fbpx
Zaznacz stronę

Często pytacie: Czy mogę zbierać takie dane, jak…? I tu padają dziesiątki, mniej lub bardziej oczywistych, przykładów dla małego i większego biznesu. A bez zastanowienia się w jakim celu, jakie dane i na jakiej podstawie chce się te dane zbierać, nie można udzielić jednoznacznej odpowiedzi.

Niestety, nie ma takiej magicznej księgi, którą można otworzyć i przeczytać, że dane X w celu Y każdy przedsiębiorca może pobierać zawsze i wszędzie.

Niestety, nie ma takiej magicznej księgi, którą można otworzyć i przeczytać, że dane X w celu Y każdy przedsiębiorca może pobierać zawsze i wszędzie. Dziwne, prawda? Niekoniecznie. Aby dobrze to wyjaśnić, powiem tak: ustawa o ochronie danych wymienia przypadki, w których dane osobowe mogą być przetwarzane.  Po pierwsze więc, trzeba ustalić czy w Twoim biznesie zachodzi jeden z nich. Jednocześnie, przepisy wprowadzają zasadę adekwatności. Oznacza ona, że można przetwarzać tylko te dane, które są niezbędne i nie dłużej niż do realizacji celu, który chcesz osiągnąć. Po drugie, określ dobrze cel. Po trzecie, zastanów się, jakie dane będą Ci potrzebne. Tu znajdziesz 5 przykładów najbardziej przydatnych celów w mikro i małym biznesie. Oczywiście, w zależności od branży, mogą istnieć jeszcze inne możliwości i przepisy, które umożliwią Ci gromadzenie danych. Skupiam się tu tylko na tych, które zawsze będą występowały w większości biznesów. I podaję konkretne przykłady.

Zanim jednak przejdziesz do przykładów, przeczytaj proszę ten oto niezbędny wstęp, który pomoże Ci lepiej poznać przepisy. Dane osobowe to pojęcie bardzo szerokie.

Każda informacja, która nawet w pośredni sposób przyczyni się do ujawnienia tożsamości osoby fizycznej, jest jedną z danych osobowych.

Imię, nazwisko, adres, telefon, e-mail czy PESEL to podstawowe informacje, które najczęściej podajemy.  W dalszej części omawiam tylko sytuacje spotykane w standardowym biznesie. Co do zasady, dane osobowe, zgodnie z ustawą o ochronie danych osobowych, można gromadzić, jeśli taką możliwość przewiduje sama ustawa.

Sytuacja 1. Osoba, której dane dotyczą, wyraziła na to zgodę. Zgoda jest jedną z możliwości. Nie musi być na piśmie. Warto jednak, w przypadku wątpliwości, mieć dowód, że osoba zgodę wyraziła, ponieważ to po Twojej stronie będzie udowodnienie, że tak było. Nie można też wpisywać domyślnej zgody w regulaminie, którego osoba ta nie miała szansy przeczytać. Zgody nie można też domniemać z wykonywania innej czynności. Często sam fakt podania danych, o ile nie będzie innej podstawy prawnej, nie będzie wystarczający, by uznać, że udostępniając informację o sobie osoba wyrażała tym samym zgodę na ich przetwarzanie. Co ciekawe, zgodę można udzielić także na przyszłość, pod warunkiem, że nie zostanie zmieniony cel, na który godzę się dzisiaj. Pamiętaj, że zgoda w stylu: wyrażam zgodę na przetwarzanie danych zgodnie z ustawą nie ma żadnej mocy! Zgoda musi być wyrażona konkretnej firmie, czy osobie i musi zawierać informację w jakim celu dane są przekazane, np. możesz skorzystać z takiej zgody, jak:

Wyrażam zgodę (tu podaj pełną nazwę i adres) na przetwarzanie danych w celu (wskaż cel). Zdradzę Ci też pewną tajemnicę – wcale nie musisz dodawać popularnego wszędzie sformułowania – zgodnie z ustawą!

Kiedy zgoda będzie potrzebna?

Zgoda będzie szczególnie potrzebna na cel marketingowy, na udostępnienie danych innym podmiotom, na podanie dodatkowych danych podczas rekrutacji i na przetwarzanie danych w celu rekrutacji przyszłych.

Sytuacja 2. Podanie danych jest niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. To sytuacja, w której istnieje konkretny przepis prawa, który umożliwia gromadzenie danych i wyraźnie wskazuje kiedy i jakie dane można przetwarzać, jednocześnie gwarantując danym osobowym pełną ich ochronę.

Kiedy przepis prawa będzie miał zastosowanie w biznesie?

Podczas rekrutacji i zatrudnienia. Kodeks Pracy – a konkretnie art. 22 (1) mówi nam, że pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych, obejmujących imię i nazwisko, datę urodzenia, miejsce zamieszkania (adres do korespondencji),  wykształcenie,  przebieg dotychczasowego zatrudnienia. Na podstawie tych samych przepisów pracodawca ma prawo żądać od pracownika podania takich danych, jak PESEL, czy imiona i nazwiska dzieci, a także innych danych, jeśli obowiązek ich podania będzie wynikał z innych przepisów. Będąc pracodawcą musisz pamiętać, że nie możesz dowolnie kształtować zestawu danych, które będziesz wymagał przy rekrutacji lub zatrudnieniu. Musisz polegać wyłącznie na tym, co umożliwiają Ci przepisy. Na dane, które są wkazane w przepisach nie powinieneś pobierać odrębnej zgody kandydata czy pracownika.

Sytuacja 3. Dane osobowe są konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną. Bardzo popularna sytuacja. Jeśli na żądane osoby, której dane dotyczą zawierana jest umowa i dane są niezbędne jeszcze przed jej podpisaniem – możesz śmiało skorzystać z tej możliwości. Przykład z umową sam w sobie jest dość jasny, ale warto pamiętać, że nie trzeba wyrażać zgody na przetwarzanie danych w celu zawarcia  umowy. Jednak, jak dobrze wiemy, często na umowach są dodatkowe zgody. Tak, one mogą być, ale dotyczą wtedy innych celów przetwarzania, np. osobnej zgody na udostępnienie danych podmiotom XYZ itp. Na to musi być zgoda, ale na sam fakt zawarcia umowy zgody nie potrzebujesz. Umowa w biznesie znajduje oczywiście bardzo szerokie zastosowanie. Warto podkreślić, że ten przepis nie dotyczy tylko umowy na piśmie. Może to być także każdego rodzaju umowa ustna, np. sprzedaży, wypożyczenia.

Sytuacja 4. Dane są wykorzystywane do prawnie usprawiedliwionych celów, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Brzmi tajemniczo, ale zagadka zaraz zostanie rozwiązana. Sama ustawa o ochronie danych wymienia dwa zdarzenia, które można uznać za taki prawnie usprawiedliwiony cel.

Po pierwsze, marketing własnych produktów i usług. Każdy biznes, nawet ten bez ani jednego pracownika, będzie prowadził działania marketingowe. Tak było, jest i będzie. Załóżmy więc, że jesteś właścicielem firmy, która organizuje wycieczki i sprzedaje sprzęt turystyczny. Masz już klientów. Podali swoje dane przy okazji realizacji zamówienia. Posiadasz już ich dane, bo raz już u Ciebie kupili. Na podstawie tego przepisu możesz wysyłać im nowe oferty, by zachęcić ich do ponownego skorzystania z Twojego produktu lub usługi. Ważne, że możliwe jest to tylko wtedy, gdy chcesz promować siebie i swoje usługi. Niemniej, jest jedno ale. Możesz wysłać im ofertę jedynie drogą tradycyjną, czyli idziesz na pocztę, kupujesz znaczek i wysyłasz list. Nawet, jeśli masz e-mail podany w celu realizacji zamówienia, to nadal nie możesz go wykorzystać w celu promocji, chyba, że masz na to zgodę tej osoby. I zapisała się wcześniej na Twój newsletter. Jeśli takiej zgody nie masz, możesz tylko wykorzystać dane w sposób tradycyjny. Pamiętaj jednak, że możesz dane przetwarzać, ale tylko do czasu wniesienia przez tę osobę sprzeciwu. Jeśli otrzymasz od niej sprzeciw, jesteś zobowiązany natychmiast zaprzestać przetwarzania jej danych w tym celu, co oczywiście na ma wpływu na pierwotny cel, dzięki któremu jej dane się u Ciebie znalazły, jak np. realizacja zamówienia.

Po drugie, dochodzenie roszczenia.

W przypadku, gdy dane osobowe są niezbędne do dochodzenia roszczenia, której jesteś stroną dane możesz przetwarzać tak długo, jak jest to konieczne do osiągnięcia tego celu.

W przypadku, gdy dane osobowe są niezbędne do dochodzenia roszczenia, której jesteś stroną dane możesz przetwarzać tak długo, jak jest to konieczne do osiągnięcia tego celu. Jeśli np. Twoja usługa nie została jeszcze rozliczona, ponieważ osoba zalega z płatnością – jej dane możesz tak długo przetwarzać, dopóki należność nie zostanie uregulowana.

Trzeci przypadek, który również będzie usprawiedliwionym celem to bezpieczeństwo osób i mienia. Jeśli podanie danych jest niezbędne w celu właściwego zabezpieczenia zdrowia i życia osób lub wartościowego mienia, możesz je przetwarzać. Takim przykładem będzie podanie danych osobowych w celu umożliwienia dostępu do budynku osobom upoważnionym, np. pracownikom i gościom Twojej firmy.

Inne sytuacje przewidziane w ustawie.

Ustawa o ochronie danych osobowych wymienia jeszcze sytuacje, w których możliwe jest przetwarzanie danych wrażliwych, czyli tych dotyczących stanu zdrowia, kodu genetycznego, przynależności związkowej, skazań, mandatów itp. Na to są w ustawie odrębne przesłanki umożliwiające przetwarzanie. Jednak raczej nie spotkasz ich w swoim biznesie. W tym miejscu dodam, że dane wrażliwe dotyczące pracownika mogą być przetwarzane wyłącznie, gdy zezwala na to konkretny przepis prawa np. Kodeks Pracy. W marketingu natomiast, danych wrażliwych nie można używać nigdy. W tego typu informacjach, jeśli podstawą byłaby zgoda, to, zgodnie z obecnymi przepisami, musiałaby być ona na piśmie. 

Mam nadzieję, że podobał Ci się ten wpis i nieraz jeszcze z niego skorzystasz, by upewnić się, że w podanych przypadkach dane osobowe możesz przetwarzać.

A czy Twoja firma jest już gotowa na RODO? 

Zapoznaj się ze szczegółami mojego autorskiego kursu online, który dostarczy Ci nie tylko niezbędnej wiedzy w pigułce, ale i zapewni wszystkie wzory wymaganych dokumentów, polityk i instrukcji!

CHCĘ POZNAĆ SZCZEGÓŁY KURSU!