Zgoda królową podstaw przetwarzania danych?

RODO sprawiło, że tematyka ochrony danych osobowych trafiła „pod strzechy”. O RODO i przetwarzaniu danych osobowych usłyszała większa część społeczeństwa. I choć prawo ochrony danych osobowych istnieje znacznie dłużej niż samo RODO, to trudno pozbyć się wrażenia, że dla większości osób jest czymś zupełnie nowym.

Tymczasem RODO co do generalnych założeń nie wprowadziło żadnej rewolucji. Należałoby je raczej uznać za kolejny krok w ewolucji tych regulacji. Niezwykle ciekawe jest jednak to, że dla sporej liczby osób RODO sprowadza się jedynie do prostej zasady: „Nie możecie przetwarzać moich danych, ponieważ nie wyraziłam/-łem na to zgody”. Czy takie podejście jest słuszne? Czy bez zgody nie możemy przetwarzać danych osobowych?

Kiedy można przetwarzać dane osobowe?

Na temat podstaw przetwarzania danych napisano już niejeden tekst, więc w tym miejscu ograniczymy się do wskazania, że podstaw tych jest aż sześć, a są nimi:

  • zgoda osoby, której dane dotyczą,
  • wykonanie umowy lub podjęcie działań zmierzających do zawarcia umowy na żądanie osoby, której dane dotyczą,
  • realizacja obowiązku prawnego,
  • ochrona żywotnych interesów osoby, której dane dotyczą,
  • realizacja zadania publicznego,
  • realizacja celów wynikających z prawnie uzasadnionego interesu administratora.

Uwaga – kolejność nie ma znaczenia. Wszystkie podstawy są równorzędne. Nie ma lepszej i gorszej.

Jak widać, zgoda na przetwarzanie danych – choć jest wymieniona w RODO na pierwszym miejscu – nie jest jedyną podstawą do przetwarzania danych. Nie jest zatem tak, że brak zgody oznacza, że nie możemy przetwarzać danych.

Do podstaw przetwarzania danych nie można podchodzić bezrefleksyjnie. Przykładem bezrefleksyjnego podejścia jest wymaganie zgody na każde przetwarzanie (np. na realizację zamówienia w e-commerce). Wybór podstawy przetwarzania nie może być przypadkowy i zawsze wymaga dokładnego zdiagnozowania okoliczności, w jakich odbywa się proces przetwarzania. Trzeba zbadać, czy np. nie jest czasem tak, że przepisy nakładają na nas konkretny obowiązek, którego wykonanie wiąże się z przetwarzaniem danych.

Podstawy przetwarzania są alternatywne wobec siebie. W konkretnym procesie dane mogą być przetwarzane tylko na jednej podstawie, która nie może być zmieniana w trakcie procesu.

Zgoda w działalności marketingowej – czy organizacja akcji promocyjnej jej wymaga?

Nasi klienci często zadają pytanie, czy będą potrzebowali zgody uczestników, żeby przetwarzać ich dane na potrzeby przeprowadzenia akcji promocyjnej. Niekiedy wręcz z góry zakładają, że taka zgoda jest konieczna. Z naszej strony zawsze pada ta sama odpowiedź: nie, zgoda – standardowo – nie jest właściwą podstawą przetwarzania danych na potrzeby akcji promocyjnej.

Pamiętajmy, że wyrażenie zgody na przetwarzanie danych wiąże się z nieodłącznym prawem do wycofania jej w każdej chwili. Trzeba zatem zadać sobie pytanie: co się stanie, gdy uczestnik wycofa zgodę?

Gdyby się tak stało, to doszłoby do sytuacji wewnętrznie sprzecznej. Z jednej strony nie będziemy już mieli podstawy do przetwarzania danych (zgoda została wycofana). Z drugiej strony nadal jesteśmy cywilnoprawnie zobowiązani wobec uczestnika, że przeprowadzimy akcję promocyjną, poinformujemy go o wygranej, wydamy nagrodę itd. Prawo ochrony danych osobowych oraz prawo cywilne są formalnie niezależne od siebie. Nie jest tak, że wycofania zgody oznacza automatycznie  rezygnacji z dalszego udziału w akcji promocyjnej.

Która podstawa prawna będzie właściwa dla przetwarzania danych w związku z organizacją akcji promocyjnych?

W tym przypadku widzimy dwie koncepcje, które są warte rozważenia.

Pierwsza z nich, za którą opowiada się część ekspertów (m.in. publikacje pod redakcją dr Edyty Bielak-Jomaa, obecnej Prezes Urzędu Ochrony Danych Osobowych) oraz Minister Cyfryzacji, to oparcie się na tym, że przetwarzanie danych na potrzeby akcji promocyjnej jest prawnie uzasadnionym interesem administratora.

Musimy tutaj dodatkowo wyjaśnić, że zgodnie z RODO powoływać się na swój prawnie uzasadniony interes można generalnie wówczas, gdy w kontekście i okolicznościach zbierania danych osoba, której dane dotyczą, może rozsądnie spodziewać się, że jej dane zostaną wykorzystane w określonym celu. Obrazując to na przykładzie: czy osoba, która zgłasza się do konkursu i wypełnia formularz zgłoszeniowy może rozsądnie spodziewać się, że organizator będzie kontaktował się z nią w celu poinformowania o wygranej? Odpowiedź brzmi: Tak. Taka sytuacja zdecydowanie nie powinna być zaskakująca dla uczestnika konkursu. Można przyjąć, że istnieje prawnie uzasadniony interes w tym, aby przetwarzać dane uczestników.

Druga koncepcja jest równie ciekawa i logiczna. Zakłada, że podstawą przetwarzania danych będzie wykonanie swoistego rodzaju „umowy” zawieranej przez organizatora akcji z uczestnikiem. Celowo umowę ujmujemy w cudzysłów, ponieważ większość akcji promocyjnych w Polsce organizowane jest jako tzw. przyrzeczenie publiczne. To bardzo specyficzna sytuacja w prawie cywilnym, w której zobowiązanie jest jednostronne, a nie dwustronne (jak przy klasycznych umowach).

Powstaje zatem pytanie, czy pojęcie „umowy” użyte w RODO powinno być jednak na potrzeby akcji promocyjnych rozumiane szerzej. Czy nie byłoby wskazane objąć nim również przyrzeczenia publiczne jako swego rodzaju „umowy o udział w konkursie”? Zgodnie z motywem 10 RODO należy zapewnić spójne i jednolite stosowanie przepisów o ochronie danych osobowych w całej Unii Europejskiej. Różne traktowanie akcji promocyjnych wyłącznie dlatego, że mamy jedną bardzo specyficzną konstrukcję w polskim prawie cywilnym sprzeciwiałoby się powyższej zasadzie.

Wierzymy, że ten artykuł uporządkował kilka spraw i tekst „nie macie mojej zgody, więc nie możecie przetwarzać moich danych” nie będzie już taki straszny. Oczywiście nie jest tak, że zgoda w ogóle nie jest wymagana w marketingu (np. na wysyłanie e-maili marketingowych zgoda nadal jest niezbędna). Natomiast standardowo nie jest konieczne uzyskiwanie zgód uczestników na przetwarzanie ich danych w celu przeprowadzenia akcji promocyjnej.