iSecure logo
  • pl
  • en
    • Blog

    Pułapki i błędy w zbieraniu zgody

    Katarzyna Ułasiuk-Delamare
    Kategorie

    Jeżeli ktoś słyszał o ochronie danych osobowych, to na pewno słyszał o zgodzie na ich przetwarzanie. Co gorsza, im więcej mówi się o przestrzeganiu RODO, tym częściej słyszymy to i ówdzie: „nie wyrażałem zgody na ich przetwarzanie, proszę o usunięcie”, czy „jakim prawem przetwarzacie dane, nie udzielałem na to zgody”.

    Chociaż temat zbierania zgód na przetwarzanie danych w teorii wydaje się banalny, to w praktyce nadal obserwujemy wiele błędów i pułapek z tym związanych. Jakich? O tym przeczytacie w poniższym wpisie.

    Nie musisz – nie zbieraj

    Na dobry początek – okazuje się, że często popełnianym błędem jest… zbieranie zgody wtedy, kiedy w ogóle nie jest ona potrzebna. Co to znaczy? Zacznijmy od ćwiczenia Prześledź poniższe przypadki i zastanów się, czy zebrałbyś przy tej okazji zgodę na przetwarzanie danych albo czy widziałeś, że taką się zbiera:

    1. Monitoring wizyjny – na obiekcie znajdują się kamery, które rejestrują obraz w celu ochrony osób lub mienia. Na wejściu widzisz piktogram z informacją, że poruszając się po obszarze monitorowanym wyrażasz zgodę na przetwarzanie wizerunku w celu prowadzenia monitoringu. Brzmi znajomo?
    2. Zakupy internetowe – wypełniasz formularz internetowy swoimi danymi, jako odbiorcy przesyłki. Zostawiasz dane adresowe i kontaktowe. Pod formularzem widzisz okienko, że wyrażasz zgodę na przetwarzanie danych w celu realizacji zamówienia, które składasz. Zgoda jest obowiązkowa. Słusznie czy nie?
    3. Rejestracja konta – zakładasz konto w serwisie internetowym. Widzisz okienko dotyczące akceptacji regulaminu (jeżeli go przeczytasz, to powinieneś się dowiedzieć m.in.: z jakiej usługi korzystasz, kto ją świadczy, jakie są warunki jej świadczenia, jak składać reklamacje). Widzisz również deklarację, że założenie konta oznacza zgodę na przetwarzanie danych w celu prowadzenia tego konta, zgodnie z postanowieniami regulaminu. Co Ty na to?

    Takich przypadków można mnożyć wiele, ale mianownik jest wspólny – NIE zbieraj zgody, jeżeli nie jest ona potrzebna. Pamiętaj, że w zależności od celu masz inne podstawy prawne (np. realizacja umowy/usługi, obowiązek prawny, prawnie uzasadniony interes, którym jest np. zapewnienie bezpieczeństwa). Jeżeli zbierasz zgodę zawsze i w każdym przypadku, to popełniasz jeden z błędów – wywołujesz mylne wrażenie u osoby, od której pozyskujesz zgodę, że faktycznie ma ona skuteczność i faktycznie może być odwołana (chociaż tak nie jest, np. gdy prawo wymaga przetwarzania danych).

    Konkretna, świadoma, dobrowolna, jednoznaczna…

    Nadal, mimo upływu ponad dwóch lat od wejścia w życie RODO i mimo tego, że wymogi dotyczące zgody nie były tak naprawdę nowością (bo obowiązywały również i przed majem 2018 r.), najczęściej spotykane wady we wdrożeniu prawidłowej zgody polegają na tym, że:

    1. Zgoda jest ogólna – nie wiadomo, w jakim celu zgoda jest wyrażana (nie ma o tym wzmianki w klauzuli, cel nie jest konkretnie oznaczony), treść jest blankietowa (ktoś ogólnie ma zgodzić się „na przetwarzanie danych zgodnie z RODO”), zgoda nie wskazuje, komu ta zgoda jest pozostawiana (brak podania administratora danych znanego z nazwy i adresu siedziby).
    2. Nie zapewnia się świadomości wyrażenia zgody – przed uzyskaniem zgody należy zapewnić niezbędne informacje osobom, których dane dotyczą, aby umożliwić im podejmowanie świadomych decyzji i przedstawić im klauzulę tak, aby zrozumiały, na co wyrażają zgodę. Niestety nadal jest to problemem.
    3. Zgoda nie jest dobrowolna, jest „wymuszona” – osoba, która wyraża zgodę nie ma tak naprawdę realnego, swobodnego wyboru. W innych przypadkach zastanawia się, czy jeżeli nie wyrazi zgody to nie spowoduje to negatywnych konsekwencji dla tej osoby. Musisz sprawdzać, czy zgody nie są zbierane w sposób „wymuszony”, np. gdzie od ich wyrażenia w jakimś dodatkowym celu uzależnia się realizację celu podstawowego (np. wymuszona zgoda na przesyłanie informacji handlowych podczas zakładania konta). Wadą obarczone są też te zgody, które zbierane są poprzez domyślne zaznaczenie okienek (checkboxów).
    4. Zgoda nie jest wyraźna – ważna zgoda wymaga jednoznacznego okazania w formie oświadczenia lub wyraźnego działania potwierdzającego, co oznacza, że osoba, której dane dotyczą, musi podjąć celowe działanie dla wyrażenia zgody na określone przetwarzanie. Jeżeli zakładasz, że zrobienie zakupów w Twoim sklepie daje Ci uprawnienie do wysyłania informacji na maile klientów o nowych produktach, to jesteś w błędzie.

    Udowodnij!

    W razie kontroli to Twoja firma będzie musiała wykazać, że posiada zgodę. Chodzi o to, żebyś miał odpowiedzi na pytania: kiedy, jaka zgoda (o jakiej treści) i przez kogo została wyrażona (zgodnie z zasadą rozliczalności).

    Jeżeli zbierasz zgody w formie papierowej to zastanów się nad ich archiwizacją, unikaj pomyłek we wprowadzeniu danych do systemu, przemyśl, czy potrzebujesz w systemie skanów papierowej wersji i zaprojektuj, co zrobisz, kiedy zgoda zostanie odwołana.

    Jeżeli zbierasz zgody w formie elektronicznej, to zastanów się, jakie „tagi” będą Ci potrzebne: data, treść/typ zgody, adres IP, source (np. nazwa strony www, na której została wyrażona zgoda)?

    Sprawdź, czy miejsce docelowe przechowywania danych (i zgód) pozwala nie tylko na zabezpieczenie danych, ale też na realizację praw osób, których dane dotyczą. Chodzi m. in. o prawo do otrzymania kopii danych, prawo do uzyskania informacji o okolicznościach przetwarzania danych (z jakiego źródła pochodzą, od kiedy są przetwarzane, czy były komuś udostępniane), czy też prawo do odwołania zgody.

     

    Czy Twój system wspiera realizację tych praw? Czy jesteś w stanie zarządzać procesem odwołania zgody? Wspominam o systemie, ponieważ w pliku Excel zrealizować powyższe wymagania jest niezwykłą sztuką. Być może Twój CRM potrzebuje zmian, bo okazuje się, że przy wpisie z danymi danego klienta zamiast odpowiedników do odnotowania trzech zbieranych zgód, jest tylko jeden checkbox: „Zgoda RODO”, w związku z czym cała praca, którą wykonałeś na landing page, gdzie zamieściłeś trzy różne zgody, jest bezcelowa, bo system i tak nie umożliwi Ci przeniesienia 1:1 właściwego stanu rzeczy. Możesz skorzystać z gotowego rozwiązania – dedykowanego systemu służącego budowaniu baz zgodnie z RODO, gdzie nie tylko masz pełną możliwość zarządzania zgodami, ale też pewność, że w razie wniesienia żądania od klienta będzie ono prawidłowo zrealizowane, mając wsparcie techniczne systemu. Bezpiecznym rozwiązaniem, o którym wiemy, jest easyRODO – system, który powstał pod naszym merytorycznym nadzorem, a którego funkcjonalności znajdziesz tutaj.

     

    Zarządzanie zgodami wcale nie musi być takie skomplikowane, jeżeli wiesz, na co uważać 🙂

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Magdalena Jacolik

    Raportować incydenty – czyli łatwo powiedzieć a coraz trudniej zapanować – analiza projektu ustawy o systemach sztucznej inteligencji i nowego podejścia PUODO

    Projekt ustawy o systemach sztucznej inteligencji zakłada wprowadzenie kompleksowych regulacji dotyczących bezpieczeństwa AI. Jednym z kluczowych elementów ma być nowy system zgłaszania poważnych incydentów. Ze względu na przewidziane wysokie kary za naruszenia, warto już teraz przeanalizować proponowane wymogi i rozpocząć przygotowania do ich wdrożenia. Ograniczony zakres podmiotowy Projektowane przepisy nie obejmą wszystkich podmiotów wykorzystujących AI. […]

    Czytaj więcej
    Karolina Żebrowska

    Brak zgłoszenia naruszenia oraz niepowiadomienie osób o incydencie – przegląd kar Prezesa Urzędu Ochrony Danych Osobowych

    Obowiązek zgłoszenia naruszenia do organu nadzorczego wynika wprost z art. 33 RODO. Zgodnie z przywołanym przepisem, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, […]

    Czytaj więcej
    Kinga Bieniek-Zawadzka

    Czy zawsze należy zawierać umowę powierzenia przetwarzania danych osobowych ze współpracownikiem?

    Odpowiedź na pytanie, czy należy zawierać umowę powierzenia przetwarzania danych osobowych ze współpracownikiem nie jest jednoznaczna. W praktyce okazuje się, że wielu administratorów zastanawia się nad prawidłową podstawą uregulowania kwestii ochrony danych osobowych z osobami współpracującymi na podstawie umów cywilnoprawnych, w szczególności współpracowników prowadzących jednoosobowe działalności gospodarcze. Dla administratora istotne jest określnie kilku czynników, które […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki