Warszawa, 14 marca 2019 r.

Podobne dokumenty
Uwagi Fundacji Panoptykon 1 do Kodeksu dobrych praktyk w sprawie przetwarzania danych osobowych dla celów badań naukowych przez biobanki w Polsce 2

POLITYKA PRYWATNOŚCI

POLITYKA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ

Informacja o przetwarzaniu danych osobowych

ADWOKAT URSZULA DANILCZUK-KARNAS TEL.:

2. Jaka instytucja w Polsce jest organem nadzorczym w zakresie Ochrony Danych Osobowych?

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

Oświadczenie o ochronie danych zgodnie z RODO

POLITYKA PRYWATNOŚCI -dotycząca danych osobowych osób odwiedzających sklepy objęte monitoringiem wizyjnym-

Informacja o przetwarzaniu danych osobowych

POLITYKA PRYWATNOŚCI dotycząca danych osobowych użytkowników strony internetowej

Informacja o przetwarzaniu danych osobowych

Uwagi Fundacji Panoptykon 1 do Kodeksu dobrych praktyk w zakresie przetwarzania danych osobowych przez banki i rejestry kredytowe 2

POLITYKA PRYWATNOŚCI INFORMACJA O ZASADACH PRZETWARZANIA DANYCH OSOBOWYCH ZGODNIE Z RODO

POLITYKA PRYWATNOŚCI. OCHRONA DANYCH OSOBOWYCH

I. Podstawowe Definicje

PRAWA PODMIOTÓW DANYCH - PROCEDURA

1. Administratorem danych osobowych w rozumieniu art. 4 pkt 4 RODO1 są Julita

POLITYKA PRYWATNOŚCI -dotycząca danych osobowych klientów, dostawców i najemców-

Polityka prywatności. Informacje o Administratorze. Obowiązki informacyjne Administratora. Dane kontaktowe w sprawach przetwarzania danych osobowych

W sprawach dotyczących przetwarzania Twoich danych osobowych możesz kontaktować się z Administratorem:

Partner in Pet Food Polska Sp. z o.o. Informacja o ochronie danych osobowych. Ostatnia aktualizacja: 25 maja 2018 roku

Polityka Prywatności

TWOJE PRAWA w zakresie ochrony danych osobowych, na gruncie RODO

POLITYKA PRYWATNOŚCI -dotycząca danych osobowych Członków Spółdzielni-

POLITYKA PRYWATNOŚCI

Administratorem Twoich danych osobowych jest Azagroup Spółka Akcyjna z siedzibą w Warszawie (02-681) przy Al. Wyścigowej 6 (dalej: Azagroup ).

Administratorem Pani/Pana danych osobowych jest Galeria Słupsk.

Administratorem Twoich danych osobowych jest Azagroup Spółka Akcyjna z siedzibą w Warszawie (02-681) przy Al. Wyścigowej 6 (dalej: Azagroup ).

POLITYKA PRYWATNOŚCI RODO KLAUZULA INFORMACYJNA. Ochrona danych osobowych oraz prywatności jest dla nas ważna i stanowi jeden z

POLITYKA PRYWATNOŚCI

Polityka prywatności

Procedura postępowania reklamacyjnego dotyczącego danych osobowych w SentiOne Sp. z o. o.

Polityka prywatności dotycząca przetwarzania danych osobowych

INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH

Polityka prywatności przetwarzanie danych osobowych w serwisie internetowym kuberacars.pl

1. Informacja dotycząca Administratora i gromadzenia danych osobowych

Czym jest RODO? Jak można skorzystać z przysługujących praw? Kim jest administrator danych osobowych (ADO) Kim jest podmiot przetwarzający?

INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH

KLAUZULA INFORMACYJNA Konkurs Nagroda Człowiek wiedzy i doświadczenia. Informacje dotyczące ochrony danych osobowych

Oświadczenie o ochronie danych osobowych Informacje dotyczące ochrony danych zgodnie z art. 13 i 14 RODO

POLITYKA PRYWATNOŚCI SERWISU INTERNETOWEGO

POLITYKA PRYWATNOŚCI SERWISU INTERNETOWEGO

POLITYKA PRYWATNOŚCI SERWISU

Polityka prywatności dotyczy przetwarzania danych osobowych przez Jagiellonia Białystok Sportową Spółkę Akcyjną z siedzibą w Białymstoku w:

3. Jakie dane osobowe przetwarzamy

POLITYKA PRYWATNOŚCI

Aby uzyskać więcej informacji na temat danych osobowych, skontaktuj się z wyznaczonym przez nas Inspektorem Ochrony Danych Osobowych:

POLITYKA PRYWATNOŚCI

Informacja o ochronie danych osobowych

Klauzula informacyjna o przetwarzaniu danych osobowych

SKLEP INTERNETOWY SUNBARREL.PL POLITYKA PRYWATNOŚCI (ZASADY PRZETWARZANIA DANYCH OSOBOWYCH)

Klauzula informacyjna dotycząca przetwarzania danych osobowych osoby fizycznej

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

POLITYKA PRYWATNOŚCI. -dotycząca danych osobowych kontrahentów-

Procedura realizacji praw osób fizycznych

INFORMACJE DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH

Informacja dotycząca przetwarzania danych Informacja dotycząca przetwarzania danych WEBEYE POLSKA Sp. Z.o.o. (siedziba: PL Kraków, ulica

Klauzula informacyjna Administratora Danych Osobowych dla Kandydatów na pracowników i zleceniobiorców

Klauzula informacyjna RODO

Obowiązek informacyjny na podstawie artykułu 13 RODO

Stanowisko Fundacji Panoptykon 1 w sprawie projektu ustawy Ordynacji Podatkowej 2

KLAUZULA INFORMACYJNA

DANE UCZESTNIKA SZKOLENIA. Prosimy o wypełnienie formularza zgłoszeniowego, podpisanie i przesłanie na adres:

POLITYKA PRZETWARZANIE DANYCH OSOBOWYCH. W SPÓŁCE Zako Apartamenty s.c

Informacja o przetwarzaniu danych osobowych

Co to jest RODO? Kto jest administratorem Twoich danych osobowych?

INFORMACJA O OCHRONIE DANYCH OSOBOWYCH

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

POLITYKA PRYWATNOŚCI Polityka prywatności EKOMERITUM RODO, 1. Czym są dane osobowe i co oznacza ich przetwarzanie?

Przez dane osobowe rozumiemy dane żywej osoby, która może zostać. zidentyfikowana dzięki wykorzystaniu tych danych. Przetwarzanie przez nas

Polityka prywatności w serwisie internetowym World Healthy Living Foundation

Polityka prywatności dla kontrahentów Domu Maklerskiego TMS Brokers S.A.

INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH PRZEZ FIRMY GRUPY AUTO-BLAK

POLITYKA PRYWATNOŚCI

WYJAŚNIENIA ZASAD PRZETWARZANIA DANYCH OSOBOWYCH W DRUKARNI DIMOGRAF SP. Z O.O.

Informacja o projekcie: Wskazówki Prezesa Urzędu Ochrony Danych Osobowych dotyczace wykorzystania monitoringu wizyjnego

KLAUZULA INFORMACYJNA Poznańskiego Sportowego Klubu Taekwon-Do

Bezpieczeństwo danych naszych subskrybentów, klientów i kontrahentów jest dla nas najwyższym priorytetem.

Zmiana Regulaminu oraz nowa Polityka Prywatności Eko- Line w związku z wdrożeniem RODO

1. 5 Użytkownik każda osoba fizyczna odwiedzająca Serwis lub korzystająca z jednej albo kilku usług czy funkcjonalności opisanych w Polityce.

dla przedsiębiorcy Jana Kaczkowskiego (dalej Dostawca Usług). Dostawca usług powołał Inspektora Ochrony Danych, z którym kontakt możliwy jest

Polityka prywatności Pofam-Poznań sp. z o.o.

INSTRUKCJA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ.

I. Zakres oraz cel procedury. Zgłaszanie i obsługa praw osób fizycznych

KLAUZULA INFORMACYJNA

Polityka prywatności portalu poradnia-online.com obowiązuje od r.

