RODO: „zgodoza”

O błędach w interpretacji przepisów RODO napisano już bardzo dużo. Wydawać się może, że informacji o takich absurdach jest znacznie więcej niż o samym RODO. Natomiast nagminne nagłaśnianie owych absurdów w mediach wskazywane jest jako przyczyna dużej niechęci do przepisów o ochronie danych osobowych.

Na czym głównie polegają te błędy?

Nagminnym i poważnym problemem jest gromadzenie zgód na przetwarzanie danych – to swoista „zgodoza”, która obejmuje zbieranie zgód we wszystkich, bądź niemal wszystkich, celach. Strach przed karami wzbudził wśród administratorów danych przekonanie, że najważniejszą ze wszystkich przesłanek przetwarzania danych jest uzyskanie zgody.

I tak tytułem przykładu, zakład pogrzebowy zbiera zgody na przetwarzanie danych osobowych w związku z realizacją pogrzebu. Zakład kamieniarski zbiera zgody na przetwarzanie danych osobowych w związku z realizacją umowy o wykonanie konkretnych prac kamieniarskich. Uczelnie wyższe pobierają zgody na przetwarzanie danych osobowych studentów przed rozpoczęciem roku akademickiego. W aplikacjach o pracę żąda się wyrażenia zgody na przetwarzanie danych osobowych kandydata. Hitem natomiast jest uzależnianie wystawienia faktury, dla osoby fizycznej, od wyrażenia zgody na przetwarzanie danych osobowych.
Wszystkie te działania nie wymagają uzyskania zgód na przetwarzanie danych, ponieważ są skutkiem realizacji działań wynikających z innych podstaw prawnych.

Wymienione sytuacje to tylko przykłady i można byłoby podawać kolejne bez końca. Ale skupmy się na konsekwencjach zbierania zgód.

Przede wszystkim wyrażenie zgody jest oświadczeniem woli, a więc zawsze można zgodę wycofać – informacja o możliwości wycofania zgody powinna zostać ujęta w odpowiedniej klauzuli informacyjnej – to skutkuje nietrwałością takiej zgody. Uzyskując zgodę na przetwarzanie danych osobowych do wystawienia faktury i informując o prawie do wycofania tej zgody administrator przekazuje więc informację nieprawdziwą.

Załóżmy hipotetyczną sytuację: klient wyraża zgodę na przetwarzanie danych osobowych w celu wystawienia faktury i chwilę po wystawieniu faktury tę zgodę wycofuje. Co ma zrobić wystawca faktury? Faktura musi być wystawiona i przechowywana przez odpowiedni okres, ale na fakturze znajdują się dane, na przetwarzanie których wystawca zgody nie ma. Dlatego do wystawienia faktury, która jest wymagana innymi przepisami prawa, nie trzeba mieć zgody na przetwarzanie danych osobowych.

W bardzo trudnej sytuacji znalazłaby się uczelnia, która pobrała zgodę na przetwarzanie danych osobowych od kandydata na studenta, gdyby zgoda owa zostałaby odwołana przez przyszłego studenta w momencie, gdy pomyślnie przeszedł proces rekrutacji. Dlatego nabór do placówek kształcenia nie wymaga udzielania zgody na przetwarzanie danych osobowych i jest to przy okazji uregulowane w przepisach oświatowych.

O przetwarzaniu danych osobowych osób zmarłych wspominałem już w poprzednim artykule: ich dane nie podlegają ochronie z tytułu RODO. Dane osób zamawiających usługę, które będą wymienione na zamówieniu usługi, umowie dotyczącej ceremonii i na fakturze nie wymagają uzyskania zgody, jeśli są przetwarzane wyłącznie na potrzeby zamówionej usługi. Podobnie jest z zamówieniami i umowami dotyczącymi prac kamieniarskich – czy będzie to podłoga, blat, łazienka czy nagrobek nie ma potrzeby uzyskania zgody na przetwarzanie danych osobowych do celów realizacji tego zamówienia (umowy) i jej rozliczenia (faktury). Warunek jest oczywiście taki, że dane zostały zebrane tylko w tym celu – w celu realizacji umowy. Chcąc zachować dane klienta w celu informowania go o nowych produktach, promocjach czy telefonowania w celach innych niż związane z umową, należy zgodę uzyskać.

Nie ma również potrzeby uzyskiwania zgody na przetwarzanie danych osobowych kandydatów na pracowników. Jednak dotyczy to tylko sytuacji, gdy firma prowadzi rekrutację pracowników, np. publikując w mediach ogłoszenie o rekrutacji na konkretne stanowisko pracy. Dodatkowym obostrzeniem jest fakt, że po skończonej rekrutacji dokumenty złożone przez kandydatów powinny być zniszczone lub zwrócone kandydatom – dane pracownika przyjętego do pracy są przetwarzane w innych celach, a w przypadku osób nieprzyjętych do pracy zakończenie rekrutacji niweluje cel, w jakim dane zostały pobrane i przetwarzane.

Dopuszczalne jest przechowywanie danych zebranych w procesie rekrutacji przez okres 3 lat w przypadku uzasadnionego podejrzenia żądania roszczenia ze strony kandydata, gdy może dojść do podważenia decyzji o wyborze konkretnej osoby na dane stanowisko – zakres kompetencji wynikający z przedstawionych dokumentów i będący podstawą do wyboru zatrudnionego pracownika będzie dowodem w ewentualnej sprawie sądowej, jaką może wnieść osoba, która uzna, że jej podanie o prace zostało niesłusznie odrzucone.

Tak na marginesie: wiele zgód wyrażanych na dokumentach aplikacyjnych potencjalnych pracowników powołuje się na nieaktualne już przepisy ustawy dotyczącej ochrony danych osobowych z 1997 roku. Dlatego jeśli już chcemy gromadzić takie CV „na wszelki wypadek”, to zadbajmy o to, by zgody były wyrażone w powołaniu na właściwe przepisy.

Gromadzenie i przetwarzanie danych może być wykonywane tylko w jasno określonym celu. Gdy cel ten ustaje, przetwarzanie danych powinno zostać zakończone (dane powinny zostać skasowane). Dane, które zostały powierzone na potrzeby realizacji umowy, muszą być skasowane po zakończeniu realizacji tej umowy. Okres przetwarzania może być przedłużony o czas obowiązywania gwarancji, rękojmi lub dochodzenia roszczeń.

Kiedy jednak podejmujemy decyzję o pobraniu zgody na przetwarzanie danych osobowych warto pamiętać o jeszcze jednym fakcie. Gromadzenie danych mimo cofnięcia zgody jest dopuszczalne, o ile dojdziemy do wniosku, że podstawą przetwarzania danych osobowych jest inna przesłanka legalizująca ich gromadzenie. Jednak z zasady przesłanka ta musi być wskazana już w momencie pobierania danych, bo w przeciwnym przypadku możliwe jest przyjęcie, że dane gromadzone były z naruszeniem art. 13 ust. 2 lit. b RODO, który nakłada obowiązek poinformowania o prawie do usunięcia danych. I w tym momencie dochodzimy do wniosku, że praca wykonana w związku ze zbieraniem zgód – choćby w przytoczonych wyżej przykładach – została wykonana niepotrzebnie, a czas i energia temu poświęcone zmarnowane.

Pamiętajmy więc: w większości przypadków przetwarzanie danych osobowych odbywa się w oparciu o obowiązek wynikający z powszechnie obowiązujących przepisów prawa lub w zakresie niezbędnym do realizacji umów. Oznacza to, że uzyskanie zgody na ich przetwarzanie nie w każdym przypadku jest konieczne.