Poradnik 03.07.2018 8 min. czytania Tekst Na czym polega ta praktyka? Kreatywność polskich firm i organizacji w zawracaniu ludziom głowy „zgodą z RODO” przerosła nasze najgorsze obawy. Ze względu na tę kreatywność tym razem nie mamy dla Was jednolitego negatywnego wzorca, ale różne przykłady niezrozumienia RODO w kwestii tego, kiedy zgoda rzeczywiście jest potrzebna. Z perspektywy osoby mającej się na coś zgodzić te sytuacje łączy niejasne poczucie: „Przecież nie mogę odmówić, jeśli ta relacja/usługa ma mieć jakikolwiek sens!”. To zwykle niezawodny sygnał, że ktoś niepotrzebnie męczy nas „zgodą z RODO”. Niepotrzebne zgody najczęściej dotyczą danych, które firma/organizacja może przetwarzać dlatego, że są jej niezbędne do zrealizowania umowy z klientem/beneficjentem, albo w oparciu o własny, uzasadniony interes. Pojawiają się też wtedy, kiedy firma/organizacja nie wie, że może spokojnie powierzyć dane osobowe innemu podmiotowi (na podstawie umowy powierzenia, a nie zgody), albo nie rozumie, że przetwarzania pewnych danych wręcz wymaga od niej przepis prawa. Kilka typowych sytuacji, w których ktoś się pogubił: sklep żąda zgody na przekazanie danych kontaktowych klienta, który zrobił w nim zakupy, kurierowi (jak inaczej kurier ma dostarczyć paczkę?); agencja nieruchomości prosi o zgodę, żeby przekazać dane osobowe kupującego mieszkanie notariuszowi (jak inaczej ten miałby sporządzić akt notarialny?); firma usługowa (np. fryzjer) odmawia wystawienia faktury „bo nie ma zgody z RODO” (nie można wystawić faktury in blanco, a jej wystawienie na życzenie klienta to przecież obowiązek firmy); szkoła z jednej strony tłumaczy, że „musi” korzystać z konkretnego rozwiązania (np. dziennika elektronicznego), z drugiej – wymaga od rodziców zgody na przetwarzanie danych ich dzieci przez firmę, która takie rozwiązanie dostarcza (zamiast zawrzeć umowę powierzenia); organizator obozu/półkolonii zbiera zgody rodziców na przetwarzanie danych ich i ich dzieci, mimo że jest to niezbędne do zorganizowania wypoczynku (a więc zrealizowania umowy) albo „zapewnienia bezpieczeństwa i ochrony zdrowia uczestnika”; publiczne przedszkole zbiera zgody rodziców na przetwarzanie danych ich i ich dzieci, informując, że przetwarza je w celu realizowania swoich zadań ustawowych i statutowych, a cofnięcie zgody oznacza brak możliwości uczęszczania dziecka do przedszkola (!). Reserved: zgoda nie jest potrzebna do obsługi konta i zamówień Półkolonie: zgoda nie jest potrzebna do zapisu dziecka na zajęcia sportowo-rekreacyjne Jak to się ma do RODO? Pytanie o zgodę na przetwarzanie danych ma sens tylko wtedy, kiedy administrator jest w stanie uszanować każdą odpowiedź. „Tak, możesz przetwarzać moje dane w tym celu” – świetnie, chętnie z tego skorzystam. „Nie, nie zgadzam się!” – nie ma problemu, w takim razie nie będziemy tego robić. Ze zgodą na gruncie RODO powinniśmy mieć do czynienia dość rzadko: przeważnie wtedy, kiedy administrator próbuje sięgnąć po dane, których tak naprawdę nie potrzebuje (ale z których chętnie skorzysta, jeśli mu na to pozwolimy). Typowe sytuacje, w których zgoda na przetwarzanie danych ma sens: aplikacja/serwis internetowy chce zbierać informacje o lokalizacji swoich użytkowników i