Zgody, których nie wymaga RODO

Artykuł

Na czym polega ta praktyka?

Kreatywność polskich firm i organizacji w zawracaniu ludziom głowy „zgodą z RODO” przerosła nasze najgorsze obawy. Ze względu na tę kreatywność tym razem nie mamy dla Was jednolitego negatywnego wzorca, ale różne przykłady niezrozumienia RODO w kwestii tego, kiedy zgoda rzeczywiście jest potrzebna. Z perspektywy osoby mającej się na coś zgodzić te sytuacje łączy niejasne poczucie: „Przecież nie mogę odmówić, jeśli ta relacja/usługa ma mieć jakikolwiek sens!”. To zwykle niezawodny sygnał, że ktoś niepotrzebnie męczy nas „zgodą z RODO”.

Niepotrzebne zgody najczęściej dotyczą danych, które firma/organizacja może przetwarzać dlatego, że są jej niezbędne do zrealizowania umowy z klientem/beneficjentem, albo w oparciu o własny, uzasadniony interes. Pojawiają się też wtedy, kiedy firma/organizacja nie wie, że może spokojnie powierzyć dane osobowe innemu podmiotowi (na podstawie umowy powierzenia, a nie zgody), albo nie rozumie, że przetwarzania pewnych danych wręcz wymaga od niej przepis prawa.

Kilka typowych sytuacji, w których ktoś się pogubił:

  • sklep żąda zgody na przekazanie danych kontaktowych klienta, który zrobił w nim zakupy, kurierowi (jak inaczej kurier ma dostarczyć paczkę?);

  • agencja nieruchomości prosi o zgodę, żeby przekazać dane osobowe kupującego mieszkanie notariuszowi (jak inaczej ten miałby sporządzić akt notarialny?);

  • firma usługowa (np. fryzjer) odmawia wystawienia faktury „bo nie ma zgody z RODO” (nie można wystawić faktury in blanco, a jej wystawienie na życzenie klienta to przecież obowiązek firmy);

  • szkoła z jednej strony tłumaczy, że „musi” korzystać z konkretnego rozwiązania (np. dziennika elektronicznego), z drugiej – wymaga od rodziców zgody na przetwarzanie danych ich dzieci przez firmę, która takie rozwiązanie dostarcza (zamiast zawrzeć umowę powierzenia);

  • organizator obozu/półkolonii zbiera zgody rodziców na przetwarzanie danych ich i ich dzieci, mimo że jest to niezbędne do zorganizowania wypoczynku (a więc zrealizowania umowy) albo „zapewnienia bezpieczeństwa i ochrony zdrowia uczestnika”;

  • publiczne przedszkole zbiera zgody rodziców na przetwarzanie danych ich i ich dzieci, informując, że przetwarza je w celu realizowania swoich zadań ustawowych i statutowych, a cofnięcie zgody oznacza brak możliwości uczęszczania dziecka do przedszkola (!).

Reserved: zgoda nie jest potrzebna do obsługi konta i zamówień

Półkolonie: zgoda nie jest potrzebna do zapisu dziecka na zajęcia sportowo-rekreacyjne

Jak to się ma do RODO?

Pytanie o zgodę na przetwarzanie danych ma sens tylko wtedy, kiedy administrator jest w stanie uszanować każdą odpowiedź. „Tak, możesz przetwarzać moje dane w tym celu” – świetnie, chętnie z tego skorzystam. „Nie, nie zgadzam się!” – nie ma problemu, w takim razie nie będziemy tego robić. Ze zgodą na gruncie RODO powinniśmy mieć do czynienia dość rzadko: przeważnie wtedy, kiedy administrator próbuje sięgnąć po dane, których tak naprawdę nie potrzebuje (ale z których chętnie skorzysta, jeśli mu na to pozwolimy).