Polityka prywatności zawierająca informacje dotyczące przetwarzania dla poszczególnych kategorii podmiotów danych. (klauzule informacyjne)

KLAUZULA INFORMACYJNA dla klientów

POLITYKA PRYWATNOŚCI Informacja o przetwarzaniu danych osobowych Przez firmę NAUTILUS POLAND Spółka z o.o. Spółka Komandytowa

Informacja o przetwarzaniu danych osobowych

Przesłanki przetwarzania danych osobowych zgodnie z prawem. dr Jarosław Greser

POLITYKA PRYWATNOŚCI. 1. Podstawowe pojęcia: 2. Administrator danych osobowych:

W formie elektronicznej możemy gromadzić Państwa Dane Osobowe w szczególności w następujących sytuacjach:

Informacje o przetwarzaniu danych osobowych przez spółki Mondelez International działające w Polsce

wykorzystaniu tych danych. Przetwarzanie przez nas Twoich danych osobowych jest

- wykonania zawartej umowy na świadczenie usług cateringowych. Podstawa prawną przetwarzania danych w takim przypadku jest art. 6 ust. 1 lit b RODO.

W formie elektronicznej możemy gromadzić Państwa Dane Osobowe w szczególności w następujących sytuacjach:

Transkrypt:

Warszawa, 14 marca 2019 r. Uwagi Fundacji Panoptykon 1 do projektu Kodeksu postępowania i dobrych praktyk w zakresie ochrony danych osobowych w działaniach marketingu bezpośredniego (KODO) 2 Fundacja Panoptykon jest założoną w 2009 r. organizacją pozarządową zajmującą się problematyką praw człowieka w kontekście nowych technologii. Jednym z głównych obszarów naszych zainteresowań jest ochrona danych osobowych. Poniższa tabela zawiera najważniejsze uwagi Fundacji do projektu Kodeksu postępowania i dobrych praktyk w zakresie ochrony danych osobowych w działaniach marketingu bezpośredniego. Niezależnie od tego, chcielibyśmy zwrócić Państwa szczególną uwagę na kwestie, które naszym zdaniem w największym stopniu naruszają zasady ochrony danych osobowych: 1. brak uwzględnienia zasady minimalizacji danych, por. uwaga 1, 2. wprowadzenie możliwości realizacji świadczenia nieodpłatnie w zamian za możliwość przetwarzania i udostępniania danych osobowych, por. uwaga 11, 3. ograniczenie prawa dostępu do danych, tj. wyłączenie z zakresu danych podlegających udostępnieniu danych wywnioskowanych przez administratora, por. uwaga 14, 4. wprowadzenie podziału na profilowanie pozytywne i negatywne, budzące wątpliwości określenie podstawy prawnej do profilowania oraz przesądzenie, że żadne profilowanie nie wiąże się z wymogami wynikającymi z art. 22 RODO, por. uwagi 5 i 6, 5. wskazanie, że dane pochodzące z określonych źródeł nigdy nie będą miały charakteru danych wrażliwych, por. uwaga 2, 6. ograniczenie ochrony danych osobowych osób prowadzących jednoosobową działalność gospodarczą, por. uwagi 4, 7, 9, 12. Jednocześnie deklarujemy gotowość do wyjaśnienia wszelkich wątpliwości związanych z naszymi uwagami oraz zainteresowanie konsultacjami ewentualnych kolejnych wersji projektu kodeksu. 1 Uwagi przygotowane przez Karolinę Iwan ską. 2 Wersja z maja 2018 r. Fundacja Panoptykon ul. Orzechowska 4 lok. 4 02-068 Warszawa e: fundacja@panoptykon.org t: +48 660 074 026 w: panoptykon.org

