Umowa a przetwarzanie danych osobowych

Maciej Bednarek        07 września 2014        2 komentarze

Jeżeli to, co teraz napiszę, sprawi, że poczujesz się dotknięty, to znak, że masz przed sobą sporo pracy 😉

Odnoszę nieodparte wrażenie, że przedsiębiorcy generalnie (choć z czasem jest coraz lepiej) niewłaściwie podchodzą do kwestii ochrony danych osobowych. Robią to bowiem „po macoszemu”.

Przeglądając regulaminy świadczenia usług, ogólne warunki sprzedaży, projekty umów oraz umowy już realizowane, z przykrością muszę stwierdzić, że popełnianych jest w tej materii bardzo wiele błędów.

Jest kilka kwestii, o których powinieneś pamiętać przy przetwarzaniu danych osobowych w związku z zawarciem umowy. Parę podstawowych błędów nieustannie się powtarza. Warto wiedzieć, jak się przed nimi ustrzec.

Temat jest bardzo obszerny, więc na potrzeby dzisiejszego wpisu ograniczę się do rzeczy według mnie najistotniejszych, a na głębsze omówienie sprawy przyjdzie jeszcze czas.


1. Pamiętaj o tym, że podstawą legalnego przetwarzania danych osobowych jest nie tylko zgoda osoby, której dane chcemy przetwarzać. Ustawa o ochronie danych osobowych zawiera kilka całkowicie równorzędnych przesłanek uprawniających do legalnego przetwarzania danych.

Z punktu widzenia przedmiotu mojego bloga, chciałbym, abyś zapamiętał, że jedną z takich przesłanek jest sytuacja, gdy przetwarzanie danych osobowych „jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą”.

Jeżeli zatem zawierasz umowę z kontrahentem, to całkowicie zbędne jest uzyskiwanie odrębnej zgody na przetwarzanie danych osobowych w związku z realizacją konkretnej umowy. Sytuacja jest jednak inna, gdy planujesz przetwarzać dane osobowe drugiej strony umowy dodatkowo w innych celach.

2. Przy okazji zawierania umów nierzadko próbuje się uzyskać zgody na różnego rodzaju cele w nie zawsze prawidłowy sposób. Nagminne jest łączenie w jednym postanowieniu zgody na przetwarzanie danych osobowych w celach marketingowych, na otrzymywanie informacji handlowej czy też na przekazywanie danych podmiotom trzecim.

GIODO (Generalny Inspektor Ochrony Danych Osobowych) takim praktykom mówi stanowcze „nie”. Zgoda musi być dobrowolna, wyraźna i dotyczyć konkretnego celu. Dodatkowo każdemu przysługuje prawo do odwołania zgody w każdym czasie. Łączenie kilku zgód w jednym postanowieniu jest niedopuszczalne nie tylko dlatego, że nabiera przez to charakteru przymusu, ale również staje się przez to nieczytelne.

Legalność danych osobowych nie jest realizowana, gdy zgody te są ukrywane w regulaminach czy też postanowieniach umowy, które są nienegocjowalne.

Jest jednak optymalne rozwiązanie takiej sytuacji. Aby zapewnić dobrowolność, przejrzystość i wyrazistość udzielanej zgody na przetwarzanie danych osobowych w różnych celach, sugeruję stworzenie załącznika do umowy, który będzie zawierał kilka takich klauzul z pustymi checkboxami (kwadracikami).

To bardzo ważne, by były one puste, a ich zakreślenie nastąpiło dopiero za zgodą drugiej strony. Niektórzy próbują to ominąć (sam byłem niedoszłą ofiarą takiej praktyki), drukując umowy z zaznaczonymi już kwadracikami. Warto być czujnym 😉

3. Jeśli zawierasz umowy cywilnoprawne, to jesteś administratorem danych. Wiąże się z tym szereg obowiązków, które nie zawsze są realizowane. A uwierz mi, warto je spełnić, bo konsekwencje mogą być dotkliwe – w grę wchodzi nie tylko odpowiedzialność cywilnoprawna, ale również karna.

Jakie to obowiązki? Jest ich w istocie bardzo wiele. Począwszy od obowiązku zarejestrowania zbioru danych u GIODO, przez szereg obowiązków informacyjnych, a skończywszy na konieczności zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.


Tak jak wspomniałem na początku, jeśli po przeczytaniu tego wpisu, doszedłeś do wniosku, że pewne nieprawidłowości w przetwarzaniu danych osobowych występują również u Ciebie, to nie czekaj na „uprzejmy” donos życzliwej Ci osoby do GIODO czy też do organów ścigania. Pomyśl o tym, co zmienić, by właściwie przetwarzać dane osobowe.

Współcześnie każdy przedsiębiorca przetwarza dane osobowe, będąc ich administratorem. Są to dane kontrahentów, pracowników, klientów, potencjalnych klientów i wiele innych. Warto zadbać, aby przetwarzać je nie tylko w sposób legalny, ale również bezpieczny.

I nie chodzi tu tylko o obawy przed grożącymi karami; właściwe przetwarzanie danych osobowych można przekuć przecież w sukces, podkreślając tym samym swoją rzetelność i wiarygodność.

{ 2 komentarze… przeczytaj je poniżej albo dodaj swój }

Artur Maj 6, 2015 o 12:50

Witam !

Bardzo ciekawy blog. Przy okazji mam pytanie w powyższym temacie.
Wstęp:
Giodo określa jakie dane może zbierać firma, czyli:
Jeśli przedstawiciele firmy zamierzającej uzyskać dane osobowe twierdzą, że są one konieczne do zawarcia lub wykonania umowy z klientem, to mogą od niego żądać potrzebnych danych. Ale ustawa przewiduje stosowanie zasady adekwatności. Uprawnione jest żądanie danych niezbędnych do osiągnięcia celu, w jakim będą wykorzystane. Zakres żądanych danych zatem w dużej mierze zależy od charakteru zawieranej umowy.
To oczywiście pokrywa się z Pana interpretacją.
Pytanie?
Czy firma zajmująca się sprzedażą towarów lub usług może w związku z powyższym przy zawieraniu umowy, złożeniu przez kontrahenta zamówienia żądać danych typu pesel, numer dowodu, nr telefonu,miejsce zamieszkania przedsiębiorcy czy wspólnika sp zoo – bo tych danych np z Ceidg się nie uzyska a wiadomo jak trudno jest je uzyskac jeżeli przedsiebioce trzeba pozwac o zapłatę.
Moim zdaniem jest to konieczne do indentyfikacji kontrahenta nawet jeśli to jest osoba fizyczna – kontynuujac – nie trzeba zgłaszać zbioru danych do Giodo i moim zdaniem jeżeli przedsibiorca dostaje zamówienie to może zażądać od kontrahenta wypełnienia formularza informacyjnego z żądaniem powyzszych danych – dla przykładu wklejam link do strony jednej z firm które takie warunki współpracy oficjalnie posiada.
http://www.abcdata.com.pl/warunki_wspolpracy
I jeszcze dodatkowe pytanie?
Czy spółdzielnia mieszkaniowa może zbierac dane o swoich członkach – z tego co wiem może ale o osbobach wspólnie zamieszkujących nie. Napewno w celu dochodzenia roszczeń takie dane już bez żadnych watpliwości moze żądać ale po powstaniu zadłużenia może być za późno żeby łatwo takie dane uzyskac od dłużnika.
Widze że Pan wnikliwie analizuje pewne problemu związane z umowami, bede wdzięczny za podzielenie się uwagami i odpowiedzią wna powyższe pytania

Odpowiedz

Maciej Bednarek Czerwiec 4, 2015 o 19:08

Odpowiadając na Pana pierwsze pytanie, uważam, że można oczekiwać od kontrahenta podania przynajmniej części wskazanych przez Pana danych, jest to w jak najlepiej pojętym interesie strony. Natomiast odpowiedź na drugie pytanie wymaga większej uwagi, wykraczając jednocześnie poza zarysowane tematycznie ramy bloga, więc w tej kwestii przyznam sobie prawo do niewypowiadania się 😉

Odpowiedz

Dodaj komentarz

Poprzedni wpis:

Następny wpis: