyrażona w dowolny sposób. Jednakże to na administratorze danych spoczywa obowiązek udowodnienia, że uzyskał zgodę. Read More

26 Maj

Organizowanie konkursów – kompleksowe omówienie, nie tylko w kontekście RODO

Konkursy to jedna z najpopularniejszych metod na promocję podmiotu lub marki. Konkursy często robione są „na szybko”, co może pociągać za sobą negatywne konsekwencje dla organizatora, jeżeli nie zabezpieczył właściwie swojego interesu. Omówię organizowanie w kontekście szerszym niż ogólne rozporządzenie o ochronie danych osobowych (RODO), mając nadzieję, że będzie to dla Was bardziej wartościowe i łatwiejsze do wykorzystania, gdyż kompleksowe.

Konkurs czy loteria?

Mówiłam o pułapkach, pierwszą z nich jest organizowanie konkursu, który w praktyce okazuje się loterią. Bardzo ciekawy artykuł na ten temat, szeroko omawiający zagadnienie, jest tutaj. Ja natomiast powiem krótko: Konkurs wyróżnia to, że jego uczestnicy muszą wykazać się obiektywnie ocenionymi umiejętnościami, które można uznać za najlepsze (a tym samym nagrodzić w konkursie). Konkurs, w którym wszyscy wygrywają albo losuje się nagrody z dostępnej puli, nie jest konkursem tylko loterią. Loteria nie jest niczym złym, jednakże wymaga dopełnienia większej liczby formalności (zgłoszenie organom celnym), których niedopełnienie może pociągać nieprzyjemne konsekwencje, w szczególności kary finansowe. Read More

10 Maj

RODO: rozszerzona zgoda na przetwarzanie danych osobowych

Ogólne rozporządzenie o ochronie danych osobowych (RODO) kładzie duży nacisk na prawa osób, których dane dotyczą (podmiotów danych). Przede wszystkim wymaga rozszerzenia obowiązku informacyjnego, w taki sposób, aby było od razu wiadomo jak długo będą przetwarzane dane, komu przekazywane i jakie prawa przysługują podmiotowi danych. Obowiązek informacyjny omówię w kolejnym wpisie, na razie skupię się na samym obowiązku i sposobie pozyskiwania zgody na przetwarzanie danych osobowych.

Forma wyrażenia zgody

Sama definicja zgody nie uległa dużej zmianie:  jest to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych (art. 4 ust. 11 RODO). Pozostawiono możliwość pozyskania ustnej zgody, dodatkowo podkreślono, że może być ona uzyskiwana elektronicznie (np. poprzez zaznaczenie odpowiednich okienek). Należy pamiętać, że w przypadku pozyskiwania zgody w innej formie niż pisemna, to na administratorze danych osobowych będzie ciążył obowiązek udowodnienia, że została ona pozyskana, a nie dorozumiana. RODO określa wprost: Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody (ust. 32 preambuły).Takim dowodem może być na przykład film z wydarzenia, przed którym uczestnicy zostaną zapytani o zgodę na przetwarzanie ich danych. Read More

22 Mar

Listy poparcia a dane osobowe

Przez zagadnienie “listy poparcia” rozumiem wszelkiego rodzaju tabelki, w których podajemy swoje dane, w celu poparcia jakiejś inicjatywy, kandydata politycznego albo zadeklarowania jakiegoś stanowiska (np. płatności na rzecz organizacji charytatywnej). Ostatnio też spotkałam się z taką listą robioną na potrzeby informacji dla mojej parafii, czy kupiłam opłatek od jego przedstawiciela (należało wpisać imię, nazwisko, adres oraz kwotę, którą postanowiło się zapłacić).

Wszystkie te listy mają wspólną cechę, jest to pusta kartka z dużą tabelką. I za każdym razem skłaniają mnie do długiej, często niemiłej i zakończonej pisemną lub mailową skargą do organizatora zbierania danych, rozmową.

Większość ludzi nie zastanawia się nad tym: dla kogo i przez kogo są zbierane oraz czy zostaną wykorzystane we wskazanym celu. Na razie nie przechodzę do obowiązków wynikających z przepisów prawa, a jedynie do czystej logiki i zaufania do osoby zbierającej. Czy ktokolwiek z Was zadał sobie pytanie, czy jeżeli wpisuje swoje dane na listę, która nie ma żadnego nagłówka ani określonego celu zbierania, to może ona zostać wykorzystana w zupełnie inny sposób niż Was zapewniono? Chociażby do poparcia zupełnie innego kandydata lub inicjatywy, niż ta pod którą się podpisaliście. To jest właśnie główny powód moich “niemiłych” rozmów z osobami, które zbierają dane.

