Zgody, których nie wymaga RODO
Na czym polega ta praktyka?
Kreatywność polskich firm i organizacji w zawracaniu ludziom głowy „zgodą z RODO” przerosła nasze najgorsze obawy. Ze względu na tę kreatywność tym razem nie mamy dla Was jednolitego negatywnego wzorca, ale różne przykłady niezrozumienia RODO w kwestii tego, kiedy zgoda rzeczywiście jest potrzebna. Z perspektywy osoby mającej się na coś zgodzić te sytuacje łączy niejasne poczucie: „Przecież nie mogę odmówić, jeśli ta relacja/usługa ma mieć jakikolwiek sens!”. To zwykle niezawodny sygnał, że ktoś niepotrzebnie męczy nas „zgodą z RODO”.
Niepotrzebne zgody najczęściej dotyczą danych, które firma/organizacja może przetwarzać dlatego, że są jej niezbędne do zrealizowania umowy z klientem/beneficjentem, albo w oparciu o własny, uzasadniony interes. Pojawiają się też wtedy, kiedy firma/organizacja nie wie, że może spokojnie powierzyć dane osobowe innemu podmiotowi (na podstawie umowy powierzenia, a nie zgody), albo nie rozumie, że przetwarzania pewnych danych wręcz wymaga od niej przepis prawa.
Kilka typowych sytuacji, w których ktoś się pogubił:
-
sklep żąda zgody na przekazanie danych kontaktowych klienta, który zrobił w nim zakupy, kurierowi (jak inaczej kurier ma dostarczyć paczkę?);
-
agencja nieruchomości prosi o zgodę, żeby przekazać dane osobowe kupującego mieszkanie notariuszowi (jak inaczej ten miałby sporządzić akt notarialny?);
-
firma usługowa (np. fryzjer) odmawia wystawienia faktury „bo nie ma zgody z RODO” (nie można wystawić faktury in blanco, a jej wystawienie na życzenie klienta to przecież obowiązek firmy);
-
szkoła z jednej strony tłumaczy, że „musi” korzystać z konkretnego rozwiązania (np. dziennika elektronicznego), z drugiej – wymaga od rodziców zgody na przetwarzanie danych ich dzieci przez firmę, która takie rozwiązanie dostarcza (zamiast zawrzeć umowę powierzenia);
-
organizator obozu/półkolonii zbiera zgody rodziców na przetwarzanie danych ich i ich dzieci, mimo że jest to niezbędne do zorganizowania wypoczynku (a więc zrealizowania umowy) albo „zapewnienia bezpieczeństwa i ochrony zdrowia uczestnika”;
-
publiczne przedszkole zbiera zgody rodziców na przetwarzanie danych ich i ich dzieci, informując, że przetwarza je w celu realizowania swoich zadań ustawowych i statutowych, a cofnięcie zgody oznacza brak możliwości uczęszczania dziecka do przedszkola (!).
Reserved: zgoda nie jest potrzebna do obsługi konta i zamówień
Półkolonie: zgoda nie jest potrzebna do zapisu dziecka na zajęcia sportowo-rekreacyjne
Jak to się ma do RODO?
Pytanie o zgodę na przetwarzanie danych ma sens tylko wtedy, kiedy administrator jest w stanie uszanować każdą odpowiedź. „Tak, możesz przetwarzać moje dane w tym celu” – świetnie, chętnie z tego skorzystam. „Nie, nie zgadzam się!” – nie ma problemu, w takim razie nie będziemy tego robić. Ze zgodą na gruncie RODO powinniśmy mieć do czynienia dość rzadko: przeważnie wtedy, kiedy administrator próbuje sięgnąć po dane, których tak naprawdę nie potrzebuje (ale z których chętnie skorzysta, jeśli mu na to pozwolimy).
Typowe sytuacje, w których zgoda na przetwarzanie danych ma sens:
-
aplikacja/serwis internetowy chce zbierać informacje o lokalizacji swoich użytkowników i wykorzystywać je w celach marketingowych;
-
sklep spożywczy chce wiedzieć, gdzie mieszkają jego klienci (więc pyta o kod pocztowy);
-
sklep internetowy albo linia lotnicza zbiera dodatkowe informacje kontaktowe (np. numer telefonu), bez których mogłaby się obejść;
-
bank chce wykorzystywać dane zebrane w jednym celu (np. na potrzeby scoringu kredytowego) w innym celu (np. marketingowym);
-
organizacja społeczna chce przekazywać danych osobowe swoich beneficjentów partnerom z innych krajów (po to, żeby mogli je przetwarzać na własny użytek).
Co możesz zrobić?
-
Pytanie o zgodę na przetwarzanie danych (bez względu na to, czy jest zadane w trybie proszącym, czy grożącym) zawsze możesz po prostu zignorować. I już.
-
Jeśli takie pytanie zostało zaszyte w regulaminie albo tzw. polityce prywatności i tak naprawdę brzmi jak stwierdzenie („niniejszym zgadzam się na…”), możesz je wykreślić. Tak czy inaczej taka „zgoda” na przetwarzanie danych nie ma mocy prawnej (por. zgoda wymuszona).
-
Jeśli zbieranie niepotrzebnych zgód na przetwarzanie danych osobowych (albo ubieranie w język zgody czegoś, na co w rzeczywistości nie mamy wpływu i co musimy zaakceptować) Cię wkurza, daj znać administratorowi, że uważasz to za irytującą, złą praktykę. Wiele firm nadal szuka dobrego sposobu na wdrożenie RODO – jest szansa, że pod wpływem Twojej krytyki zmienią swoje zwyczaje.
-
Jeśli uważasz, że administrator wprowadza Cię w błąd i nie informuje o rzeczywistych podstawach przetwarzania Twoich danych (podpiera się zgodą w sytuacji, w której tak naprawdę występuje inna podstawa prawna), możesz też złożyć skargę do Prezesa UODO.
Zobacz inne praktyki: RODO na tacy. Sezon II: Subiektywny przegląd (złych i dobrych) praktyk.
Zobacz, kiedy zgoda jest potrzebna i jakie warunki musi spełnić: RODO na tacy. Odcinek II: Fair play – czyli o szacunku dla naszych wyborów