Rozdział: ZBIERANIE DANYCH 1. Zakres i cel zbieranych danych Zasady określania zakresu zbieranych danych w stosunku do celu s.5: W przypadku zbierania danych osobowych dla celów marketingowych uznaje się, że większość danych osobowych o klientach lub potencjalnych klientach może być adekwatna do celu marketingowego. Uzasadnione jest to dążeniem do przedstawienia klientowi lub potencjalnemu klientowi rozwiązania, oferty, która go rzeczywiście może zainteresować. Podmiot zbierający dane dla celów marketingowych powinien każdorazowo określić, jakie dane osobowe są niezbędne dla sprzedaży i promowania produktów lub usług. Uwaga 1 Podstawowe zasady wynikające z RODO to zasady minimalizacji oraz zasada ograniczenia celu. Ta pierwsza stanowi, że przetwarzane mogą być tylko takie dane, które są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Zgodnie z zasadą ograniczenia celu, dane muszą być zbierane wyłącznie w konkretnych i wyraźnych celach. Zasady przetwarzania danych osobowych wrażliwych W kodeksie pominięta została pierwsza z tych zasad analizowanie wyłącznie zasady celowości bez minimalizacji jest błędem, biorąc pod uwagę brzmienie motywu 39 RODO. Nie wystarczy, aby dane osobowe były adekwatne, muszą one być również ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Szczególne wątpliwości budzi możliwość wykorzystania w celach marketingowych danych wrażliwych. s. 6: ( ) wskazuje się, że następujące działania na danych podejmowane w celach marketingowych nie stanowią przetwarzania danych wrażliwych: ( ) 3. dane pochodzące z aktywności w sieci i wnioskowanie z nich, 4. zbieranie odpowiedzi na pytania w quizach, zbieranie danych podawanych w związku z udziałem w promocjach i programach lojalnościowych. Przepisy prawa nie przewidują ich zamkniętego katalogu i każdorazowo administrator powinien dokonać samodzielnej weryfikacji, czy zbierane lub posiadane dane osobowe mogą być uznane za wrażliwe. Należy uznać, że kategoria 2

wrażliwości poszczególnych danych osobowych może zmieniać się w czasie wraz z rozwojem społeczeństwa informacyjnego. Administratorzy danych powinni okresowo weryfikować, czy posiadane przez nich dane w określonym zakresie nie zaczęły być traktowane jako dane wrażliwe lub czy nie utraciły takiego charakteru. Uwaga 2 Dane wrażliwe podlegają na gruncie RODO szczególnej ochronie, niezależnie od źródła, z którego pochodzą. Niezgodne z RODO jest blankietowe wskazanie, że dane z konkretnych źródeł nigdy nie będą wrażliwe ocena charakteru tych danych powinna być dokonywania każdorazowo, z uwzględnieniem konkretnych okoliczności. W szczególności, dane pochodzące z aktywności w sieci i wnioskowanie z nich może jak najbardziej dotyczyć danych wrażliwych, np. informacji o wyznaniu czy chorobach na podstawie przeglądanych stron internetowych. Kodeks zawiera w dodatku wewnętrzną sprzeczność: z jednej strony autorzy wyliczają dane, które nie zostaną uznane za wrażliwe, ze względu na źródło ich pochodzenia, z drugiej przesądzają, że przepisy nie przewidują zamkniętego katalogu danych wrażliwych i zadaniem administratora jest samodzielna weryfikacja danych. Rozdział: ZBIERANIE DANYCH 2. Podstawa prawna i faktyczna Fragmenty kodeksu Uwaga 3 s.7: Pomiędzy podstawami prawnymi przetwarzania danych osobowych dla celów marketingowych, jakimi są zgoda i uzasadniony interes nie czyni się rozróżnienia żadna z tych podstaw nie ma charakteru preferowanego. Zgoda jako wyłączna przesłanka zbierania i przetwarzania danych osobowych dla celów marketingowych jest wymagana dla szczególnych przypadków, w których Administrator nie może zasadnie powołać się na uzasadniony interes. Sformułowanie, że między zgodą a uzasadnionym interesem nie czyni się rozróżnienia sugeruje, że administratorzy danych mogą dowolnie wybierać między tymi dwoma podstawami prawnymi. Tymczasem, przesłanki skorzystania z tych dwóch podstaw są inne w przypadku uzasadnionego interesu administrator musi zbadać, czy faktycznie posiada taki interes, a jeśli tak, to czy nie mają przed nim pierwszeństwa prawa i wolności osób, których dane dotyczą, a więc przeprowadzić tzw. test równowagi. Uważamy za zasadne doprecyzowanie i wskazanie typowych sytuacji, w których właściwe będą poszczególne podstawy prawne. W sytuacji, gdy administrator może oprzeć przetwarzanie na 3

uzasadnionym interesie, powinien ograniczyć się do jednej podstawy prawnej i nie zbierać zgody. Ograniczy to zjawisko nadmiarowego pobierania zgód i jest korzystne z perspektywy administratora, np. ze względu na fakt, że zgodę w każdej chwili można wycofać. Uwaga 4 s. 7: W Polsce szczególnym rodzajem danych są dane osobowe osób fizycznych prowadzących działalność gospodarczą, których dane osobowe są publicznie ujawnione m.in. w Centralnej Ewidencji i Informacji o Działalności Gospodarczej. Dane te mogą być zbierane przez Administratorów bezpośrednio z publicznie dostępnych rejestrów w celu ich wykorzystania dla potrzeb marketingowych lub w celu ich dalszej dystrybucji z powołaniem na uzasadniony interes administratora danych. Fakt, że dane osobowe osób fizycznych prowadzących działalność gospodarczą są publicznie dostępne w CEIDG, nie oznacza, że dane te mogą być dowolnie wykorzystywane przez inne podmioty. W przypadku chęci powołania się na uzasadniony interes każdorazowo powinien zostać wykonany tekst równowagi, którego elementem jest m.in. ocena, czy dana osoba ma racjonalne podstawy spodziewać się takiego, a nie innego wykorzystania jej danych. Naszym zdaniem kodeks powinien dawać administratorom wskazówki, jak taki test wykonać oraz podawać przykłady, w jakich konkretnych sytuacjach wykorzystanie danych przedsiębiorców jest możliwe, a w jakich jest to wątpliwe. Blankietowe zezwolenie na korzystanie z danych jednoosobowych przedsiębiorców w celach marketingowych, niezależnie choćby od charakteru działań marketingowych, ich inwazyjności czy częstotliwości, wprowadza stosujących kodeks w błąd. ROZDZIAŁ: WYKORZYSTYWANIE DANYCH 1. Profilowanie Profilowanie w działalności marketingowej Fragmenty kodeksu s. 14: Profilowanie w działalności marketingowej generalnie nie podlega regulacjom art. 22 RODO. Oznacza to, że profilowanie dla potrzeb marketingowych generalnie nie wymaga uzyskiwania od osoby, której dane dotyczą, odrębnej zgody. Profilowanie, którego rezultatem jest przedstawienie określonej reklamy lub promocyjnej oferty wyłącznie wybranym odbiorcom, potencjalnie najbardziej zainteresowani daną reklamą lub ofertą, nie stanowi sytuacji, o której mowa w art. 22 ust. 1 RODO. 4

Uwaga 5 Na gruncie RODO profilowanie może mieć postać profilowania zwykłego i profilowania, które prowadzi do zautomatyzowanego podejmowania decyzji. Art. 22 RODO dotyczy zautomatyzowanego podejmowania decyzji, w odniesieniu do profilowania, które nie prowadzi do takiego skutku, zastosowanie znajdą ogólne przepisy RODO, w tym art. 6, który określa możliwe podstawy prawne przetwarzania danych, do których należy zgoda. Z tego powodu wniosek, że profilowanie, które nie mieści się w zakresie art. 22, nie wymaga zgody, nie znajduje oparcia w RODO. Niezależnie od tego, profilowanie w celach marketingowych może skutkować zautomatyzowanym podejmowaniem decyzji w rozumieniu art. 22 RODO. Potwierdzają to chociażby Wytyczne Grupy Roboczej Art. 29 w sprawie zautomatyzowanego podejmowania decyzji i profilowania do celów rozporządzenia 2016/679 (WP 251) 3, w których Grupa pisze, że w niektórych przypadkach prezentowanie reklam w oparciu o profilowanie może istotnie wpływać na osobę, której dane dotyczą, biorąc pod uwagę konkretne okoliczności i charakter profilowania, np. zakres profilowania, oczekiwania osoby, której dane dotyczą, sposób zaprezentowania reklamy, wykorzystywanie wiedzy o słabościach osoby. Naszym zdaniem kodeks zamiast wprowadzać w błąd twierdzeniem, że żadne profilowanie nie wiąże się z wymogami wynikającymi z art. 22 powinien zawierać wskazówki, które pomogą administratorom ocenić, czy dochodzi do zautomatyzowanego podejmowania decyzji oraz na jakiej podstawie prawnej oprzeć profilowanie. s. 14: Profilowanie dla celów marketingowych na zasadzie wyjątku może wymagać uzyskania odrębnej zgody od osoby, której dane dotyczą, jeżeli realizowane jest w sposób kierunkowy, inwazyjny i z założenia jego rezultaty mogą mieć istotny, negatywny wpływ na daną osobę. Uwaga 6 Rozróżnienie na negatywne i pozytywne skutki profilowania nie znajduje oparcia w RODO. Administratorzy powinni każdorazowo dokonać wyboru właściwej podstawy prawnej w zależności od okoliczności, biorąc pod uwagę m.in. racjonalne oczekiwania osoby, której dane dotyczą. W naszej opinii zgoda potrzebna będzie nie tylko na profilowanie, które ma negatywne konsekwencje dla osoby, której dane dotyczą, ale na każde profilowanie, które nie spełnia racjonalnych oczekiwań osoby, której dane dotyczą. Niezależnie od tego, czy podstawą prawną 3 https://www.giodo.gov.pl/pl/1520344/10397 5

