Porady eksperta

Klauzule wyrażenia zgody na przetwarzanie danych osobowych i otrzymywania informacji handlowych drogą elektroniczną

W w dniu 25 maja 2018 r. weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: RODO). Należy zaznaczyć, że rozporządzenia są aktem prawa obowiązującym w państwach członkowskich Unii Europejskiej bezpośrednio w formie uchwalonej przez organy unijne. Wobec tego w klauzuli wyrażającej zgodę na przetwarzanie danych osobowych należy powołać ww. rozporządzenie. 

W klauzuli należy wskazać na podstawie którego konkretnie artykułu ww. rozporządzenia będzie odbywało się przetwarzanie danych osobowych. Zgodnie z art. 6 ust. 1 pkt a RODO, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest min. jeden warunek iż: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.

Na administratorze danych osobowych ponadto spoczywa obowiązek informacyjny określony w art. 13 RODO. Wskazane w nim elementy muszą znaleźć się w klauzuli wyrażenia zgody na przetwarzanie danych osobowych lub być udostępnione osobie wyrażającej zgodę w oddzielnym dokumencie najpóźniej w momencie wyrażania przez nią zgody. Zgodnie z art. 13 RODO, jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

  • swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  • gdy ma to zastosowanie - dane kontaktowe inspektora ochrony danych;
  • cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) - prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  • gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.

Poza informacjami, o których mowa powyżej, podczas pozyskiwania danych osobowych administrator powinien podająć osobie, której dane dotyczą, poniższe informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) - informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Jeżeli administrator planuje dalej, czyli poza daną jedną usługą przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem musi informować osobę, której dane dotyczą, o tym innym celu oraz udzielić jej wszelkich innych stosownych informacji, o których mowa powyżej.

1. Ust. 1, 2 i 3 nie mają zastosowania, gdy - i w zakresie, w jakim - osoba, której dane dotyczą, dysponuje już tymi informacjami.

W zakresie ustawy z dnia 18 lipca 2002 o świadczeniu usług drogą elektroniczną (dalej: u.ś.u.d.e.), należy wskazać, że regularnie należy sprawdzać numer Dziennika Ustaw podawany w nawiasie, gdyż jest on zmieniany każdorazowo ze zmianą ustawy. Należy zaznaczyć, że zmiana tego numeru może być skutkiem zmiany podstaw prawnych wyrażenia zgody na otrzymywanie informacji handlowych, co również należy na bieżąco monitorować. Obecny Dz. U. ww. ustawy to Dz.U.2019.123 t.j.
Od 4 maja 2019 r. art. 4 ww. ustawy stanowi, że jeżeli ustawa wymaga uzyskania zgody usługobiorcy, stosuje się przepisy o ochronie danych osobowych. Stąd, koniecznym jest sformułowanie zgody oraz wypełnienie obowiązku informacyjnego w stosunku do usługobiorcy w ten sam sposób jak wskazany w przepisach RODO.
Niezależnie od powyższego, ustawa zawiera własne obowiązki informacyjne.

Zgodnie z art. 5 u.ś.u.d.e, Usługodawca podaje, w sposób wyraźny, jednoznaczny i bezpośrednio dostępny poprzez system teleinformatyczny, którym posługuje się usługobiorca, informacje podstawowe określone w ust. 2-5.

2. Usługodawca podaje:

  1. adresy elektroniczne;
  2. imię, nazwisko, miejsce zamieszkania i adres albo nazwę lub firmę oraz siedzibę i adres.

3. Jeżeli usługodawcą jest przedsiębiorca, podaje on również informacje dotyczące właściwego zezwolenia i organu zezwalającego, w razie gdy świadczenie usługi wymaga, na podstawie odrębnych przepisów, takiego zezwolenia.

4. Przepis ust. 3 nie narusza obowiązku określonego w art. 20 ust. 3 ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców (Dz. U. poz. 646, 1479, 1629, 1633 i 2212) w zakresie podawania w ofercie danych dotyczących numeru identyfikacji podatkowej (NIP).

5. Jeżeli usługodawcą jest osoba fizyczna, której prawo do wykonywania zawodu jest uzależnione od spełnienia określonych w odrębnych ustawach wymagań, podaje również:

  1. w przypadku ustanowienia pełnomocnika, jego imię, nazwisko, miejsce zamieszkania i adres albo jego nazwę lub firmę oraz siedzibę i adres;
  2. samorząd zawodowy, do którego należy;
  3. tytuł zawodowy, którego używa, oraz państwo, w którym został on przyznany;
  4. numer w rejestrze publicznym, do którego jest wpisany wraz ze wskazaniem nazwy rejestru i organu prowadzącego rejestr;
  5. informację o istnieniu właściwych dla danego zawodu zasad etyki zawodowej oraz o sposobie dostępu do tych zasad.

Nadto, należy pamiętać, że szczególne zasady wyrażania zgody obowiązują osoby niepełnoletnie oraz przetwarzanie informacji dotyczących danych wrażliwych, takich jak: dane ujawniające pochodzenie rasowe, poglądy polityczne czy dane dotyczące zdrowia.

 

Stan prawny na dzień: 14 maja 2019 r.

Pamiętaj:
Wpisz nasz KRS 0000318482 w Deklaracji Podatkowej Twój e-PIT
Dziękujemy!

Czy wiesz, że aż 96% mikro firm zapewnia 75% wszystkich wpływów z podatków i wytwarza 51% zysku gospodarki kraju?

A tylko niewielkiej liczbie udaje się utrzymać na rynku dłużej niż rok bez dostatecznej wiedzy i znajomości przepisów.

A czy wiesz, że...

Ty też możesz coś zrobić, abyśmy mogli dalej działać i skutecznie Cię wspierać?

KRS 0000318482

Przejdź do Twój e-PIT