Read More

09 Sty

Czy można umieścić zgodę na przetwarzanie danych w regulaminie

Nie, nie i jeszcze raz nie. Najchętniej właśnie tak zakończyłabym ten wpis, jednakże jest to tak częsta praktyka, że wymaga szerszego omówienia. Zanim wyjaśnię dlaczego zaznaczę, że taka zgoda jest nieważna, więc nie jest to sprytny sposób na ominięcie problemu pozyskania zgody, a zamienienie małego kłopotu na duży. Zwłaszcza, że często pozyskać zgodę wcale nie jest tak trudno, wszystko jest kwestią chęci. Ale o tym za chwilę 🙂

Zgodnie z art. 7 pkt 5 ustawy o ochronie danych osobowych zgoda to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie. Zgoda nie może wynikać z oświadczenia woli o innej treści – czyli zgoda nie może być zawarta w regulaminie, którego zaakceptowanie wiąże się ze zgodą na warunki świadczenia usługi. Umieszczenie w regulaminie zgody, oznacza że wynika ona z „oświadczenia woli zgody na zasady świadczenia usługi określone w regulaminie”. Zatem taka zgoda jest domniemana i nieważna. A jeżeli została pozyskana właśnie w ten sposób, to został złamany art. 49.1. ustawy o ochronie danych osobowych Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Read More

24 Sie

Czy można wygrać z dostawcami reklam SMS?

Poniższy tekst nadesłała moja przyjaciółka, z którą już od dłuższego czasu prowadzę niekończące się rozmowy na temat prywatności. Są niezwykle inspirujące. Jakiś czas temu skarżyła się na przychodzące non stop SMSy z reklamami. Gdy znalazła metodę na ich nieotrzymywanie, postanowiła stworzyć dla Was ten krótki tekst, w którym dzieli się swoim doświadczeniem i skuteczną metodą (potwierdzam z własnego doświadczenia – działa).

Co zrobić, aby nie otrzymywać reklam SMSem

Nie znam osoby, która w dzisiejszych czasach nie posługiwałaby się telefonem komórkowym. Używamy ich na co dzień, w pracy, w domu, dla rozrywki. Tę drogę wykorzystują również firmy chcące coś zareklamować, naciągnąć na smsy premium.

Czy zdarzało Wam się wysłać smsa na konkurs? Zasubskrybować newsy? Przez ciekawość wysłać darmowego smsa? A potem chcąc, nie chcąc otrzymujecie darmowe, ale jakże denerwujące smsy reklamowe. Chwila nieuwagi i można się „naciąć” i obciążyć dość mocno rachunek telefoniczny.  Oczywiście jesteśmy winni sobie sami i często znosimy tę niedogodność. Read More

24 Cze

Czy OPS powinien brać zgodę na przetwarzanie danych osobowych?

Pytanie od Pana Andrzeja:

Czy jeżeli przetwarzamy w MOPS dane klientów zgodnie z ustawą o pomocy społecznej, świadczeniach rodzinnych, alimentacyjnych, 500+ i wspieraniu rodziny a jednocześnie pobieramy zgodę na przetwarzanie danych czy jest to zgodne z UODO ?

Przesłanki legalności przetwarzania danych osobowych określa art. 23 ust. 1 ustawy o ochronie danych osobowych. Jest ich pięć:

Osoba, której dane dotyczą wyrazi na to zgodę,

  1. Jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
  2. Jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
  3. Jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
  4. Jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Read More

16 Cze

Czy można publikować dane darczyńców i sponsorów na stronie?

Pozyskiwanie darczyńców i sponsorów coraz częściej jest bardzo istotne dla podmiotów prowadzących działalność, np. fundacji, stowarzyszeń, kościołów, ale także muzeów, czy bibliotek. Powstaje pytanie – czy możemy publikować je na naszej stronie internetowej albo wywiesić, np. w gablocie, w naszej siedzibie.

Z punktu widzenia podmiotu, który zostały obdarowany, podziękowanie darczyńcy, czy sponsorowi jest bardzo istotne dla podtrzymania przyszłych relacji. Jednakże nie zawsze ta osoba życzy sobie, aby publicznie ujawniać jej dane. Ustawa o ochronie danych osobowych stoi po stronie ochrony prywatności darczyńcy i narzuca obowiązek pozyskania jego zgody na publiczne opublikowanie danych. Zgodę można pozyskać w dowolnej formie, także ustnej, jednakże dla celów dowodowych (a także przyszłej współpracy) należałoby zrobić to w formie wiadomości e-mail lub na piśmie. W przypadku darczyńcy, można umieścić klauzulę zgody na karcie przekazania daru (z okienkiem do zaznaczenia).

Przykładowy tekst zgody (wraz z klauzulą informacyjną): Read More

26 Wrz

Czy szkoła potrzebuje zgodę ucznia na przetwarzanie jego danych?

Otrzymałam ostatnio pytanie dotyczące zgody na przetwarzanie danych osobowych uczniów przez szkołę, czy potrzebna jest zgoda, czy nie?
Omawiałam już bardzo podobne pytanie dotyczące przetwarzania danych czytelników przez bibliotekę. Odpowiedź jest analogiczna: to zależy od celu przetwarzania danych.

Szkoła nie potrzebuje zgody, jeśli przetwarza dane uczniów w celach określonych w ustawie z dnia 7. września 1991 r. o systemie oświaty, czyli celach związanych z nauką i wychowaniem uczniów. Oznacza to, że nie trzeba pobierać zgody na przetwarzanie danych osobowych ucznia podczas procesu rekrutacji, podczas trwania jego nauki, podczas korzystania przez niego z biblioteki, czy zajęć dodatkowych, o ile są zapewniane przez szkołę (w przypadku zajęć, może być konieczna zgoda opiekuna prawnego na udział dziecka w zajęciach, ale nie na przetwarzanie jego danych.

A co z innymi celami przetwarzania? Read More