Zawarcie umowy jest jedną z postaw, na mocy której możemy przetwarzać czyjeś dane osobowe. Nie zawsze jednak sam fakt zawarcia umowy będzie wystarczający do przetwarzania wszystkich powierzonych nam danych.
W październiku b.r. Europejska Rada Ochrony danych Osobowych (European Data Protection Board), wydała wytyczne w sprawie umów online jako podstawy przetwarzania danych (pełna nazwa: Guidelines 2/2019 onthe processing of personal data under Article 6(1)(b) GDPR in the context of the provision of onlineservices to data subjects).
Dla kogo jest przeznaczony powyższy dokument?
Wytyczne przygotowano dla podmiotów świadczących tzw. usługi społeczeństwa informacyjnego (a więc szeroko rozumiane usługi on-line), w ramach których zawierane są umowy z konsumentami. Warto zaznaczyć, że nie chodzi jedynie o świadczenia, których koszty pokrywane są usługobiorców (nabywców), ale także dostawców, m.in. reklamy internetowe, w tym reklamy dedykowane, bazujące na mechanizmach profilowania. EROD dzieli operacje danych na dwie grupy: operacje bez których w ogóle nie można świadczyć usługi oraz pozostałe operacje.
Jedną z podstaw przetwarzania, jest umowa, zgodnie z art. 6 ust. 1 lit. b RODO. Co jednak istotne, na podstawie umowy – zgodnie z wytycznymi EROD – można przetwarzać jedynie dane niezbędne do jej wykonania. Tak więc w przypadku przetwarzania danych, które nie są do wykonania tej umowy niezbędne, a tylko przydatne, należy znaleźć inną podstawę przetwarzania. Może to być uzasadniony interes administratora (trzeba go wskazać) albo zgoda użytkownika (tutaj należy liczyć się z możliwością jej cofnięcia w dowolnym czasie). Przykładem jest sytuacja, zawieramy z klientem umowę sprzedaży. Jeśli na etapie zawierania tej umowy żądamy podania również numeru telefonu, który nie jest niezbędny do dostarczenia towaru, użytkownik powinien wyrazić zgodę na jego przetwarzanie.
Zgodnie z wytycznymi EROD, w celu dokonania oceny czy zastosowanie ma art. 6 ust. 1 lit. b RODO, tj. czy podstawą przetwarzania w danej sytuacji będzie umowa, warto odpowiedzieć sobie na następujące pytania:
- Jaki jest charakter usługi świadczonej na rzecz osoby, której dane dotyczą? Jakie są jej cechy wyróżniające?
- Jakie jest dokładne uzasadnienie umowy (tj. jej treść i podstawowy przedmiot/cel)?
- Jakie są zasadnicze elementy umowy? W jaki sposób usługa promowała lub reklamowała osobę, której dane dotyczą? Czy zwykły użytkownik usługi miałby uzasadnione oczekiwania, że biorąc pod uwagę charakter usługi, przewidywane przetwarzanie będzie miało miejsce w celu wykonania umowy, której jest stroną?
Należy mieć na względzie, iż wytyczne EROD są jedynie „wskazówkami” do działania dla administratorów danych; nie stanowią zaś przepisów powszechnie obowiązującego prawa.
Pełny tekst wytycznych EROD (w jęz. angielskim) dostępny jest TUTAJ.
