- Nasza firma w ramach rozszerzania działalności zamierza uruchomić portal internetowy. Będzie on oferował różną dostępność do usług w zależności od tego, czy korzystać z niego będzie zarejestrowany użytkownik, czy przypadkowy internauta. W celu rejestracji niezbędne jest pozyskanie podstawowych danych osobowych użytkowników, które chcemy także wykorzystywać w celach marketingowych.

Czy w związku z tym prawidłowo będzie brzmiała klauzula wyrażenia zgody na przetwarzanie danych o następującej treści:

„Wyrażam zgodę na przechowywanie i przetwarzanie moich danych osobowych przez X sp. z o.o. w celu świadczenia usług, archiwizacji, a także w celach marketingowych dotyczących usług i produktów spółki X oraz podmiotów współpracujących w ramach powiązań kapitałowych (spółek powiązanych kapitałowo)”

– pyta czytelnik.

Na początku warto się zastanowić, kiedy firma może legalnie przetwarzać dane osobowe. Jest to dopuszczalne tylko wtedy, gdy:

- osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

- jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną, lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie tej osoby,

- jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

- jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą; za ten prawnie usprawiedliwiony cel uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Wymienione przesłanki, czyniące przetwarzanie danych legalnym, wymienia art. 23 ustawy o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.). Jak wynika z tego przepisu, jedną z nich jest zgoda osoby, która udostępnia swoje dane, chociaż warto zaznaczyć, że wszystkie te przesłanki mają równorzędną moc.

Brzmienie definicji...

Wymieniona ustawa zawiera wyjaśnienie tego, co oznacza wyrażenie zgody. Stosowna definicja zawarta jest w art. 7 pkt 5. Przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Zgoda może być odwołana w każdym czasie.

Kluczową sprawą jest tutaj zakaz domniemania wyrażenia takiej zgody z oświadczenia o innej treści. Przepis nie narzuca więc, jaką treść powinna mieć klauzula o wyrażeniu zgody. Zasadniczo  można ją sformułować w dowolny sposób. Jednak w praktyce musi ona spełniać pewne warunki.

Jak można przeczytać w wyjaśnieniach generalnego inspektora danych osobowych: „z treści zgody na przetwarzanie danych osobowych powinno w sposób niebudzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego, na co się godzi”.

Taka interpretacja wynika także z orzecznictwa Naczelnego Sądu Administracyjnego. W wyroku z 4 kwietnia 2003 (II SA2135/2002) zawarł on stwierdzenie: „zgoda na przekazywanie danych musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania.

Czynności takiej nie konwaliduje późniejsze poinformowanie o treści regulaminu, ani możliwość zgłoszenia zastrzeżeń wobec pewnych form przetwarzania danych”.

...i jej interpretacja

Co zatem wynika z zacytowanych przepisu i stanowisk? Osoba wyrażająca zgodę na przetwarzanie jej danych osobowych musi mieć pełną swobodę wyboru, komu i w jakim celu jej udziela. Dlatego należy uznać, że sformułowana przez firmę X klauzula, o której mowa w pytaniu czytelnika, ma zbyt duży zakres.

Osoba, która ją podpisuje, musi bowiem wyrazić zgodę na przetwarzanie jej danych w różnych celach (główny to korzystanie z usług, dodatkowy to cele marketingowe) i przez różne podmioty (samą spółkę X oraz inne z nią powiązane). Tym samym konsument nie ma zapewnionej swobody w wyrażeniu zgody na przetwarzanie danych w żadnym z tych celów.

Z kolei brak takiej swobody czyni oświadczenie woli wadliwym, co wynika z przepisów kodeksu cywilnego. W związku z tym w wypadku oświadczenia woli dotyczącego różnych celów przetwarzania zgoda powinna być wyraźnie wyrażona względem każdego z nich, a nie łącznie.

Każdej osobie należy zatem zapewnić możliwość wyboru. Wyrażenie zgody musi być sformułowane odrębnie dla przetwarzania danych w celu korzystania z usług firmy oraz dla przetwarzania w celu marketingowym przez powiązane z nią podmioty. Innymi słowy osobie korzystającej z serwisu (portalu) należy umożliwić wyrażenie zgody na przetwarzanie jej danych wyłącznie w celu korzystania z usług.

Ewentualnie dodatkowo może ona wyrazić zgodę na przetwarzanie jej danych w celach marketingowych przez powiązane firmy. Musi jednak mieć opcję takiego wyboru.

Na koniec warto odwołać się do jednej z decyzji generalnego inspektora ochrony danych osobowych, która dotyczyła podobnej sprawy. Treść decyzji nr DIS/DEC-63/4537/11 można pobrać ze strony www.giodo.gov.pl.