Typowe sytuacje, w których zgoda na przetwarzanie danych ma sens:

  • aplikacja/serwis internetowy chce zbierać informacje o lokalizacji swoich użytkowników i wykorzystywać je w celach marketingowych;

  • sklep spożywczy chce wiedzieć, gdzie mieszkają jego klienci (więc pyta o kod pocztowy);

  • sklep internetowy albo linia lotnicza zbiera dodatkowe informacje kontaktowe (np. numer telefonu), bez których mogłaby się obejść;

  • bank chce wykorzystywać dane zebrane w jednym celu (np. na potrzeby scoringu kredytowego) w innym celu (np. marketingowym);

  • organizacja społeczna chce przekazywać danych osobowe swoich beneficjentów partnerom z innych krajów (po to, żeby mogli je przetwarzać na własny użytek).

Co możesz zrobić?

  • Pytanie o zgodę na przetwarzanie danych (bez względu na to, czy jest zadane w trybie proszącym, czy grożącym) zawsze możesz po prostu zignorować. I już.

  • Jeśli takie pytanie zostało zaszyte w regulaminie albo tzw. polityce prywatności i tak naprawdę brzmi jak stwierdzenie („niniejszym zgadzam się na…”), możesz je wykreślić. Tak czy inaczej taka „zgoda” na przetwarzanie danych nie ma mocy prawnej (por. zgoda wymuszona).

  • Jeśli zbieranie niepotrzebnych zgód na przetwarzanie danych osobowych (albo ubieranie w język zgody czegoś, na co w rzeczywistości nie mamy wpływu i co musimy zaakceptować) Cię wkurza, daj znać administratorowi, że uważasz to za irytującą, złą praktykę. Wiele firm nadal szuka dobrego sposobu na wdrożenie RODO – jest szansa, że pod wpływem Twojej krytyki zmienią swoje zwyczaje.

  • Jeśli uważasz, że administrator wprowadza Cię w błąd i nie informuje o rzeczywistych podstawach przetwarzania Twoich danych (podpiera się zgodą w sytuacji, w której tak naprawdę występuje inna podstawa prawna), możesz też złożyć skargę do Prezesa UODO.

Zobacz inne praktyki: RODO na tacy. Sezon II: Subiektywny przegląd (złych i dobrych) praktyk.

Zobacz, kiedy zgoda jest potrzebna i jakie warunki musi spełnić: RODO na tacy. Odcinek II: Fair play – czyli o szacunku dla naszych wyborów

Wspieraj naszą walkę o lepsze prawo ochrony danych! Wpłać darowiznę na konto Fundacji Panoptykon.

Komentarze

sklep internetowy albo linia lotnicza zbiera dodatkowe informacje kontaktowe (np. numer telefonu), bez których mogłaby się obejść; - kueirezy albo systemy typu packa w ruhu wymagaja minum telefonu do realziacji dostawy ( jeszce adres @ wchodzi w gre przy paczomatach )

Generalnie bardzo fajna akcja, cieszę się, że Panoptykon nie forsuje zgody za wszelką cenę i na wszystko (ukłony dla Was). Jedna uwaga co do półkolonii - wniosek jest prawidłowy (zgody nie trzeba), ale uzasadnienie już nie do końca :) Na przesłankę niezbędności do wykonania umowy można powołać się tylko, jeżeli podmiot danych jest stroną umowy. Stroną umowy z reguły jest rodzic, a nie dziecko. Bardziej właściwy wydaje się w tym wypadku po prostu prawnie uzasadniony interes administratora, bo działa on w interesie dziecka, które może na tym co do zasady wyłącznie skorzystać (zatem test interesu mamy zaliczony).

Bardzo celna uwaga dot. przedszkola. W moim przypadku, w państwowym żłobku podano mi do podpisu DWIE zgody do wypełnienia. Zgoda na przetwarzanie danych dziecka musiała być podpisana przez matkę i przez ojca :) na osobnych drukach.