wykorzystywać je w celach marketingowych; sklep spożywczy chce wiedzieć, gdzie mieszkają jego klienci (więc pyta o kod pocztowy); sklep internetowy albo linia lotnicza zbiera dodatkowe informacje kontaktowe (np. numer telefonu), bez których mogłaby się obejść; bank chce wykorzystywać dane zebrane w jednym celu (np. na potrzeby scoringu kredytowego) w innym celu (np. marketingowym); organizacja społeczna chce przekazywać danych osobowe swoich beneficjentów partnerom z innych krajów (po to, żeby mogli je przetwarzać na własny użytek). Co możesz zrobić? Pytanie o zgodę na przetwarzanie danych (bez względu na to, czy jest zadane w trybie proszącym, czy grożącym) zawsze możesz po prostu zignorować. I już. Jeśli takie pytanie zostało zaszyte w regulaminie albo tzw. polityce prywatności i tak naprawdę brzmi jak stwierdzenie („niniejszym zgadzam się na…”), możesz je wykreślić. Tak czy inaczej taka „zgoda” na przetwarzanie danych nie ma mocy prawnej (por. zgoda wymuszona). Jeśli zbieranie niepotrzebnych zgód na przetwarzanie danych osobowych (albo ubieranie w język zgody czegoś, na co w rzeczywistości nie mamy wpływu i co musimy zaakceptować) Cię wkurza, daj znać administratorowi, że uważasz to za irytującą, złą praktykę. Wiele firm nadal szuka dobrego sposobu na wdrożenie RODO – jest szansa, że pod wpływem Twojej krytyki zmienią swoje zwyczaje. Jeśli uważasz, że administrator wprowadza Cię w błąd i nie informuje o rzeczywistych podstawach przetwarzania Twoich danych (podpiera się zgodą w sytuacji, w której tak naprawdę występuje inna podstawa prawna), możesz też złożyć skargę do Prezesa UODO. Zobacz inne praktyki: RODO na tacy. Sezon II: Subiektywny przegląd (złych i dobrych) praktyk. Zobacz, kiedy zgoda jest potrzebna i jakie warunki musi spełnić: RODO na tacy. Odcinek II: Fair play – czyli o szacunku dla naszych wyborów Wspieraj naszą walkę o lepsze prawo ochrony danych! Wpłać darowiznę na konto Fundacji Panoptykon. Fundacja Panoptykon Autor Temat reforma ochrony danych Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Podcast Rok po RODO. Rozmowa z Wojciechem Wiewiórowskim Co z ochroną danych mają wspólnego elektrownie? O czym rozmawiają samochody za naszymi plecami? Czy głodni sędziowie wydają surowsze wyroki? I czego powinni obawiać się fani zespołu Dezerter? Z okazji nadchodzącej rocznicy RODO do rozmowy o największych wyzwaniach, jakie stoją przed… 16.05.2019 Dźwięk Poradnik RODO na tacy. Odcinek IV: O prawie do bycia zapomnianym (sic!) i zabrania danych ze sobą Internet nie zapomina. Nikt, kto w nim żyje, nie ma co do tego złudzeń. Łatwo sobie wyobrazić, co by było, gdybyśmy poprosili sieć o zapomnienie kompromitującej informacji na nasz temat. Nic dobrego, wystarczy wspomnieć sprawę Barbry Streisand czy Hiszpana Maria Costei Gonzáleza. A więc o co tak… 11.04.2018 Tekst Artykuł Baza PESEL w rękach Poczty. To dopiero początek problemów z wyborami kopertowymi Ustawa o wyborach korespondencyjnych jeszcze nie została przyjęta, ale przygotowania do przeprowadzenia ich w tej formie trwają pełną parą. Kilka dni temu Poczta Polska postawiła na baczność samorządy, żądając wydania list wyborców, a kilka dni wcześniej – jak informuje Rzeczpospolita – otrzymała… 28.04.2020 Tekst