Na stronie Ministerstwa Cyfryzacji opublikowano pierwszą część poradnika dla przedsiębiorców z sektora FinTech. Jest on istotną lekturą dla firm zajmujących się obsługą wierzytelności, ubezpieczycieli, banków, ale również dla przedsiębiorców prowadzących działalność w formie elektronicznej, w szczególności sklepów i serwisów internetowych. Traktuje on bowiem o takich zagadnieniach jak zgoda na działania marketingowe czy podstawy przeprowadzania konkursów.

Poradnik napisany został w formie odpowiedzi na osiem praktycznych pytań. Zachęcamy do zapoznania się z całym poradnikiem (do pobrania pod artykułem) oraz przygotowanym przez nas wykazem najważniejszych informacji, które zamieszczamy poniżej.

1. Czy w związku z tym, z punktu widzenia RODO marketing w takich przypadkach odbywa się na podstawie uzasadnionych interesów i nie wymaga zgody, ale konieczne jest odebranie zgody wynikającej z UŚUDE?

Przesyłanie informacji handlowych jest dopuszczalne w oparciu o zgodę odbieraną na podstawie art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną (UŚUDE). W obecnym stanie prawnym zgoda powinna spełniać warunki określone we wskazanym akcie, jednakże po uchwaleniu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 możliwe będzie wyrażenie zgody w formie „wyraźnego działania potwierdzającego” (art. 4 pkt. 11 RODO). Dla przykładu – wystarczy podanie adresu e-mail np. w polu formularza internetowego opisanego słowami „podaj swój adres e-mail, jeżeli chcesz otrzymywać od nas informacje o…”, bez konieczności akceptacji odrębnego „checxboxa”.

2. Czy konieczne jest odebranie odrębnej zgody na podstawie przepisów prawa telekomunikacyjnego na otrzymywanie informacji handlowych drogą telefoniczną?

W przypadku wykorzystywania telefonu w celach marketingowych nie zachodzi potrzeba odbierania odrębnych zgód w myśl art. 10 UŚUDE oraz art. 172 ust. 1 Prawa telekomunikacyjnego, jeżeli obie zgody miałyby dotyczyć tego samego zakresu czynności, np. wysyłki reklamowych wiadomości SMS lub MMS. Brak jest również przeszkód prawnych ku temu, aby jedną zgodą objąć cel prowadzenia marketingu bezpośredniego z wykorzystaniem łączności elektronicznej, co obejmowałoby rozmowy telefoniczne oraz wysyłkę informacji za pośrednictwem poczty elektronicznej. Ocena czy zgoda została skutecznie udzielona powinna być dokonana w oparciu o RODO, które stanowi, iż „zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.

3. W jaki sposób należy spełniać obowiązek informacyjny (banki, ubezpieczyciele).

W ramach odpowiedzi na to pytanie znalazły się uniwersalne wskazówki w zakresie spełniania obowiązku informacyjnego, dotyczące wszystkich administratorów. Jeżeli dane osoby zostały zebrane przed rozpoczęciem stosowania RODO, a wobec tej osoby prawidłowo spełniono obowiązek informacyjny na podstawie obowiązujących wówczas przepisów ustawy o ochronie danych osobowych, to administrator nie ma obowiązku ponownego spełnienia tego obowiązku, podając informacje wynikające z art. 13 i 14 RODO. Przed 25 maja 2018 r. administrator danych powinien dokonać rewizji stosowanych klauzul informacyjnych, tak aby były one zgodne z RODO, a w przypadku konieczności ich uzupełnienia celem zapewnienia transparentności może to zrobić poprzez publikację na stronie internetowej. Powołując się na stanowisko Grupy Roboczej Art. 29, autorzy poradnika wskazali na możliwość „warstwowej” realizacji obowiązku informacyjnego. Zaleca się aby pierwsza warstwa zawierała szczegóły dotyczące celów przetwarzania, tożsamość administratora oraz informację o prawach osoby, której dane dotyczą. Ważność podania tej informacji wynika bezpośrednio, w szczególności, z motywu 39 RODO.

4. Czy przedsiębiorcy zajmujący się świadczeniem usług związanych z zarządzaniem wierzytelnościami i windykacją roszczeń w imieniu i na rachunek wierzyciela, w świetle przepisów RODO, powinni być traktowani jako odrębny administrator takich danych, udostępnionych mu w celu świadczenia usługi, czy też jako podmiot przetwarzający dane osobowe powierzone przez wierzyciela?

Zgodnie z treścią poradnika, nie ma jednoznacznej odpowiedzi na to pytanie – to zależy od tego, kto i w jakim zakresie określa cele i sposoby przetwarzania danych osobowych. Praktyka rynku usług windykacyjnych w Polsce wskazuje na możliwość przyjęcia dwóch koncepcji, w zależności od faktycznie pełnionej roli:

• Przedsiębiorcy, będący firmami windykacyjnymi, którzy kompleksowo zarządzają wierzytelnościami, a tym samym samodzielnie określają cele, sposoby, przetwarzania mają status odrębnego do wierzyciela administratora danych.
• Przedsiębiorcy, będący firmami windykacyjnymi, mają status podmiotu przetwarzającego dane, jeżeli cele i sposoby przetwarzania danych osobowych określa wierzyciel, precyzując je w umowie powierzenia przetwarzania danych.

5. Czy administrator ma obowiązek usunięcia danych, w tym danych wrażliwych (art. 9 RODO) oraz danych dotyczących skazań (art. 10 RODO) w przypadku, gdy dane te zostały przekazane administratorowi z własnej inicjatywy podmiotu danych, tj. bez uprzedniej wiedzy oraz sygnalizowanej przez administratora potrzeby przekazania takich danych?

Zgodnie ze stanowiskiem autorów poradnika: „administrator nie ma obowiązku usunięcia danych (w tym danych wrażliwych wykraczających poza dane, które miał zamiar zebrać), jeżeli z przyczyn technicznych nie jest możliwe ich usunięcie bez jednoczesnego usunięcia danych, które administrator ma prawo przetwarzać (np. kiedy dane wrażliwe znajdują się w jednym piśmie z żądaniem klienta lub jego danymi kontaktowymi)”. Należy jednakże pamiętać o odpowiednim ich zabezpieczeniu, w tym przed nieuprawnionym udostepnieniem oraz możliwie szybkim usunięciu.

6. Kiedy powstaje obowiązek usunięcia danych osobowych z kopii zapasowych systemów informatycznych?

W przypadku ustania podstawy prawnej przetwarzania danych osobowych dane te powinny zostać usunięte (lub zanonimizowane) również z kopii zapasowych. Zgodnie z poradnikiem, jeżeli nie ma technicznej możliwości usunięcia oraz istnieje ryzyko naruszenia praw i wolności wszystkich osób, których dane osobowe są przechowywane w kopii zapasowej, akceptowalnym rozwiązaniem jest, aby dane osobowe były kasowane tylko razem z całą kopią zapasową, po ustaniu podstaw przetwarzania wszystkich zawartych w niej danych osobowych. Autorzy poradnika wyszli naprzeciw oczekiwaniom rynku w tym zakresie. Pamiętać jednakże należy, że w RODO nie odnajdujemy uzasadnienia tak liberalnego stanowiska – prawa osób, których dane dotyczą powinny być w pełni realizowane. Jeżeli mamy taką możliwość, wdrażajmy nadpis po krótkim okresie czasu (np. 30 dni). Tylko tak będziemy mieć pewność, iż żądanie podmiotu danych dotyczące ich usunięcia (art. 17 RODO) będzie w pełni realizowane i nie zdarzy się sytuacja, gdy wraz z kopią zapasową przywrócone zostaną dane, których nie mamy prawa przetwarzać.

7. Czy przepisy odrębnych ustaw dotyczące działalności podmiotów (tzw. regulacje sektorowe) mogą stanowić lex specialis wobec przepisów RODO?

Przepisy „ustaw sektorowych”, które w sposób szczegółowy regulują kwestie przetwarzania i ochrony danych osobowych posiadają status lex specialis w stosunku do RODO, pod warunkiem, iż przewidują dalej idącą ochronę niż wynika to z RODO i ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

8. Czy podstawą przetwarzania danych osobowych na cele przeprowadzenia konkursu jest uzasadniony interes administratora, czy też w tym zakresie zachodzi konieczność pobierania osobnych zgód na przetwarzanie danych osobowych?

W rozumieniu Kodeksu cywilnego (art. 919 i nast.) konkurs ma formę przyrzeczenia publicznego. Administrator danych, organizując konkurs, może przetwarzać dane osobowe uczestników na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO), m.in. w celu: organizacji konkursu, obsługi zgłoszeń, informowania o wynikach i wyłaniania zwycięzców.

Poradnik opracowany został przez Zespół ds. Finansów i Telekomunikacji przy Grupy Roboczej ds. Ochrony Danych Osobowych w ramach Ministerstwa Cyfryzacji. Nie ma mocy prawnie wiążącej – został przesłany Prezesowi Urzędu Ochrony Danych Osobowych, z prośbą o analizę otrzymanego materiału i ustosunkowanie się do zaproponowanych odpowiedzi. Jest on jednakże ważną wskazówką dla przedsiębiorców i pomaga rozwiać wiele wątpliwości związanych z prawidłowym przetwarzaniem danych osobowych.

Poradnik dla sektora FINTECH – do pobrania (.pdf)

Wszystkim przedsiębiorcom dla których RODO to ciągle “czarna magia” polecamy skorzystanie z profesjonalnych usług wdrożenia RODO w firmie.

Powiązane artykuły:

10 wskazówek, jak korzystać z praw gwarantowanych przez RODO – doświadczenia z pierwszego półrocza (wydany przez Urząd Ochrony Danych Osobowych)

10 wskazówek dla administratorów jak stosować RODO – doświadczenia z pierwszego półrocza (wydany przez Urząd Ochrony Danych Osobowych)

Gotowi na RODO – podręcznik (wydany przez Urząd Ochrony Danych Osobowych)

Dokumentacja przetwarzania danych osobowych zgodnie z RODO – wytyczne UODO (wydany przez Urząd Ochrony Danych Osobowych)