ROZDZIAŁ: WYKORZYSTYWANIE DANYCH będzie zgoda, czy uzasadniony interes, administratorzy powinni także poinformować osoby, których dane dotyczą, o tym, że będą profilowane i umożliwić im realizowanie prawa dostępu do danych, również danych wywnioskowanych w procesie profilowania. 2. Wykorzystywanie danych w aktywnym marketingu bezpośrednim Telemarketing Uwaga 7 s. 15: Wykonywanie sprzedażowych połączeń telefonicznych do przedsiębiorcy nie wymaga posiadania uprzedniej zgody takiego przedsiębiorcy. Takie postanowienie jest niezgodne z art. 172 prawa telekomunikacyjnego, który mówi o użytkownikach końcowych, niezależnie od tego, czy są oni konsumentami czy przedsiębiorcami. Marketing drogą elektroniczną (e-mail, SMS, inne) Uwaga 8 s. 17: Zgodnie z art. 13 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) uprawnione jest przesyłanie do konsumentów informacji handlowych drogą elektroniczną bez uzyskania uprzedniej odrębnej zgody, w przypadku gdy taki konsument jest klientem administratora oraz administrator otrzymał od takiego konsumenta szczegółowe elektroniczne dane kontaktowe dla potrzeb poczty elektronicznej w kontekście sprzedaży produktu lub usługi. Niezrozumiałe jest, dlaczego autorzy kodeku powołują się na brzmienie art. 13 dyrektywy, skoro dyrektywa nie jest w Polsce stosowana bezpośrednio, a przepis ten został implementowany do polskiego porządku prawnego w drodze art. 10 ustawy o świadczeniu usług drogą elektroniczną. Polski ustawodawca wybrał rozwiązanie opt in, a nie opt out, a więc przesyłanie informacji handlowych każdorazowo wymaga zgody odbiorcy. Przeciwne rozumowanie może prowadzić do wniosku, że przedsiębiorca, u którego dana osoba kupiła online produkt lub usługę, może następnie wysyłać jej newsletter bez pozyskania odrębnej zgody, a jedynie musi udostępnić możliwość wypisania się. s. 17: Przesłanie komunikatu marketingowego drogą elektroniczną do przedsiębiorcy nie wymaga posiadania 6

