Warunkiem zgodnego z prawem przetwarzania danych osobowych przez Administratora Danych jest spełnienie jednej z przesłanek legalizujących wskazanych w art. 23 ust. 1 UODO. Wśród pięciu przesłanek wymienionych we wskazanym przepisie znajduje się zgoda osoby, której dane dotyczą i właśnie ta przesłanka będzie przedmiotem niniejszego artykułu.
Często przed Administratorem Danych, który zamierza przetwarzać dane osobowe określonej grupy osób pojawiają się pytania: Jak prawidłowo sformułować klauzulę zgody? Czy wyrażenie zgody jest obowiązkowe? W jakim zakresie i do jakich celów można przetwarzać dane osób, które wyraziły zgodę na ich przetwarzanie?
Zapraszamy do zapoznania się z naszym poradnikiem video dotyczącym zgody na przetwarzanie danych osobowych (materiał poniżej)
Kiedy zgoda jest konieczna?
Zgoda osoby, której dane są przetwarzane jest jedną z przesłanek legalizujących ich przetwarzanie przez Administratora Danych Osobowych, ale nie jedyną. Nie zawsze, jako Administrator Danych, mamy obowiązek taką zgodę uzyskać. Przesłanki mają charakter autonomiczny i niezależny, czyli innymi słowy wystarczy jedna, aby dane były przetwarzane zgodnie z prawem. Jeżeli na przykład przetwarzanie danych opieramy w przepisach prawa, czy wiążemy je z realizacją umowy z klientem – o zgodę prosić nie musimy. Kiedy jednak okaże się, że zgodę musimy uzyskać, bo nie zaistniała żadna inna przesłanka?
Forma wyrażenia zgody – na papierze, czy ustnie?
Jak prawidłowo sformułować klauzulę zgody? Ustawa nie precyzuje jak powinna wyglądać klauzula zgody, w związku z tym jej forma jest dowolna (UWAGA! ta zasada dotyczy zbierania zgody na przetwarzanie danych osobowych zwykłych. W przypadku danych wrażliwych zgoda musi być wyrażona na piśmie!). Zgoda ma charakter swobodnego oświadczenia woli, może być zarówno wyrażona w formie ustnej, jak i pisemnej, czy też za pomocą elektronicznych środków przekazu (np. „checkboxa” w internetowym formularzu). Teoretycznie więc przy zbieraniu zgody na przetwarzanie danych osobowych mamy całkowitą dowolność co do jej formy. W praktyce jednak podczas np. kontroli GIODO mielibyśmy bardzo duży problem przy udowodnieniu zgody zebranej w sposób niesformalizowany (np. podczas rozmowy)
Dlatego też, dla celów dowodowych zdecydowanie zaleca się, żeby po zgodzie zawsze pozostał ślad. Jeśli więc zgoda zbierana jest na piśmie – przechowujmy dokument z podpisem osoby wyrażającej zgodę. Jeśli zgoda jest zbierana ustnie (np. podczas rozmowy z telemarketerem), to musimy dysponować nagraniem w którym taka zgoda została wyrażona. Jeśli zgoda jest zbierana za pośrednictwem elektronicznych środków przekazu (mail/checkbox), również powinniśmy móc wskazać systemowy zapis umożliwiający udowodnienie, że zgoda została wyrażona.
Jedna zgoda = jeden cel
Mimo opisanej w poprzednim akapicie dowolności formy, sama treść klauzuli zgody powinna zawierać pewne elementy, które wpływają na jej ważność, tj. określać cel przetwarzania danych, ich zakres oraz wskazywać podmiot, który do przetwarzania danych będzie na jej podstawie uprawniony.
Tworząc klauzule zgody jako żelazną zasadę trzeba przyjąć: jedna zgoda = jeden cel. Niedopuszczalne jest umieszczanie w treści jednej klauzuli kliku celów przetwarzania, np. „wyrażam zgodę na przetwarzanie moich danych w celu przeprowadzenia konkursu, działań marketingowych oraz udostępniania danych innym odbiorcom” – jest to klauzula niedozwolona. Mówiąc żartobliwie: „zgoda do wszystkiego jest do niczego”. Odrębny cel wymaga odrębnego oświadczenia woli, jest to gwarancja dobrowolności. Należy również pamiętać, że niedozwolone jest wykorzystywanie danych w innym celu niż zawarty w treści klauzuli. Uczestnik konkursu wyraził tylko zgodę „konkursową” – nie kierujemy do niego akcji marketingowej, nie udostępniamy jego danych partnerom.
Zgoda + obowiązek informacyjny
Formułując klauzulę zgody należy pamiętać o obowiązku informacyjnym. Osoba, która wyraża zgodę wyraża ją dla określonego podmiotu, dlatego wskazujemy w klauzuli nazwę administratora danych, adres siedziby oraz informujemy o dobrowolności (obowiązku) podania danych i prawie dostępu do ich treści i poprawiania. Jeżeli zgoda dotyczy udostępnienia danych, np. partnerom Administratora Danych – wskazujemy wówczas te podmioty.
Ograniczenia w formułowaniu klauzuli zgody
Istotne jest, że zawarcie umowy, np. rachunku bankowego, nie może być uzależnione od wyrażenia zgody na przetwarzanie danych w innych celach, np. marketingowych. Jest to działanie niezgodne z prawem! Jedyny przypadek, kiedy możemy „wymóc” wyrażenie zgody na przetwarzanie danych osobowych w celach marketingowych to gdy oferujemy klientowi jakąś usługę bezpłatnie. Legalnym będzie np. wymuszenie zgody na przesyłanie informacji marketingowych przez firmę oferującą darmową skrzynkę pocztową.
Pamiętajmy też o jeszcze jednym niezwykle ważnym ograniczniu! Musimy w pełni respektować odwołanie zgody przez osobę, która ją wyraziła. Takie odwołanie może zostać złożone w dowolnej formie i musimy się do niego natychmiast zastosować.
Zapraszamy do zapoznania się z artykułem opisującym zgodę na przetwarzanie danych osobowych w świetle kodeksu cywilnego.
31 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
W materiale mówi Pan o tym, że wymagane jest uzyskanie od klienta zgody przetwarzanie danych w celu marketingowym. Jak się to ma do art. art. 23 ust. 4 pkt. 1, który wskazuje, że usprawiedliwiony cel administratora danych to marketing bezpośredni własnych produktów lub usług administratora?
Bardzo dobre pytanie.Teoretycznie jeśli Administrator Danych chce przetwarzać dane osobowe w celu marketingowym, może to robić bez pytania o zgodę, opierając się na przesłance tzw. prawnie usprawiedliwionych celów. W praktyce jednak, jeśli Administrator Danych chce do marketingu wykorzystywać środki elektronicznej komunikacji (mail, sms, a od 25.12.2014 również telefon), i tak musi na to uzyskać zgodę użytkownika. Prawnie usprawiedliwiony cel bez zgody pozwalałby zatem wyłącznie na wysyłkę materiałów marketingowych za pośrednictwem metod tradycyjnych (poczta, osobiste wręczanie ulotek). Abstrahując od powyższego, z naszego doświadczenia wynika też, że konsumenci są coraz bardziej wyczuleni na przetwarzanie ich danych w celach marketingowych bez uzyskania uprzednio zgody. Często wysyłka takiego „niezamówionego” mailingu może wywołać więcej straty (wizerunek firmy jako „spamerskiej”, konieczność wypłaty odszkodowań) niż korzyści.
W bibliotece posiadamy druki dot. zapisania się do biblioteki. Czy wystarczy, że spełniając obowiązek informacyjny i formułując klauzulę zgody, jako cel wpiszemy realizacja zadań statutowych określonych w Ustawie o bibliotekach?
Dopuszczalne i poprawne jest wskazanie jako cel przetwarzania danych realizację zadań statutowych określonych w ustawie o bibliotekach. Na pewno formułując np. w klauzuli zgody cel przetwarzania danych warto określić przykładowo jakie zadania statutowe mają zostać wypełnione.
Witam,
chciałbym uzyskać odpowiedz na pewne pytanie dotyczące treści zgody na przetwarzanie danych osobowych, a mianowicie czy w jego treści musi znaleźć się odwołanie do Ustawy o ochronie danych osobowych? Treściach wzorów zgód w program „Kapitał ludzki” nie występuje ono a i ustawa nie mówi, że trzeba się do niej odwołać np.
W związku z przystąpieniem do Projektu …………. wyrażam zgodę na przetwarzanie
moich danych osobowych.
Oświadczam, iż przyjmuję do wiadomości, że:
1)
administratorem tak zebranych danych osobowych jest………………………………..
2) moje dane osobowe będą przetwarzane wyłącznie w celu ………………………
i
3)
moje dane osobowe mogą zostać udostępnione innym podmiotom wyłącznie
w celu ………………………………….
4)
podanie danych jest dobrowolne
5) mam prawo dostępu do treści swoich danych i ich poprawiania.
Czy taka treść zgody jest zgodna z Ustawą czy też muszę ja uzupełnić o powołanie się na ustawę?
Z góry dziękuje za odpowiedź.
W treści klauzuli zgody na przetwarzanie danych osobowych nie jest wymagane umieszczenie odwołania do ustawy o ochronie danych osobowych. Dodatkowo należy pamiętać o obowiązku informacyjnym (art. 24 ustawy o ochronie danych osobowych) wobec osób, od których pozyskiwane są zgody na przetwarzanie danych osobowych, czyli o przekazaniu informacji, które wskazał Pan w pkt 1,2,3,4,5. Ponadto cel określony w pkt 3 nie powinien zostać określony w sposób bardzo ogólny.
Witam,
Mam pytanie o otrzymaną ze szkoły kartę uczestnika półkoloni zimowej. Nie rozumiem zasadności wyrażenia zgody na przetwarzanie danych, bo… w karcie podaję imię i nazwisko, adres zamieszkania, tel. Kontaktowy, pesel, choroby, alergie, leki. Wszystkie te dane są w dokumentacji szkolnej, ale ok teraz zbierane są w innym celu. Na końcu jest klauzula: wyrażam zgodę na przetwarzanie danych …. I podpis rodzica.
W jakim celu udzielam zgody? Bo co jeżeli nie podpiszę tej klauzuli? Moje dziecko nie weźmie udziału w półkoloni? Druga sprawa przecież wypełniamy kartę i jak nie podpisze klauzuli, to co ma zrobić szkoła?
Zbieranie takich danych ma chyba jakąś podstawę prawną, bo opierając się tylko na zgodzie rodzica, to przecież ona nie będzie dobrowolna?
Jak to jest? Że najpierw podaję dane, a później decyduję czy podpisać się pod zgodą? A jeżeli nie podpisze?
W sytuacji o której Pani pisze ma Pani bardzo dużo racji. ZAWSZE jeśli jakiś podmiot (w tym szkoła) prosi kogokolwiek o wyrażenie zgody na przetwarzanie danych osobowych, ma obowiązek poinformować osobę od której dane są zbierane o celu przetwarzania. Jeśli szkoła w formularzu takiego celu nie podała, to sformułowała zgodę w sposób niewłaściwy. Nie dziwię się Pani, że może mieć Pani obawy co do tego, w jakim następnie celu te dane będą przetwarzane.
Natomiast dobrze, że szkoła zatroszczyła się o pozyskanie od rodziców zgody (chociaż oczywiście sama treść klauzuli nie jest do końca właściwa). Jest to bowiem najlepsza przesłanka legalizująca przetwarzanie danych osobowych w opisanym przez Panią przypadku.
Oczywiście może Pani nie wyrazić zgody na przetwarzanie danych zawartych w formularzu (zgoda zawsze jest dobrowolna), natomiast szkoła w takim przypadku ma prawo odmówić możliwości udziału dziecka w półkolonii.
