fot. unsplash.com
Zgoda to ostateczność
Przede wszystkim należy jasno powiedzieć – zgoda na przetwarzanie danych osobowych to tylko jedna z form uzyskania prawa do działania na danych osobowych użytkowników czy klientów. Stosowana powinna być wyłącznie w sytuacji, gdy podejmowane działania na danych nie mogą zostać zrealizowane bazując na innych przesłankach prawnych np. przetwarzaniu danych na podstawie umowy, regulaminu lub uzasadnionego interesu administratora.
Zobacz również
Niezwykle częstym błędem spotykanym w ostatnich dniach na wielu polskich stronach internetowych jest zbieranie zgody od użytkowników na przetwarzanie danych w celu realizacji umowy (w tym także regulaminu).
Przykład: jeśli zakładasz konto na portalu z ogłoszeniami o pracę, za pomocą którego będziesz otrzymywał informacje o interesujących Cię ofertach, Twoje dane osobowe (e-mail) przetwarzane są w ramach realizacji usługi, jaką świadczy ten portal. Zgoda nie jest w tej sytuacji potrzebna. Jeśli jednak na podany adres e-mail miałby również zostać wysłany newsletter z informacją np. o nowym wpisie na blogu tego serwisu – osobna zgoda będzie konieczna. To działanie wykracza poza warunki umowy, jaka została zawarta i stanowi nową usługę świadczoną przez portal. Poza wysyłką newslettera dodatkowa zgoda na przetwarzanie danych, w kontekście działań marketingowych, będzie potrzebna w przypadku np. organizacji konkursu, udziału w programie lojalnościowym, czy profilowania ze skutkiem prawnym.
Informacje, jakie musi zawierać zgoda
Nie ma jednego, właściwego wzoru aktualnej zgody na przetwarzanie danych osobowych. Istnieje wiele czynników, które będą decydowały o tym, czy sformułowana przez nas zgoda będzie poprawna. Można jednak wskazać obowiązkowe informacje, które muszą zostać przekazane bez względu na pozostałe okoliczności.
Movember/Wąsopad: jak marki zachęcają do profilaktyki męskich nowotworów [PRZEGLĄD]
O czym należy pamiętać, pisząc treść zgody:
Słuchaj podcastu NowyMarketing
1. Jasno przedstawić cel, w jakim pozyskujemy zgodę – musi być on konkretny i wyrażony w jasny sposób. Ze względu na wprowadzoną przez RODO zasadę ograniczonego celu, jedna zgoda może dotyczyć wyłącznie jednego działania, dla którego chcemy uzyskać podstawę prawną. Nawet jeśli z punktu widzenia Administratora Danych Osobowych cele się ze sobą łączą, jeden wynika z drugiego, każdy z nich musi być osobno zakomunikowany. Nie można w ramach jednego checkboxa np. poprosić o zgodę na udostępnianie danych, informując, że punkt ten składa się z dwóch elementów:
- tworzenie zautomatyzowanego profilu,
- udostępnienie danych.
2. Opisać zakres przetwarzanych danych w tym celu – w zależności od celu, w jakim pozyskujemy zgodę, zakres danych będzie różny. Ważne jest, aby przestrzegać zasady minimalizacji, czyli gromadzić i przetwarzać wyłącznie te dane, które niezbędne są do osiągnięcia danego celu, np. w przypadku newslettera – wyłącznie adres e-mail.
3. Przekazać dane Administratora Danych Osobowych – ważną informacją, z punktu widzenia osoby, która udziela zgody na przetwarzanie swoich danych osobowych, jest to, komu swoje dane przekazuje. Dlatego też w treści zgody należy umieścić nazwę firmy oraz adres jej siedziby.
4. Poinformować o możliwości cofnięcia zgody – ponieważ RODO przyznaje prawo do cofnięcia zgody, każdy, kto ją pozyskuje, musi również stworzyć mechanizm jej cofnięcia i poinformować o tym osoby, od których te zgody pozyskuje. Ważne jest, aby stworzony mechanizm cofnięcia zgody był równie łatwy, co sposób jej wyrażenia, np. poprzez odznaczenie checkboxa.
Przykład: najlepszym przykładem na łatwe wypełnienie obowiązku cofnięcia zgody jest link dezaktywacyjny umieszczany w wiadomości wysyłanej w ramach newslettera. Każda osoba, która nie chce dalej korzystać z usługi, może w łatwy i prosty sposób z niej zrezygnować.
Przykład:
Zgoda na przetwarzanie danych w celach marketingowych – wzór:
„Wyrażam zgodę na przetwarzanie danych osobowych przez (nazwa firmy) z siedzibą (adres firmy) w celu przesyłania treści marketingowych na mój adres e-mail podany powyżej w formularzu kontaktowym.
Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD (adres e-mail) spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.
Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest (nazwa i adres firmy). Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, (imię i nazwisko oraz adres e-mail). Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem, jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.”
Warunki techniczne wyrażenia zgody
RODO określa zasady zgody nie tylko ze względu na jej treść, ale także na formę, jaką musi przybrać. Tylko zachowując poniższe wytyczne, możemy mieć pewność, że zgoda, którą pozyskujemy, będzie zgodna z prawem.
1. Wyrażona w jasny i zrozumiały sposób – RODO nakazuje tak sformułować treść zgody, aby była ona zrozumiała dla każdej osoby, która zostanie poproszona o jej udzielenie. Zabrania się stosowania zawiłych, wielokrotnie złożonych zdań, używania prawniczego żargonu oraz powoływania się na zapisy ustaw czy odsyłania do aktów prawnych.
2. Dobrowolna – odbieranie zgody na działania dodatkowe, niezwiązane ze świadczoną usługą nie może być połączone z warunkiem realizacji umowy. Każdy użytkownik czy klient musi mieć możliwość zdecydowania o tym, w jakim zakresie i w jakim celu jego dane będą przetwarzane.
3. Odrębna, nie włączona w inne treści – zgoda musi być łatwa do zidentyfikowania dla użytkownika. Niezgodne z RODO jest wplatanie jej w treść regulaminu, umów czy komunikacji mailowej, która dotyczy innego zagadnienia.
4. Świadome działanie – ten warunek składa się z dwóch elementów – po pierwsze świadomość, po drugie działanie. Zgoda musi przybrać taką formę, aby każda osoba, która wyraża zgodę, wykonała ruch, który potwierdzi zapoznanie się z treścią zgody oraz wolę jej wyrażenia. Dlatego też przy odbieraniu zgody żaden checkbox nie może być odgórnie zaznaczony, a przycisk, który ma potwierdzić wyrażenie zgody, powinien zawierać konkretne sformułowanie np. „tak, wyrażam zgodę”.
Za świadome działanie zdecydowanie nie można uznać kliknięcia „x” w lewym górnym rogu okna pop-upu, który informuje nas o zgodzie na działania marketingowe. Zamknięcie okna nie daje żadnego przypuszczenia, że użytkownik świadomie wyraził zgodę, co najwyżej świadomie uniknął kontaktu z natrętną reklamą, nieistotnym z jego punktu widzenia komunikatem marketingowym.
Zaniechanie działania również nie jest świadomym działaniem. Poinformowanie użytkowników o tym, że brak działania z ich strony rozumiany będzie jako akceptacja, stoi w sprzeczności z RODO. Z taką sytuacją możemy się spotkać np. gdy zmieniany będzie zakres przetwarzania danych lub gdy dane będą przekazywane poza obszar gospodarczy Unii Europejskiej. Każda zmiana w warunkach zgody wymaga nowej akceptacji jej warunków.
Autor: LexDigital