uprzedniej zgody takiego przedsiębiorcy. Uwaga 9 Takie postanowienie jest niezgodne z art. 10 ustawy o świadczeniu usług drogą elektroniczną, który mówi o odbiorcy będącym osobą fizyczną, niezależnie od tego, czy osoba ta jest konsumentem czy przedsiębiorcą. ROZDZIAŁ: PRZEKAZYWANIE, POWIERZANIE I PRZENOSZENIE DANYCH 2. Reguły przekazywania danych Warunki, jakie muszą być spełnione, aby dokonać przekazania danych innemu administratorowi (np. sprzedaż bazy danych) Uwaga 10 Uwaga 11 s. 22: Informację o kategoriach innych podmiotów, którym będą przekazywane (przesyłane, udostępniane) dane do samodzielnego przetwarzania uważa się za dostateczną, jeśli określona zostanie branża, w której podmioty te prowadzą swoją działalność. W miarę możliwości administrator powinien poinformować osobę, której dane dotyczą, o wszystkich odbiorcach danych, udostępniając tej osobie listę odbiorców. Ograniczanie obowiązku informacyjnego wyłącznie do kategorii odbiorców powinno mieć miejsce tylko w takich sytuacjach, gdy udostępnienie pełnej listy jest nadmiernie utrudnione lub niemożliwe. Jednocześnie będziemy wdzięczni za wyjaśnienie, jakie to mogą być sytuacje. s. 23: Sprzeciw wobec przekazania danych osobowych odbiorcom danych może stanowić podstawę do odmowy realizacji świadczenia na rzecz danej osoby, o ile takie przekazanie jest niezbędne dla realizacji tego świadczenia (np. dostawa przesyłki kurierem) lub dane świadczenie realizowane jest bez odpłatności w zamian za możliwość przetwarzania i udostępniania danych osobowych. Możliwość realizacji świadczenia nieodpłatnie w zamian za możliwość przetwarzania i udostępniania danych osobowych jest wątpliwa na gruncie RODO. W sytuacjach, gdy na przetwarzanie i udostępnianie danych potrzebna jest zgoda osoby, której dane dotyczą, zgoda ta musi spełniać warunki wynikające z art. 7 RODO, m.in. musi być dobrowolna. Art. 7 ust. 4 RODO stanowi, że oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy. Doktryna wskazuje, że można oferować osobom, których dane dotyczą, drobne rabaty za wyrażenie zgody, jednak całkowite zwolnienie osób 7

z płacenia za usługi w zamian za wyrażenie zgody oznacza, że zgoda została wymuszona. Uwaga 12 s. 23: Zawsze dopuszczalne jest w celach marketingowych przekazywane danych osobowych osób fizycznych prowadzących działalność gospodarczą z powołaniem na uzasadniony interes Administratora, o ile przekazywane dane osobowe są związane z ich działalnością gospodarczą. Jak pisaliśmy wyżej, dane osobowe przedsiębiorców będących osobami fizycznymi podlegają ochronie na gruncie RODO na zasadach ogólnych. W związku z tym, w naszej opinii nieuprawnione jest stwierdzenie, że dane tych osób można dowolnie przekazywać bez ich zgody w celach marketingowych. ROZDZIAŁ: PRZECHOWYWANIE DANYCH 1. Okres przechowywania danych dla celów marketingowych Uwaga 13 s. 25: Przetwarzanie dla celów marketingowych co do zasady nie jest ograniczone czasowo. Administrator nie ma prawnego obowiązku usunięcia lub zanonimizowania danych przetwarzanych dla celów marketingowych z tego tylko powodu, że upłynął określony czas od daty ich zebrania. Jedną z podstawowych zasad wynikających z RODO jest zasada ograniczenia przechowywania, zgodnie z którą dane można przechowywać przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane są przetwarzane. Zgodnie z motywem 39, aby zapobiec przechowywaniu danych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. To oznacza, że dane mogą być przechowywane tak długo, jak jest to niezbędne do osiągnięcia celu, jednak nie w nieskończoność. Oznacza to, że Administrator powinien ustalić rozsądny termin usuwania danych. 2. Dostęp do informacji s. 25: Prawo dostępu do informacji obejmuje wyłącznie dane podane przez osobę, której dane dotyczą oraz dane zebrane od osób trzecich. Prawo to nie obejmuje danych wytworzonych przez Administratora na podstawie zebranych danych (np. stwierdzone przez Administratora preferencje zakupowe). Uwaga 14 Dane osobowe to każda informacja o możliwej do zidentyfikowania osobie fizycznej, również ta, której ta osoba wprost nie podała, a nawet informacja nieprawdziwa. Prawo dostępu do danych obejmuje również dane wywnioskowane przez administratora, np. profil zakupowy. Wyrażona w tym fragmencie chęć ograniczenia 8

tego prawa nie ma jakichkolwiek podstaw prawnych. 3. Aktualność danych Uwaga 15 s. 25: Administratorzy mają prawo kontaktować się co najmniej raz w roku z osobami, których dane przetwarzają, w celu zweryfikowania aktualności przetwarzanych danych. Weryfikacja aktualności danych może mieć miejsce tylko wówczas, gdy administrator oceni, że istnieje taka potrzeba. Kontakt w celu weryfikacji aktualności danych, zwłaszcza danych wykorzystywanych w celach marketingowych, nie powinien być uciążliwy dla osób, których dane dotyczą. Z tego powodu uważamy, że sformułowanie co najmniej raz w roku jest nieprecyzyjne i sprzyja nadużyciom. Uważamy, że kontakt taki powinien mieć miejsce tylko wyjątkowo i maksymalnie raz do roku, zwłaszcza że kodeks pozwala administratorom jednocześnie realizować przy tej okazji cel marketingowy, jeśli administrator posiada zgodę na wykorzystywanie danego środka komunikacji w tym celu. 4. Prawo do bycia zapomnianym s. 26: Osoba, której dane dotyczą, może żądać od Administratora, który upublicznił jej dane osobowe, nie tylko tego, aby usunął on jej dane osobowe, ale również aby Administrator przesłał do wszystkich znanych mu innych administratorów danych osobowych, którzy pobrali jej upublicznione dane, wezwanie do usunięcia tych danych, kopii tych danych osobowych lub ich replikacji. Uwaga 16 Uwaga 17 Nie jest jasne, w jakich sytuacjach w ogóle może dojść do upublicznienia danych osobowych poza wskazanym fragmentem kodeks w ogóle o tym nie wspomina. s. 26: Administrator może odmówić danej osobie prawa do bycia zapomnianym, o ile zachodzą przesłanki wyłączające prawo do żądania usunięcia danych osobowych. W praktyce marketingowej Administrator zobowiązany jest zawsze zachować dane osobowe dla przypadków: 1. przetwarzania danych na potrzeby podatkowe w związku z akcjami promocyjnymi; 2. rozliczalności gier hazardowych; 3. procesów sądowych. Choć prawo do bycia zapomnianym nie jest nieograniczone, to dane mogą być zachowane w ww. celach tylko i wyłącznie w takim zakresie, w jakim jest to niezbędne i tak długo, jak jest to niezbędne. Postulujemy doprecyzowanie tego 9

w treści kodeksu. Uwaga 18 s. 27: W celu uniknięcia powyższej sytuacji uznaje się, że Administrator jest uprawniony do stworzenia wewnętrznej czarnej listy osób, które skorzystały do prawa do bycia zapomnianym ( ). RODO nie stoi w sprzeczności z interpretacją autorów kodeksu można w celach archiwalnych i w celu obrony przed roszczeniami zachować przez określony czas informację o tym, że ktoś skorzystał z prawa do bycia zapomnianym. Jednak sugerowane określenie grupy osób, które skorzystały ze swoich praw czarna lista wydaje się co najmniej niefortunne. 6. Anonimizacja. Uwaga 19 s. 28: Przykład anonimizacji: Dane osobowe: Izabela Nowak, zam. ul. Mickiewicza 13/26, 60-858 Poznań, urodzona 11-04-1979 e-mail i.nowak@onet.pl zarejestrowana w serwisie 2012-03-12, zrezygnowała z rejestracji 2017-12-24. Dane zanonimizowane: Ixxxxxx N1265, zam. w Poznaniu, e- mail: xxx@onet.pl, urodzona 11-04- 1979, zarejestrowana w serwisie 2012-03-12, zrezygnowała z rejestracji 2017-12- 24. W naszej opinii taki przykład anonimizacji jest niewłaściwy. Anonimizacja to nieodwracalny proces polegający na takim przekształceniu danych osobowych, że zidentyfikowanie konkretnej osoby staje się trwale niemożliwe. Dane osobowe to informacje o możliwej do zidentyfikowania osobie. Do identyfikacji może dojść pośrednio nie w każdym przypadku administrator musi znać imię i nazwisko tej osoby, wystarczy, że będzie mógł ją wyróżnić wśród innych (por. koncepcję single out wypracowaną przez Grupę Roboczą art. 29 4 ). Podany przykład sugeruje, że do skutecznej anonimizacji wystarczy zwykłe zakrycie imienia, nazwiska i adresu-email. Jednak kombinacja takich informacji jak data urodzenia, miejscowość czy daty rejestracji i rezygnacji z rejestracji mogą pozwolić skutecznie odróżnić tę osobę od innych osób w bazie, a już to wystarczy do identyfikacji na gruncie RODO. 4 Opinia 4/2007 w sprawie pojęcia danych osobowych, https://www.giodo.gov.pl/pl/462/2375. 10

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres