– Page 56

użytkownik dostaje link aktywacyjny, w który musi kliknąć, by maile zaczęły do niego spływać. Po pierwsze, mamy wówczas możliwość wykazania, że na newsletter zapisała się osoba, która faktycznie z danego adresu korzysta, po drugie, ale to już spoza kwestii prawnych, eliminujemy w ten sposób tzw. „martwe adresy”. DOBROWOLNOŚĆ WYRAŻENIA ZGODY Zakaz wymuszania zgody na przetwarzanie danych osobowych nie oznacza, że nie można zachęcać do jej udzielenia. Można zaoferować dodatkowe benefity związane z jej udzieleniem, np. zniżkę za naszą usługę itp. Zauważmy, że np. sklepy internetowe standardowo za zapisanie się na na newsletter oferują kilka procent upustu za pierwszy zakup, podobny mechanizm może też zastosować event manager. O CZYM MUSZĘ POINFORMOWAĆ, ZBIERAJĄC ZGODY NA PRZETWARZANIE DANYCH OSOBOWYCH? Art. 13 RODO zawiera całą litanię danych i informacji, które musimy podać podczas pozyskiwania danych osobowych od osoby, której dane dotyczą. Bardzo zwięzłe sformułowanie tych informacji jest praktycznie mało realne. W przypadku zbierania danych przez stronę internetową wyświetlenie takiego formularza można sobie wyobrazić, natomiast ciężko raczej oczekiwać, że w bezpośrednim kontakcie z osobą, ktokolwiek poda komukolwiek pełny zakres takich informacji. Wyobraźmy sobie, że bierzemy od klienta wizytówkę i pytamy się, czy ten adres będziemy mogli dodać do naszej listy mailingowej. Po pierwsze, dla celów dowodowych musielibyśmy dla pewności nagrać taką rozmowę (na administratorze spoczywa obowiązek wykazania, że zgoda została uzyskana), po drugie, klient musiałby spokojnie odczekać 5 minut na wysłuchanie wszelkich informacji, kto jest administratorem, jakie prawa mu przysługują itd. Rozsądniej zatem będzie wysłać do klienta zapytanie mailem, czy możemy go dołączyć do takiej listy, przy czym w mailu powinien znaleźć się mechanizm pozyskiwania zgody, a także wymagana RODO informacja wraz z potwierdzeniem, że klient się z nią zapoznał, zanim zaczniemy cokolwiek do niego wysyłać. Nadmieniam, że już same pozyskanie wizytówki jest zbieraniem danych osobowych, a zatem ich przetwarzaniem, co oznacza, że już na tym etapie winniśmy mieć zgodę na korzystanie z tych danych w określonym celu i spełnić wyżej wskazany obowiązek informacyjny. Na szczęście samo działanie potwierdzające może stanowić domniemaną zgodę, udowodnienie jednak celów, dla których zgoda została udzielona, bez posiadania pisemnego oświadczenia, może być w praktyce znacznie utrudnione. O ile w przypadku e-commerce mamy od tego stosowne formularze, to jednak branża eventowa oparta jest głównie na kontaktach osobistych, a nawet prywatnych, zatem wszelkie próby jej formalizacji mogą być niemile widziane z punktu widzenia podtrzymywania z klientem lub potencjalnym klientem dobrych relacji. Jak zawsze pozostaje rozsądne wyważanie ryzyka, choć oczywiście nie namawiam do łamania obowiązującego prawa. JAKICH „CHWYTÓW” EVENT MANAGER NIE POWINIEN STOSOWAĆ, BUDUJĄC LISTĘ MAILINGOWĄ? Przede wszystkim niech ilość nie idzie w jakość. Skoro zgoda na przetwarzanie danych osobowych w konkretnym celu ma być w określony sposób udzielona, nie stosujmy zabiegów, które jej pozyskanie czynią co najmniej wątpliwym, o ile nie w ogóle sprzecznym z prawem. Milczenie naszego partnera w zakresie wyrażenia zgody, okienka domyślnie zaznaczone, które mają potwierdzać wyrażenie zgody na mailing lub niepodjęcie działania nie powinny być interpretowane jako zgoda. Zgoda na przetwarzanie danych osobowych nie może być także ukryta w regulaminie, polityce prywatności itp. Takie i podobne działania wpływają na dobrowolność i konkretność zgody na przetwarzanie danych osobowych, zgodnie z jej definicją z art. 4 RODO. ZGODY NA PRZETWARZANIE DANYCH OSOBOWYCH UZYSKANE PRZED RODO W motywie 171 preambuły RODO wyjaśniono, iż jeżeli dotychczasowe przetwarzanie ma za podstawę zgodę uzyskaną na podstawie obecnych przepisów, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom RODO. Ponieważ jednak taka osoba raczej nie była tak szeroko informowana o swoich uprawnieniach, danych administratora i podstawach przetwarzania, przyjdzie nam ją o tym poinformować. WYCOFANIE ZGODY NA PRZETWARZANIE DANYCH OSOBOWYCH Zgodnie z art. 7 ust. 3 RODO osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody Zgodnie z art. 4 pkt 11 RODO, „(…)„zgoda” osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”. Partner wydania: 54 PRZEGLĄD PRAWNY

Made with FlippingBook

RkJQdWJsaXNoZXIy MTMwMjc0Nw==