iSecure logo
  • pl
  • en
    • Blog

    Pułapki i błędy w zbieraniu zgody

    Katarzyna Ułasiuk-Delamare
    Kategorie

    Jeżeli ktoś słyszał o ochronie danych osobowych, to na pewno słyszał o zgodzie na ich przetwarzanie. Co gorsza, im więcej mówi się o przestrzeganiu RODO, tym częściej słyszymy to i ówdzie: „nie wyrażałem zgody na ich przetwarzanie, proszę o usunięcie”, czy „jakim prawem przetwarzacie dane, nie udzielałem na to zgody”.

    Chociaż temat zbierania zgód na przetwarzanie danych w teorii wydaje się banalny, to w praktyce nadal obserwujemy wiele błędów i pułapek z tym związanych. Jakich? O tym przeczytacie w poniższym wpisie.

    Nie musisz – nie zbieraj

    Na dobry początek – okazuje się, że często popełnianym błędem jest… zbieranie zgody wtedy, kiedy w ogóle nie jest ona potrzebna. Co to znaczy? Zacznijmy od ćwiczenia Prześledź poniższe przypadki i zastanów się, czy zebrałbyś przy tej okazji zgodę na przetwarzanie danych albo czy widziałeś, że taką się zbiera:

    1. Monitoring wizyjny – na obiekcie znajdują się kamery, które rejestrują obraz w celu ochrony osób lub mienia. Na wejściu widzisz piktogram z informacją, że poruszając się po obszarze monitorowanym wyrażasz zgodę na przetwarzanie wizerunku w celu prowadzenia monitoringu. Brzmi znajomo?
    2. Zakupy internetowe – wypełniasz formularz internetowy swoimi danymi, jako odbiorcy przesyłki. Zostawiasz dane adresowe i kontaktowe. Pod formularzem widzisz okienko, że wyrażasz zgodę na przetwarzanie danych w celu realizacji zamówienia, które składasz. Zgoda jest obowiązkowa. Słusznie czy nie?
    3. Rejestracja konta – zakładasz konto w serwisie internetowym. Widzisz okienko dotyczące akceptacji regulaminu (jeżeli go przeczytasz, to powinieneś się dowiedzieć m.in.: z jakiej usługi korzystasz, kto ją świadczy, jakie są warunki jej świadczenia, jak składać reklamacje). Widzisz również deklarację, że założenie konta oznacza zgodę na przetwarzanie danych w celu prowadzenia tego konta, zgodnie z postanowieniami regulaminu. Co Ty na to?

    Takich przypadków można mnożyć wiele, ale mianownik jest wspólny – NIE zbieraj zgody, jeżeli nie jest ona potrzebna. Pamiętaj, że w zależności od celu masz inne podstawy prawne (np. realizacja umowy/usługi, obowiązek prawny, prawnie uzasadniony interes, którym jest np. zapewnienie bezpieczeństwa). Jeżeli zbierasz zgodę zawsze i w każdym przypadku, to popełniasz jeden z błędów – wywołujesz mylne wrażenie u osoby, od której pozyskujesz zgodę, że faktycznie ma ona skuteczność i faktycznie może być odwołana (chociaż tak nie jest, np. gdy prawo wymaga przetwarzania danych).

    Konkretna, świadoma, dobrowolna, jednoznaczna…

    Nadal, mimo upływu ponad dwóch lat od wejścia w życie RODO i mimo tego, że wymogi dotyczące zgody nie były tak naprawdę nowością (bo obowiązywały również i przed majem 2018 r.), najczęściej spotykane wady we wdrożeniu prawidłowej zgody polegają na tym, że:

    1. Zgoda jest ogólna – nie wiadomo, w jakim celu zgoda jest wyrażana (nie ma o tym wzmianki w klauzuli, cel nie jest konkretnie oznaczony), treść jest blankietowa (ktoś ogólnie ma zgodzić się „na przetwarzanie danych zgodnie z RODO”), zgoda nie wskazuje, komu ta zgoda jest pozostawiana (brak podania administratora danych znanego z nazwy i adresu siedziby).
    2. Nie zapewnia się świadomości wyrażenia zgody – przed uzyskaniem zgody należy zapewnić niezbędne informacje osobom, których dane dotyczą, aby umożliwić im podejmowanie świadomych decyzji i przedstawić im klauzulę tak, aby zrozumiały, na co wyrażają zgodę. Niestety nadal jest to problemem.
    3. Zgoda nie jest dobrowolna, jest „wymuszona” – osoba, która wyraża zgodę nie ma tak naprawdę realnego, swobodnego wyboru. W innych przypadkach zastanawia się, czy jeżeli nie wyrazi zgody to nie spowoduje to negatywnych konsekwencji dla tej osoby. Musisz sprawdzać, czy zgody nie są zbierane w sposób „wymuszony”, np. gdzie od ich wyrażenia w jakimś dodatkowym celu uzależnia się realizację celu podstawowego (np. wymuszona zgoda na przesyłanie informacji handlowych podczas zakładania konta). Wadą obarczone są też te zgody, które zbierane są poprzez domyślne zaznaczenie okienek (checkboxów).
    4. Zgoda nie jest wyraźna – ważna zgoda wymaga jednoznacznego okazania w formie oświadczenia lub wyraźnego działania potwierdzającego, co oznacza, że osoba, której dane dotyczą, musi podjąć celowe działanie dla wyrażenia zgody na określone przetwarzanie. Jeżeli zakładasz, że zrobienie zakupów w Twoim sklepie daje Ci uprawnienie do wysyłania informacji na maile klientów o nowych produktach, to jesteś w błędzie.

    Udowodnij!

    W razie kontroli to Twoja firma będzie musiała wykazać, że posiada zgodę. Chodzi o to, żebyś miał odpowiedzi na pytania: kiedy, jaka zgoda (o jakiej treści) i przez kogo została wyrażona (zgodnie z zasadą rozliczalności).

    Jeżeli zbierasz zgody w formie papierowej to zastanów się nad ich archiwizacją, unikaj pomyłek we wprowadzeniu danych do systemu, przemyśl, czy potrzebujesz w systemie skanów papierowej wersji i zaprojektuj, co zrobisz, kiedy zgoda zostanie odwołana.

    Jeżeli zbierasz zgody w formie elektronicznej, to zastanów się, jakie „tagi” będą Ci potrzebne: data, treść/typ zgody, adres IP, source (np. nazwa strony www, na której została wyrażona zgoda)?

    Sprawdź, czy miejsce docelowe przechowywania danych (i zgód) pozwala nie tylko na zabezpieczenie danych, ale też na realizację praw osób, których dane dotyczą. Chodzi m. in. o prawo do otrzymania kopii danych, prawo do uzyskania informacji o okolicznościach przetwarzania danych (z jakiego źródła pochodzą, od kiedy są przetwarzane, czy były komuś udostępniane), czy też prawo do odwołania zgody.

     

    Czy Twój system wspiera realizację tych praw? Czy jesteś w stanie zarządzać procesem odwołania zgody? Wspominam o systemie, ponieważ w pliku Excel zrealizować powyższe wymagania jest niezwykłą sztuką. Być może Twój CRM potrzebuje zmian, bo okazuje się, że przy wpisie z danymi danego klienta zamiast odpowiedników do odnotowania trzech zbieranych zgód, jest tylko jeden checkbox: „Zgoda RODO”, w związku z czym cała praca, którą wykonałeś na landing page, gdzie zamieściłeś trzy różne zgody, jest bezcelowa, bo system i tak nie umożliwi Ci przeniesienia 1:1 właściwego stanu rzeczy. Możesz skorzystać z gotowego rozwiązania – dedykowanego systemu służącego budowaniu baz zgodnie z RODO, gdzie nie tylko masz pełną możliwość zarządzania zgodami, ale też pewność, że w razie wniesienia żądania od klienta będzie ono prawidłowo zrealizowane, mając wsparcie techniczne systemu. Bezpiecznym rozwiązaniem, o którym wiemy, jest easyRODO – system, który powstał pod naszym merytorycznym nadzorem, a którego funkcjonalności znajdziesz tutaj.

     

    Zarządzanie zgodami wcale nie musi być takie skomplikowane, jeżeli wiesz, na co uważać 🙂

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Jak przetwarzać dane - poradnik (cz. III)
    Maria Lothamer

    Jak przetwarzać dane – poradnik (cz. III)

    W ostatnich dwóch poradnikach z cyklu „Jak przetwarzać dane” przedstawiliśmy i krótko opisaliśmy Wam dwie z pięciu przesłanek, umożliwiających przetwarzanie danych tzw. „zwykłych” zgodnie z ustawą o ochronie danych osobowych. Jak się zapewne domyślacie, w tej części poradnika przedstawimy Wam kolejną, trzecią już, przesłankę legalizującą przetwarzanie danych (w praktyce ustawodawca w art. 23 ust. 1 pkt. 3 określił na dobrą sprawę dwie sytuacje legalizujące przetwarzanie danych).

    Czytaj więcej
    Zanim znajdziemy wykonawcę aplikacji
    Bartosz Migas

    Brak całościowego spojrzenia na wdrożenie, czyli lewa ręka nie wie co przetwarza prawa

    Nigdy za wiele powtarzania, że wdrożenie i utrzymanie zgodności z RODO to nie jednorazowy projekt, tylko ciągły proces. Bezpieczeństwo przetwarzania danych osobowych zazwyczaj dotyczy całokształtu działalności danej organizacji i towarzyszy jej w codziennym działaniu – od sposobu pozyskania danych, przez narzędzia do ich przetwarzania i wykorzystywania, na metodach ich usunięcia kończąc. Z natury rzeczy tak kompleksowe […]

    Czytaj więcej
    Michał Sztąberek

    Obowiązki pracodawcy w zakresie ochrony danych osobowych, który wprowadził PPK dla swoich pracowników

    Zgodnie z ustawą z dnia 4 października 2018 r. o pracowniczych planach kapitałowych każda organizacja, która zatrudnia co najmniej jedną osobę podlegającą obowiązkowo ubezpieczeniom emerytalnemu i rentowemu, musi otworzyć pracownicze plany kapitałowe (PPK) dla swoich pracowników i zleceniobiorców. PPK są prowadzone przez instytucję finansową na podstawie umowy o prowadzenie PPK, zawieranej przez pracodawcę w imieniu […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki