Dane osobowe, zgody i umowy powierzenia

kobieta pracująca z dokumentami
W poprzednim artykule przybliżyłam temat ochrony danych w ośrodkach szkolenia kierowców. Celem tego tekstu jest z kolei zwrócenie uwagi na to, że ochrona danych osobowych nie polega tylko na rejestracji w GIODO, ale również konieczność uzyskania zgody na pewne działania marketingowe oraz konieczność zawierania tzw. umowy powierzenia.

Obecnie nikt prowadzący działalność gospodarczą nie może obejść się bez podejmowania działań marketingowych. Wysyłka newsletterów, SMS-ów, e-maili czy też telefony wykonywane, żeby przedstawić oferowane usługi albo produkty to codzienność każdego przedsiębiorcy. Jednakże tego typu działania muszą być zgodne z określonymi zasadami. Art. 172 ust. 1 prawa telekomunikacyjnego stanowi, że zakazane jest używanie telekomunikacyjnych urządzeń końcowych, np. telefonów i automatycznych systemów wywołujących dla celów marketingu bezpośredniego. Tego typu działanie dozwolone jest tylko za zgodą abonenta lub użytkownika końcowego.

Jednym ze skuteczniejszych sposobów na uniknięcie uznania powyższych działań za niepożądane jest kupno gotowej bazy danych ze zgodami lub stworzenie własnej. Jednak to ostatnie działanie, wykonywane w celach telemarketingowych, wymaga uzyskania zgód osób, których te dane dotyczą.

Jak uzyskać zgodę?

Zgoda musi zawierać trzy elementy: dane, czego dotyczy, cel ich wykorzystania oraz nazwę podmiotu, który będzie dane wykorzystywał. Ponadto zgoda musi być dobrowolna i nie może być domniemana lub dorozumiana z innego oświadczenia. Innymi słowy, nie może być przemycona jako część umowy czy regulaminu. Natomiast w przypadku zbierania zgody za pomocą checkboksów (przycisków wyboru – przyp. red.) osoba wyrażająca zgodę musi mieć możliwość samodzielnego ich zaznaczenia. Zgodę będziemy musieli uzyskać od abonenta lub użytkownika końcowego. Bez względu na to, czy to konsument, czy też przedsiębiorca. Zgoda taka może zostać cofnięta w każdym czasie.

Za naruszenie zakazu kontaktu bez uprzednio wyrażonej zgody przewidziana jest kara finansowa. Nakłada ją prezes Urzędu Komunikacji Elektronicznej w wymiarze 3 proc. przychodu osiągniętego w poprzednim roku kalendarzowym przez podmiot, który dokonał naruszenia.

Innym obowiązkiem ciążącym na administratorze danych osobowych (ADO) jest dbanie o dane osobowe, czego przejawem jest troska o to, komu są one powierzane.

Co to są umowy powierzenia i jakie powinny zawierać elementy?

Zgodnie z ustawą o ochronie danych osobowych, umowa powierzenia reguluje, na jakich zasadach ADO przekazuje dane osobowe w celu ich przetwarzania przez inny podmiot, zwany procesorem.

Umowa powierzenia musi mieć formę pisemną. Nie ma natomiast obowiązku, żeby była zawarta w odrębnym dokumencie. Może więc stanowić część umowy głównej, np. w formie oddzielnego paragrafu, rozdziału lub załącznika.

Do obligatoryjnych elementów umowy należy wskazanie zakresu powierzanych danych osobowych oraz celu ich powierzenia. Opisując zakres musimy mieć na uwadze, jakie dane powierzamy. W tym przypadku najkorzystniej jest wskazać enumeratywnie te dane, np. imię, nazwisko, adres e-mailowy.

Może jednak zdarzyć się tak, że nie będziemy potrafili wskazać, jakie dokładnie dane będą powierzane. Przykładowo, ośrodek szkolenia zawiera umowę z firmą archiwizującą i niszczącą dokumenty. W takiej sytuacji warto w umowie powierzenia zawartej z tą firmą wskazać, co jest przedmiotem umowy głównej, np. „w zakresie niezbędnym do realizacji umowy o współpracy, której przedmiotem jest świadczenie usług archiwizowania i niszczenia dokumentów”. Drugim obligatoryjnym elementem umowy powierzenia jest wskazanie jej celu, który może być jeden, ale może również być ich kilka, jak w powyższym przykładzie.

Czy ośrodki szkolenia kierowców muszą zawierać umowy powierzenia?

Tak, bowiem jednym z wymogów ustawy jest obowiązek zawierania umów powierzenia przetwarzania danych osobowych. Wymóg ten dotyczy sytuacji, w której ADO będzie chciał powierzyć innemu podmiotowi przetwarzanie danych. Przykładowo szkoła nauki jazdy, podejmując współpracę z zewnętrzną firmą informatyczną, która będzie prowadziła usługę hostingu strony internetowej oraz usługi serwisowe, będzie miała obowiązek zawrzeć z nią taką umowę. W przypadku braku umowy powierzenia ADO może narazić się na zarzut przekazania danych osobie nieuprawnionej i ponieść odpowiedzialność karną z art. 51 oraz 52 ustawy.

Reasumując, ochrona danych osobowych to złożony proces, składający się z wielu czynności prawnych, które muszą być spełnione przez przedsiębiorców. Zawieranie umów powierzenia jest jednym z takich obowiązków.

Anna Czyżewska, prawnik z firmy PIN Consulting sp. z o.o.

Wasze komentarze (0)

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

  • Brak produktów w koszyku.