Partner wydania: 5. CZY ZGODA NA PRZETWARZANIE DANYCH OSOBOWYCH MUSI BYĆ PISEMNA? Administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie danych osobowych. Z tego wynika, że zgoda nie zawsze przybierze postać pisemną, choć oczywiście, jeśli jest ona na piśmie, łatwiej jest nam udowodnić, na co dana osoba ją wyraziła. Czasem jednak wymóg formy pisemnej zgody byłby nierealny, np. jak wskazywałam powyżej na przykładzie zbierania wizytówek podczas imprezy. Trudno byłoby wymagać, by goście podpisywali jeszcze formularze zgody. Uwaga! Goście wrzucający wizytówkę do urny muszą jednak wiedzieć, po co to robią. Jeśli konferansjer zachęca do tego podczas imprezy, bo będą przyznawane nagrody, to nie można potem tak pozyskanych danych wykorzystywać, aby wysyłać nasze materiały promocyjne. Na wykorzystanie danych osobowych na cele promocji musimy mieć odrębną zgodę, niestety najlepiej jednak dla naszego bezpieczeństwa na piśmie, gdyż przetwarzanie nie skonsumuje się na przyznaniu nagród, lecz zapewne będzie rozciągnięte w czasie. Trzeba zatem marketingowo i kreatywnie przemyśleć, jak zachęcić gości do uzupełnienia takiego formularza zgody. 6. JAK POWINNA WYGLĄDAĆ ZGODA NA PRZETWARZANIE DANYCH? Zapytanie o zgodę na przetwarzanie danych powinno być przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. To wszystko oczywiście są kwestie ocenne, być może będzie jednak można wreszcie oczekiwać, że znikną takie formularze zgody, które posługują się drobnym nieczytelnym druczkiem. Jeśli na imprezie dla korporacji można spodziewać się wielu gości z zagranicy, może pojawić się pytanie, czy potrzeba stosować jakiś inny język niż urzędowy w danym państwie? Nie ma takiego wymogu, aczkolwiek najpewniej kwestię tę należałoby rozpatrywać pod kątem tego, do kogo kierowany jest dany formularz zgody, kto jest jego grupą docelową. Osoba musi wiedzieć, co podpisuje, inaczej udzielenie zgody byłoby nieskuteczne. W przypadku imprez międzynarodowych (np. organizacja międzynarodowego kongresu) na pewno celowe byłoby przygotowanie również formularzy co najmniej w języku angielskim, być może też niemieckim i rosyjskim czy francuskim. 7. WYCOFANIE ZGODY NA PRZETWARZANIE DANYCH OSOBOWYCH Pod rządami RODO nadal obowiązuje zasada, że osoba, której dane dotyczą, ma prawo w każdej chwili wycofać zgodę. Jest ona informowana z góry o takiej możliwości. Wycofanie zgody powinno być równie łatwe jak jej udzielenie. Jeśli zatem pozyskujemy zgodę za pośrednictwem naszej strony internetowej w drodze e-formularzy, np. na rozsyłanie biuletynu, powinniśmy również umieścić analogiczne formularze na wycofanie zgody. Niezbędne jest zatem przyjrzenie się, jak wyglądają nasze formularze na stronach internetowych, i dostosowanie ich do nowych wymogów RODO. 8. PRZETWARZANIE DANYCH OSOBOWYCH PRZY BRAKU ZGODY UPRAWNIONEGO Zgodnie z art. 6 akapit 1 RODO, zatytułowanym „Zgodność przetwarzania z prawem”, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim spełniony jest co najmniej jeden z następujących warunków: a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym określonym celu lub ich większej liczbie; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych Dopilnujmy przed wejściem w życie RODO, by pozyskać stosowne zgody od wszystkich, do których kierujemy nasz marketing. Jeśli np. mamy bazę danych osób, do których rozsyłamy newslettery, poświęćmy dzień–dwa na weryfikację, czy w razie kontroli z GIODO będziemy się w stanie okazać stosownymi zgodami. Może trzeba przeprowadzić akcję pozyskania tych zgód, co przy okazji może doprowadzić do ożywienia naszej bazy danych klientów, ale to już zupełnie inny temat, dotyczący marketingu. 58 PRZEGLĄD PRAWNY
RkJQdWJsaXNoZXIy MTMwMjc0Nw==