A jak z bezpłatnym dostępem do Internetu (np. w domu kultury czy bibliotece)? Czy udzielenie zgody jest konieczne? Wydaje się, że instytucja prosząca o dane (imię nazwisko i adres) może się powołać na lit. c art. 6. (np. kiedy komputer posłużyłby do kradzieży albo upowszechniania nielegalnych treści) lub e (komputery mogą służyć do poszukiwania pracy wysyłania cv, przeciwdziałać dyskryminacji informatycznej itp.)?
A tak na marginesie, z punktu widzenie psychologicznego, postrzegania hierarchii informacji umiejscowienie "zgody" w pkt. a jest niefortunne i w dużej mierze powoduje nadmierne jej stosowanie. Pewnie też z lenistwa wiele podmiotów prosi o zgody i RODO ma odfajkowane :).

Powyższe cytaty świadczą o tym, że "Rozporządzenie" jest niezrozumiałe dla przeciętnego obywatela UE, w tym np. "mikroprzedsiębiorcy" budowlanego zatrudniającego kilku pracowników, którzy zobowiązani się do niego stosować. Powyższe przykłady są niewinne i nieszkodliwe w porównaniu z tym co pojawia się w umowach powierzenia dużych firm. Przykład: przykład znajomi, prowadzą małą kilkuosobową spółkę, zajmującą się organizacją konferencji dla różnych dużych firm. Od jednej z firm, która sponsoruje uczestników konferencji otrzymali umowę powierzenia, która wymaga zastosowania zabezpieczeń co najmniej jak dla systemu bankowego, pokrywania kosztów audytu jeśli znajdzie się jakieś naruszenia będzie negatywny (audytor może być dowolny, więc dowolnie drogi), płacenie kary za każde stwierdzone naruszenie prawa - stawka 2000zł/szt., posiadanie IOD i na dodatek uzależnia zapłatę (100%) za wykonaną usługę. A teraz co ten "gigant" temu "maluchowi" przekazuje: 10 imion i nazwisk uczestników konferencji mi. in. w celu przekazania ich do hotelu, w którym trzeba zarezerwować im pobyt. Konsultacja ekspertyza prawna kosztowała znajomych już 800 zł. Najpewniej nie wykonają tej usługi. Zabezpieczenia dobiera się wg wyszacowanego ryzyka. I to kolejny temat, bo dla kogoś kto tego nigdy nie robił nie jest to łatwe do zrobienia i znowu trzeba kogoś wynająć....

@Michał Mostowik: rzeczywiście, celna uwaga, nie pomyśleliśmy o tym. Dziękujemy za zwrócenie uwagi :)

@Błażej: nie wydaje nam się, żeby zgoda była tu potrzebna. Chyba mamy tu do czynienia z pewnego rodzaju usługą, więc naszym zdaniem w grę wchodzi raczej wykonanie umowy - dostarczenie usługi dostępu do internetu / zasobów biblioteki. A co do Twojej uwagi o umiejscowieniu zgody na samej górze art. 6 RODO, to rzeczywiście, coś może być na rzeczy ;-)

@witos: Dziękujemy za Twój głos. Mamy wrażenie, że takie "kwiatki" to efekt braku rzetelnej kampanii informacyjnej skierowanej do przedsiębiorców. Wygląda na to, że "gigant" nie poradził sobie z oceną ryzyka i w efekcie żąda od spółki Twoich znajomych zupełnie nieproporcjonalnych działań. W naszym przewodniku dla przedsiębiorców podpowiadamy, jak oszacować ryzyko bez pomocy prawnika - jesteśmy zdania, że każdy przedsiębiorca jest w stanie zrobić to sam, jeśli jego działalność rzeczywiście nie jest wybitnie skomplikowana. Sami ćwiczyliśmy w praktyce nasz poradnik, wdrażając RODO w Panoptykonie, więc z czystym sumieniem polecamy :-) Tu link: https://panoptykon.org/RODO

Dodaj komentarz