Zbieranie danych np. o alergiach, lekach czy chorobach dziecka jest w tym wypadku uzasadnione i ma na celu zapewnienie jego bezpieczeństwa.
Pozdrawiam serdecznie,
Łukasz Zegarek
Jak należy rozumieć formę pisemną wyrażenia zgody na przetwarzanie danych osobowych? Czy konieczny jest własnoręczny podpis czy może wystarczające będzie jeżeli osoba wyrażająca zgodę na przetwarzanie danych zaznaczy checkbox na stronie internetowej?
Zgodnie z ustawą o ochronie danych osobowych zgoda na przetwarzanie danych osobowych musi być wyrażona na piśmie w dwóch sytuacjach – w przypadku przetwarzania danych wrażliwych (art. 27 ust. 2 pkt 1) oraz w przypadku przekazania danych osobowych do państwa trzeciego (art. 47 ust. 3 pkt 1). W literaturze wskazuje się, że zgoda na przetwarzanie wrażliwych danych osobowych udzielona w formie innej niż pisemna jest nieskuteczna, a przepisy Kodeksu Cywilnego o formie czynności prawnych nie znajdują zastosowania. Zgoda na piśmie oznacza oświadczenie woli w formie własnoręcznego podpisu. Wymagania te spełnia bez wątpienia złożenie odpowiedniego oświadczenia opatrzonego podpisem elektronicznym weryfikowanym za pomocą ważnego certyfikatu (ustawa z 5 września 2016 roku o usługach zaufania oraz identyfikacji elektronicznej).
W przypadku zgody na przetwarzanie danych zwykłych forma może być dowolna i wyrażona np. za pomocą maila, zaznaczenia checkboxa. Jednakże zgodę na przetwarzanie danych zwykłych warto zbierać w taki sposób, aby można było udowodnić, że została w przeszłości wyrażona.
Szanowny Panie Łukaszu,
Czy zgodzi się Pan ze stwierdzeniem, ze podpis palcem na ekranie telefonu może być traktowany jako zachowujący formę pisemną w celu przetwarzania danych wrażliwych?
Stosowny materiał, który znalazłem:
http://blog.lpig.pl/2015/06/prawo-a-technologia-czy-mozna-podpisac-umowe-na-tablecie-zachowujac-przy-tym-wymog-formy-pisemnej-pod-rygorem-niewaznosci/
Serdecznie dziękuję za Pana opinię.
Szanowny Panie Michale,
Podpis palcem na ekranie w świetle dzisiejszych regulacji nie spełnia wymogu zachowania formy pisemnej wyrażenia zgody na przetwarzanie danych wrażliwych.
Zgoda na piśmie oznacza oświadczenie woli w formie własnoręcznego podpisu lub ewentualnie złożenie odpowiedniego oświadczenia opatrzonego podpisem elektronicznym weryfikowanym za pomocą ważnego certyfikatu (ustawa z 5 września 2016 roku o usługach zaufania oraz identyfikacji elektronicznej).
Na dzień dzisiejszy w polskim systemie prawnym nie istnieją regulacje, które zrównywałyby złożenie oświadczenia woli w formie np. podpisu palcem na ekranie telefonu z formą pisemną.
Pozdrawiam serdecznie,
Szanowny Panie Łukaszu
Czy dobrze wnioskuję, że w przypadku wizyty w serwisie samochodowym (pozostawiając tam pojazd) nie muszę wyrażać zgody na przetwarzanie moich danych osobowych, aby firma mogła wprowadzić do swojego systemu informatycznego moje dane osobowe: imię i nazwisko, nr telefonu, adres. Serwis wykorzystuje nr telefonu lub adres do komunkacji o przebiegu i zakończeniu usługi serwisowej? Rozumiem, że taka zgoda nie jest wymagana, bo moje dane są niezbędne do realizacji umowy naprawy stąd moja zgoda nie jest wymagana? Ale już wysłanie do mnie smsa czy wykonanie telefonu, aby zaprosić na kolejny przegląd już tak? Co w sytuacjikiedy serwis nie wystawia żadnego dokumentu, a prosi o moje dane np. kontaktowe. Wygląda to jakby wykonywał nieformalnie zlecenie naprawy czyli pobiera moje dane nie w celu realizacji umowy, bo jej w ogóle nie ma. Dobrze to rozumiem?
serdeczności
Co prawda nie Pan Łukasz ale mam nadzieję, że też dam radę 🙂
Zgoda zasadniczo nie jest wymagana, tak jak Pan napisał.
Z zaproszeniem na kolejny przegląd to jest trochę taka typowa prawnicza odpowiedź „to zależy”. Bo jeśli jest to elementem usługi i ma Pan tego świadomości i możliwość wyboru wariantu bez przypominajki – to jest według nas ok!
Natomiast jeśli wszystko jest niejasne i niedomówione i nagle dostaje Pan zaproszenie smsowe czy telefoniczne na przegląd – to już nie jest w porządku.
Proszę pamiętać o jeszcze jednej ważnej rzeczy. To że nie ma między stronami umowy w formie pisemnej, to nie znaczy, że taka umowa nie została zawarta. Umowę sprzedaży można zawrzeć nawet nic nie mowiąc i nie pisząc! Przykład? Przychodzę do kiosku, pokazuję gazetę palcem. Płacę. I voila… umowa sprzedaży została zawarta.
Mam nadzieję, że udało się pomóc 🙂
miłego poniedziałku!
Panie Łukaszu,
Dziękuję za odpowiedź, domyślam się, że „świat” przepisów kieruje się zasadą: „to zależy” – dlatego właśnie pytam. ten świat keiruje się także zwyczajem, że ten kto pyta jest traktowany jak intruz albo pieniacz, a ja po prostu jestem ciekaw jak kształtuje takie sytuacje prawo.
Nadal mam pewną wątpliwość, więc dopytam jeszcze: jeśli moja zgoda zasadniczo nie jest wymagana do realizacji jednorazowej usługi naprawy samochodu (po to jak twierzi serrwis, aby mnie ponformować w razie czego, że coś jeszcze trzeba naprawić lub o ukończeniu naprawy), to na jakiej podstawie moje dane są przez serwis przechowywane także po zakończu naprawy? Serwis na zleceniu serwisowym ma regułkę „zgody” która podpisuję, a następnie te dane przechowuje w systemie informatycznym. Czy tak może być? Uzykałem od nich najpierw info, że zgoda jest potrzebna do kontaktu ze mną w trakcie naprawy (teraz wiem, że niekoniecznie jeśli wręcz: nie jest potrzebna w ogóle) to, co moje dane robią nadal w ich systemie? Nie informują mnie, że będę otrzymywał jakieś smsy o promocjach czy przypomnienia, że np. powinienem przyjechac i sprawdzić klocki. Jeśli naprawa się zakończyła (nie żadnych dodatkowych wizyt ect) to serwis ma prawo do pozostawienia moich danych w systemie informatycznym po wykonaniu umowy?
Po zakończeniu naprawy pewne Pana dane nadal mogą być przechowywane przez serwis – na przykład dane potrzebne do wystawienia rachunku czy faktury. Data Pana wizyty czy zakres robót. Serwis też potrzebuje mieć pewne informacje, które w razie potrzebny potwierdzą, że usługa serwisowa została wykonana.
Do kontaktu telefonicznego w trakcie naprawy zgoda nie jest potrzebna – ale oczywiście można ją zebrać, dla poczucia bezpieczeństwa wiele serwisów tak robi.
Po zakończeniu naprawy dane telefonicze powinny zostać faktycznie usunięte.
Ale tutaj tez dużo zależy od serwisu. Jeśli korzysta Pan z usług autoryzowanych serwisów – to takie serwisy czasem prowadzą np. akcję wymiany jakiejś wadliwej części. Dzięki szybkiemu kontaktowi z Panem, mogą w wielu sytuacjach zapobiec niebezpieczeństwu.
Ale oczywiście działa to też czasem w drugą stronę, niektóre serwisy wyłudzają dane pod pretekstem kontaktu, a później spamują nas smsami czy nawet telefonami. Takie sytuacje są oczywiście niezgodne z prawem.
PS. na część komentarzy odpowiadał faktycznie Łukasz więc oczywiście rozumiem 🙂
I przepraszam: ponownie zwrociłem się do pana: Łukasz – jakoś ta mi się skojarzyło z osobą, która na forum pisała posty jako Łukasz Z. 🙂
Czy prawnie wiążące jest zamieszczenie w CV informacji o dacie wygaśnięcia zgody na przetwarzanie danych osobowych podanych przez wysyłającego aplikację?
Krótko i na temat: TAK:)
Abstrahując od takiej klauzuli (swoją drogą bardzo ciekawy pomysł!), proszę też pamiętać, że domyślnie zgoda jest wyrażana na przetwarzanie danych wyłącznie na potrzeby aktualnego procesu rekrutacji.
Jeśli Administrator Danych nie zebrał od kandydata DODATKOWEJ zgody, to po ukończonej rekrutacji, powinien usunąć jego CV.
Czy w przypadku zastosowania formularza, na którym zgody zaznaczone są w postaci checkboxa wraz z rubrykami na wpisanie danych osobowych; samo jego uzupełnienie + zaznaczenie opcji jest równoznaczne z wyrażeniem zgody? Czy konieczne jest utworzenie pola na złożenie wąłsnoręcznego podpisu. W jaki sposób dojdzie do potwierdzenia tego oświadczenia woli?
Witamy 🙂
O ile wyrażona zgoda nie dotyczy danych wrażliwych, zaznaczenia checkboxa przy treści zgody będzie wystarczające. Należy przede wszystkim pamiętać o tym aby zgodę zbierać w taki sposób, aby można było udowodnić, że została w przeszłości wyrażona.Pozdrawiamy serdecznie
Witam,
Prowadzę salon kosmetyczny. Rozumiem, że nie potrzebuję zgody na przetwarzanie danych osobowych w celu realizacji usługi, ale czy zalicza się do tego również przypomnienie SMS o terminie wykonania usługi? Czy potrzebuję na to zgodę?
Drugie pytanie. Czy po wykonaniu usługi muszę wykasować z systemu dane osobowe Klienta np. numer telefonu, jeżeli wykorzystuję je wyłącznie do wewnętrznej ewidencji? Czy na ich przechowywanie w systemie potrzebuję zgodę?
Trzecie pytanie. Co się mieści w sformułowaniu „zgoda na przesyłanie informacji handlowej”, a co w sformułowaniu „zgoda na przetwarzanie w celach marketingowych”? Którą zgodę potrzebuję, jeżeli chcę wysyłać mailowo newsletter z informacjami o promocjach, nowych zabiegach, albo np. o nowej stronie internetowej czy nowej lokalizacji?
Czwarte pytanie. Czy sformułowanie „zgoda na przesyłanie informacji handlowej drogą elektroniczną” samo w sobie dotyczy zarówno e-maila, jak i telefonu (SMS), czy trzeba to wyszczególnić? A może potrzebne są dwie odrębne zgody?
Pozdrawiam.
Witam 🙂
W pierwszym pytaniu, jeżeli w treści SMS-a jest tylko przypomnienie o terminie wykonania usługi, to zgoda nie jest potrzebna. Można uznać przypomnienie za przetwarzanie danych osobowych w celu realizacji umowy.
Co do drugiego pytania, generalnie nie ma takiej konieczności, jednak zalecamy w zleceniu realizacji usługi zamieszczenie klauzuli informacyjnej (kto jest administratorem danych osobowych klienta). Można również zebrać zgodę. Proszę pamiętać o odpowiednich zabezpieczeniach fizycznych i technicznych pomieszczeń lub urządzeń, w których są przechowywane dane osobowe.
Trzecie pytanie – zgoda na przetwarzanie danych osobowych w celach marketingowych posiada inną podstawę prawną, niż zgoda na przesyłanie informacji handlowej drogą elektroniczną (ta pierwsza – Ustawa o ochronie danych osobowych, ta druga – Ustawa o świadczeniu usług drogą elektroniczną). Pierwsza zgoda dotyczy działań nie wykorzystujących drogi elektronicznej (np. ulotki reklamowe, katalogi), natomiast druga obejmuje wyłącznie komunikację drogą elektroniczną (np. newsletter na maila). Tak więc w przypadku mailowego newslettera konieczne będzie pozyskanie zgody na przesyłanie informacji handlowej drogą elektroniczną – proszę pamiętać, iż musi być ona wyrażona osobno od innych zgód (nie można jej łączyć z innymi zgodami).
Na czwarte pytanie odpowiedź jest następująca – trzeba pozyskać osobne zgody, co do informacji handlowej drogą elektroniczną – odpowiedź jest w pytaniu nr 3. Natomiast przesyłanie informacji handlowych na tzw. końcowe urządzenia wywołujące (m. in. telefon komórkowy/smarfon) jest dopuszczalne na podstawie zgody wyrażonej zgodnie z ustawą Prawo telekomunikacyjne. Pozdrawiam
Witam,
Dziękuję za obszerną odpowiedź.
Czyli reasumując, jeżeli chcę wysyłać newsletter wyłącznie drogą elektroniczną za pomocą SMS oraz e-mail, to nie potrzebuję zgody na przetwarzanie danych osobowych w celach marketingowych. Potrzebuję natomiast zgodę na przesyłanie informacji handlowej drogą elektroniczną (rozumiem, że jedna zgoda może dotyczyć zarówno SMS, jak i e-mail) oraz zgodę na wykorzystanie telekomunikacyjnych urządzeń końcowych dla celu przekazywania informacji marketingu bezpośredniego. Dobrze zrozumiałem?
Pozdrawiam.
Dzień dobry. Zgody na korzystanie z wysyłki informacji handlowej drogą mailową i SMS-em również mają inne podstawy prawne. Podstawą prawną dla maila jest Ustawa o świadczeniu usług drogą elektroniczną (osobna zgoda), a dla SMS-ów (z racji tego, że telefon komórkowy/smartfon jest tzw. końcowym urządzeniem wywołującym) – podstawą prawną jest ustawa Prawo telekomunikacyjne (wymagana jest zatem osobna zgoda). Pozdrawiam!
Dzień dobry,
Pozwolę się włączyć do rozmowy. Nurtuje mnie taka sprawa, jak klientowi wytłumaczyć, że potrzebujemy 3 zgód na to samo. Załóżmy, że zgoda wygląda następująco: „Wyrażam zgodę na przetwarzanie moich danych podanych w formularzu do celów marketingowych. Dane będą przetwarzane przez ………………………. Przyjmuję do wiadomości, że dane podaję dobrowolnie, że mam prawo do ich poprawiania oraz, że przysługuje mi prawo do żądania zaprzestania ich przetwarzania”.
Jeżeli teraz klient wyraził zgodę na przetwarzanie danych w celach marketingowych i podał i telefon, i mail, to jest świadomy, że będzie z nim kontakt w tym celu tymi drogami, a jeśli tak, to moim zdaniem spełnia to wymogi zgody na wysyłkę maila i zadzwonienia, ponieważ zgoda według ustaw (o świadczeniu …. i prawie telekomunikacyjnym) (art. 10.2) „informację uważa się za zamówioną, jeśli wyraził zgodę i udostępnił w tym celu adres elektroniczny”, (art 172.1) „zakazane jest używanie automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę”.
Można więc przyjąć, że wyrażając zgodę (podając telefon i mail) na przetwarzanie danych w celach marketingowych wyraził zgodę również na kontakt telefoniczny i mailowy.
Serdecznie pozdrawiam.
Dzień dobry! Sprawa wygląda trochę inaczej. Zgoda z ustawy o ochronie danych osobowych jest w kontekście pozostałych dwóch ustaw (o świadczeniu usług drogą elektroniczną oraz Prawa telekomunikacyjnego) zgodą ogólną. Jej wyrażenie powoduje, że firma jako administrator danych osobowych jest „czysta” pod względem ochrony danych osobowych. Z kolei pozostałe dwie zgody, zbierane z UŚUDE oraz Pr. Tel., są zgodami wynikającymi z przepisów szczególnych. Reasumując, zbierając tylko zgodę z ustawy o ochronie danych osobowych, pod względem danych osobowych jest w porządku, natomiast naruszone jest wówczas prawo wynikające z UŚUDE oraz Pr. Tel. Zbierając tylko zgody z UŚUDE oraz Pr. Tel. z punktu widzenia tych przepisów jest OK, natomiast naruszone będą przepisy o ochronie danych osobowych. Klientowi najlepiej wytłumaczyć to w ten sposób, że prawo (w postaci 3 różnych ustaw) wymaga od Państwa zbieranie 3 różnych zgód o podobnej, ale jednak nie tej samej treści. Pozdrawiamy!
Dzień dobry,
dziękuję za odpowiedź. Mam jednak pewne wątpliwości. Jak Państwo zapewne zauważyli w zgodzie nie odniosłem się specjalnie do konkretnej ustawy, natomiast spełniłem przesłanki wszystkich. Zdaję sobie sprawę z potrzeby mnożenia niepotrzebnych rzeczy, ale weźmy pod uwagę taki przypadek. Klient wyraża mi zgodę tylko na otrzymywanie newslettera, a nie wyraża zgody zgodnej z ODO. W tym wypadku wszyscy, którzy wysyłają newslettera zawierającego moduły firm zewnętrznych łamią UOODO, ponieważ bez zgody według punktu 5 można tylko przetwarzać w celach marketingu własnego, a GIODO wyraźnie zaznaczyło, że sam mail, który zawiera w sobie znamiona identyfikujące osobę już jest daną osobową. Nie mógłbym zatem go do marketingu obcego używać.
Oczywiście nie neguję Państwa racji, ponieważ sam mam 3 zgody, ale nigdzie nie potrafię znaleźć wystarczającego uzasadnienia tego wymogu. Przecież w żadnej ustawie nie pisze, że musi to być osobna zgoda, jeżeli jest ten sam cel, co więcej w UŚUDE i Prawie Tel. jest tylko informacja, że taka zgoda musi być, ale nie jest doprecyzowane jak ma być zbierana. Jest napisane, że musi być dobrowolna (spełniłem tę przesłankę w mojej zgodzie) oraz uzyskana przed wysłaniem maila/zadzwonieniem (też spełnione).
Serdecznie pozdrawiam i dziękuję za merytoryczną rozmowę.
Również dziękujemy za rozmowę i za rzeczową opinię! 🙂 Dostrzegamy również problematyczność tego rozwiązania, natomiast wiele zależy od tego, aby dobrze wytłumaczyć klientowi na co i dlaczego wyraża zgodę. Pozostaje mieć również nadzieję, że w związku z wejściem w życie RODO, doczekamy się w niedługim czasie nowelizacji wielu ustaw szczegółowych, w tym UŚUDE oraz Prawa telekomunikacyjnego. Pozdrawiamy!
Witam. Mam krótkie pytania. Czy firma wystawiająca fakturę innej firmie powinna na fakturze umieścić klauzule informacyjna lub na osobnym druku np. oraz czy klauzula informayjna musi być podpisana własnoręcznie lub podpisem elektronicznym czy wystarczy napisać np. Jan Kowalski – Administrator danych? Pozdrawiam
Dzień dobry. Klauzula informacyjna nie musi być podpisana (ani odręcznie, ani elektronicznie). Tak, powinno się np. na fakturze zamieścić klauzulę informacyjną. Pozdrawiamy!