Zgody, których nie wymaga RODO

Na czym polega ta praktyka?

Kreatywność polskich firm i organizacji w zawracaniu ludziom głowy „zgodą z RODO” przerosła nasze najgorsze obawy. Ze względu na tę kreatywność tym razem nie mamy dla Was jednolitego negatywnego wzorca, ale różne przykłady niezrozumienia RODO w kwestii tego, kiedy zgoda rzeczywiście jest potrzebna. Z perspektywy osoby mającej się na coś zgodzić te sytuacje łączy niejasne poczucie: „Przecież nie mogę odmówić, jeśli ta relacja/usługa ma mieć jakikolwiek sens!”. To zwykle niezawodny sygnał, że ktoś niepotrzebnie męczy nas „zgodą z RODO”.

Niepotrzebne zgody najczęściej dotyczą danych, które firma/organizacja może przetwarzać dlatego, że są jej niezbędne do zrealizowania umowy z klientem/beneficjentem, albo w oparciu o własny, uzasadniony interes. Pojawiają się też wtedy, kiedy firma/organizacja nie wie, że może spokojnie powierzyć dane osobowe innemu podmiotowi (na podstawie umowy powierzenia, a nie zgody), albo nie rozumie, że przetwarzania pewnych danych wręcz wymaga od niej przepis prawa.

Kilka typowych sytuacji, w których ktoś się pogubił:

• sklep żąda zgody na przekazanie danych kontaktowych klienta, który zrobił w nim zakupy, kurierowi (jak inaczej kurier ma dostarczyć paczkę?);

• agencja nieruchomości prosi o zgodę, żeby przekazać dane osobowe kupującego mieszkanie notariuszowi (jak inaczej ten miałby sporządzić akt notarialny?);

• firma usługowa (np. fryzjer) odmawia wystawienia faktury „bo nie ma zgody z RODO” (nie można wystawić faktury in blanco, a jej wystawienie na życzenie klienta to przecież obowiązek firmy);

• szkoła z jednej strony tłumaczy, że „musi” korzystać z konkretnego rozwiązania (np. dziennika elektronicznego), z drugiej – wymaga od rodziców zgody na przetwarzanie danych ich dzieci przez firmę, która takie rozwiązanie dostarcza (zamiast zawrzeć umowę powierzenia);

• organizator obozu/półkolonii zbiera zgody rodziców na przetwarzanie danych ich i ich dzieci, mimo że jest to niezbędne do zorganizowania wypoczynku (a więc zrealizowania umowy) albo „zapewnienia bezpieczeństwa i ochrony zdrowia uczestnika”;

• publiczne przedszkole zbiera zgody rodziców na przetwarzanie danych ich i ich dzieci, informując, że przetwarza je w celu realizowania swoich zadań ustawowych i statutowych, a cofnięcie zgody oznacza brak możliwości uczęszczania dziecka do przedszkola (!).

Jak to się ma do RODO?

Pytanie o zgodę na przetwarzanie danych ma sens tylko wtedy, kiedy administrator jest w stanie uszanować każdą odpowiedź. „Tak, możesz przetwarzać moje dane w tym celu” – świetnie, chętnie z tego skorzystam. „Nie, nie zgadzam się!” – nie ma problemu, w takim razie nie będziemy tego robić. Ze zgodą na gruncie RODO powinniśmy mieć do czynienia dość rzadko: przeważnie wtedy, kiedy administrator próbuje sięgnąć po dane, których tak naprawdę nie potrzebuje (ale z których chętnie skorzysta, jeśli mu na to pozwolimy).

Typowe sytuacje, w których zgoda na przetwarzanie danych ma sens:

• aplikacja/serwis internetowy chce zbierać informacje o lokalizacji swoich użytkowników i wykorzystywać je w celach marketingowych;

• sklep spożywczy chce wiedzieć, gdzie mieszkają jego klienci (więc pyta o kod pocztowy);

• sklep internetowy albo linia lotnicza zbiera dodatkowe informacje kontaktowe (np. numer telefonu), bez których mogłaby się obejść;

• bank chce wykorzystywać dane zebrane w jednym celu (np. na potrzeby scoringu kredytowego) w innym celu (np. marketingowym);

• organizacja społeczna chce przekazywać danych osobowe swoich beneficjentów partnerom z innych krajów (po to, żeby mogli je przetwarzać na własny użytek).

Co możesz zrobić?

• Pytanie o zgodę na przetwarzanie danych (bez względu na to, czy jest zadane w trybie proszącym, czy grożącym) zawsze możesz po prostu zignorować. I już.

• Jeśli takie pytanie zostało zaszyte w regulaminie albo tzw. polityce prywatności i tak naprawdę brzmi jak stwierdzenie („niniejszym zgadzam się na…”), możesz je wykreślić. Tak czy inaczej taka „zgoda” na przetwarzanie danych nie ma mocy prawnej (por. zgoda wymuszona).

• Jeśli zbieranie niepotrzebnych zgód na przetwarzanie danych osobowych (albo ubieranie w język zgody czegoś, na co w rzeczywistości nie mamy wpływu i co musimy zaakceptować) Cię wkurza, daj znać administratorowi, że uważasz to za irytującą, złą praktykę. Wiele firm nadal szuka dobrego sposobu na wdrożenie RODO – jest szansa, że pod wpływem Twojej krytyki zmienią swoje zwyczaje.

• Jeśli uważasz, że administrator wprowadza Cię w błąd i nie informuje o rzeczywistych podstawach przetwarzania Twoich danych (podpiera się zgodą w sytuacji, w której tak naprawdę występuje inna podstawa prawna), możesz też złożyć skargę do Prezesa UODO.

Zobacz inne praktyki: RODO na tacy. Sezon II: Subiektywny przegląd (złych i dobrych) praktyk.

Zobacz, kiedy zgoda jest potrzebna i jakie warunki musi spełnić: RODO na tacy. Odcinek II: Fair play – czyli o szacunku dla naszych wyborów

Wspieraj naszą walkę o lepsze prawo ochrony danych! Wpłać darowiznę na konto Fundacji Panoptykon.