iSecure logo
  • pl
  • en
    • Blog

    Pułapki i błędy w zbieraniu zgody

    Katarzyna Ułasiuk-Delamare
    Kategorie

    Jeżeli ktoś słyszał o ochronie danych osobowych, to na pewno słyszał o zgodzie na ich przetwarzanie. Co gorsza, im więcej mówi się o przestrzeganiu RODO, tym częściej słyszymy to i ówdzie: „nie wyrażałem zgody na ich przetwarzanie, proszę o usunięcie”, czy „jakim prawem przetwarzacie dane, nie udzielałem na to zgody”.

    Chociaż temat zbierania zgód na przetwarzanie danych w teorii wydaje się banalny, to w praktyce nadal obserwujemy wiele błędów i pułapek z tym związanych. Jakich? O tym przeczytacie w poniższym wpisie.

    Nie musisz – nie zbieraj

    Na dobry początek – okazuje się, że często popełnianym błędem jest… zbieranie zgody wtedy, kiedy w ogóle nie jest ona potrzebna. Co to znaczy? Zacznijmy od ćwiczenia Prześledź poniższe przypadki i zastanów się, czy zebrałbyś przy tej okazji zgodę na przetwarzanie danych albo czy widziałeś, że taką się zbiera:

    1. Monitoring wizyjny – na obiekcie znajdują się kamery, które rejestrują obraz w celu ochrony osób lub mienia. Na wejściu widzisz piktogram z informacją, że poruszając się po obszarze monitorowanym wyrażasz zgodę na przetwarzanie wizerunku w celu prowadzenia monitoringu. Brzmi znajomo?
    2. Zakupy internetowe – wypełniasz formularz internetowy swoimi danymi, jako odbiorcy przesyłki. Zostawiasz dane adresowe i kontaktowe. Pod formularzem widzisz okienko, że wyrażasz zgodę na przetwarzanie danych w celu realizacji zamówienia, które składasz. Zgoda jest obowiązkowa. Słusznie czy nie?
    3. Rejestracja konta – zakładasz konto w serwisie internetowym. Widzisz okienko dotyczące akceptacji regulaminu (jeżeli go przeczytasz, to powinieneś się dowiedzieć m.in.: z jakiej usługi korzystasz, kto ją świadczy, jakie są warunki jej świadczenia, jak składać reklamacje). Widzisz również deklarację, że założenie konta oznacza zgodę na przetwarzanie danych w celu prowadzenia tego konta, zgodnie z postanowieniami regulaminu. Co Ty na to?

    Takich przypadków można mnożyć wiele, ale mianownik jest wspólny – NIE zbieraj zgody, jeżeli nie jest ona potrzebna. Pamiętaj, że w zależności od celu masz inne podstawy prawne (np. realizacja umowy/usługi, obowiązek prawny, prawnie uzasadniony interes, którym jest np. zapewnienie bezpieczeństwa). Jeżeli zbierasz zgodę zawsze i w każdym przypadku, to popełniasz jeden z błędów – wywołujesz mylne wrażenie u osoby, od której pozyskujesz zgodę, że faktycznie ma ona skuteczność i faktycznie może być odwołana (chociaż tak nie jest, np. gdy prawo wymaga przetwarzania danych).

    Konkretna, świadoma, dobrowolna, jednoznaczna…

    Nadal, mimo upływu ponad dwóch lat od wejścia w życie RODO i mimo tego, że wymogi dotyczące zgody nie były tak naprawdę nowością (bo obowiązywały również i przed majem 2018 r.), najczęściej spotykane wady we wdrożeniu prawidłowej zgody polegają na tym, że:

    1. Zgoda jest ogólna – nie wiadomo, w jakim celu zgoda jest wyrażana (nie ma o tym wzmianki w klauzuli, cel nie jest konkretnie oznaczony), treść jest blankietowa (ktoś ogólnie ma zgodzić się „na przetwarzanie danych zgodnie z RODO”), zgoda nie wskazuje, komu ta zgoda jest pozostawiana (brak podania administratora danych znanego z nazwy i adresu siedziby).
    2. Nie zapewnia się świadomości wyrażenia zgody – przed uzyskaniem zgody należy zapewnić niezbędne informacje osobom, których dane dotyczą, aby umożliwić im podejmowanie świadomych decyzji i przedstawić im klauzulę tak, aby zrozumiały, na co wyrażają zgodę. Niestety nadal jest to problemem.
    3. Zgoda nie jest dobrowolna, jest „wymuszona” – osoba, która wyraża zgodę nie ma tak naprawdę realnego, swobodnego wyboru. W innych przypadkach zastanawia się, czy jeżeli nie wyrazi zgody to nie spowoduje to negatywnych konsekwencji dla tej osoby. Musisz sprawdzać, czy zgody nie są zbierane w sposób „wymuszony”, np. gdzie od ich wyrażenia w jakimś dodatkowym celu uzależnia się realizację celu podstawowego (np. wymuszona zgoda na przesyłanie informacji handlowych podczas zakładania konta). Wadą obarczone są też te zgody, które zbierane są poprzez domyślne zaznaczenie okienek (checkboxów).
    4. Zgoda nie jest wyraźna – ważna zgoda wymaga jednoznacznego okazania w formie oświadczenia lub wyraźnego działania potwierdzającego, co oznacza, że osoba, której dane dotyczą, musi podjąć celowe działanie dla wyrażenia zgody na określone przetwarzanie. Jeżeli zakładasz, że zrobienie zakupów w Twoim sklepie daje Ci uprawnienie do wysyłania informacji na maile klientów o nowych produktach, to jesteś w błędzie.

    Udowodnij!

    W razie kontroli to Twoja firma będzie musiała wykazać, że posiada zgodę. Chodzi o to, żebyś miał odpowiedzi na pytania: kiedy, jaka zgoda (o jakiej treści) i przez kogo została wyrażona (zgodnie z zasadą rozliczalności).

    Jeżeli zbierasz zgody w formie papierowej to zastanów się nad ich archiwizacją, unikaj pomyłek we wprowadzeniu danych do systemu, przemyśl, czy potrzebujesz w systemie skanów papierowej wersji i zaprojektuj, co zrobisz, kiedy zgoda zostanie odwołana.

    Jeżeli zbierasz zgody w formie elektronicznej, to zastanów się, jakie „tagi” będą Ci potrzebne: data, treść/typ zgody, adres IP, source (np. nazwa strony www, na której została wyrażona zgoda)?

    Sprawdź, czy miejsce docelowe przechowywania danych (i zgód) pozwala nie tylko na zabezpieczenie danych, ale też na realizację praw osób, których dane dotyczą. Chodzi m. in. o prawo do otrzymania kopii danych, prawo do uzyskania informacji o okolicznościach przetwarzania danych (z jakiego źródła pochodzą, od kiedy są przetwarzane, czy były komuś udostępniane), czy też prawo do odwołania zgody.

     

    Czy Twój system wspiera realizację tych praw? Czy jesteś w stanie zarządzać procesem odwołania zgody? Wspominam o systemie, ponieważ w pliku Excel zrealizować powyższe wymagania jest niezwykłą sztuką. Być może Twój CRM potrzebuje zmian, bo okazuje się, że przy wpisie z danymi danego klienta zamiast odpowiedników do odnotowania trzech zbieranych zgód, jest tylko jeden checkbox: „Zgoda RODO”, w związku z czym cała praca, którą wykonałeś na landing page, gdzie zamieściłeś trzy różne zgody, jest bezcelowa, bo system i tak nie umożliwi Ci przeniesienia 1:1 właściwego stanu rzeczy. Możesz skorzystać z gotowego rozwiązania – dedykowanego systemu służącego budowaniu baz zgodnie z RODO, gdzie nie tylko masz pełną możliwość zarządzania zgodami, ale też pewność, że w razie wniesienia żądania od klienta będzie ono prawidłowo zrealizowane, mając wsparcie techniczne systemu. Bezpiecznym rozwiązaniem, o którym wiemy, jest easyRODO – system, który powstał pod naszym merytorycznym nadzorem, a którego funkcjonalności znajdziesz tutaj.

     

    Zarządzanie zgodami wcale nie musi być takie skomplikowane, jeżeli wiesz, na co uważać 🙂

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Księgi akcyjne
    Agnieszka Rapcewicz

    Wyrok WSA w sprawie pierwszej administracyjnej kary pieniężnej nałożonej w Polsce na podstawie RODO

    W ubiegłym tygodniu zostało opublikowane uzasadnienie wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie (WSA) z dnia 11 grudnia 2019 r. (II SA/Wa 1030/19). Orzeczenie to zostało wydane w wyniku rozpatrzenia odwołania spółki Bisnode od decyzji Prezesa Urzędu Ochrony Danych Osobowych (PUODO), nakładającej na wskazany podmiot administracyjną karę pieniężną za naruszenie przepisów RODO, w wysokości stanowiącej równowartość […]

    Czytaj więcej
    Maciej Łukaszewicz

    Pierwsza kara za naruszenie przepisów RODO podtrzymana

    W 2019 roku Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą administracyjną karę pieniężną od momentu wejścia w życie przepisów Rozporządzenia o ochronie danych osobowych (dalej jako „RODO”). Kara została nałożona na spółkę Bisnode (obecnie Dun & Bradstreet) w wysokości 943 tysięcy złotych. PUODO zarzuciło w tamtym czasie, że Bisnode jako broker danych, pozyskiwała dane osobowe […]

    Czytaj więcej
    Przetwarzanie danych służbowych
    Agnieszka Rapcewicz

    Administrator czy podmiot przetwarzający? Jaką rolę pełnisz?

    Określenie roli, jaką dany podmiot pełni w procesie przetwarzania danych osobowych, może stanowić dla przedsiębiorców nie lada wyzwanie. Jest to jednak niezbędne do prawidłowego ustalenia obowiązków, jakie ciążą na danym podmiocie w związku z przetwarzaniem danych osobowych. Administrator ponosi największą odpowiedzialność za powyższe operacje. Określa on – samodzielnie lub wspólnie z innym podmiotem – cele […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki