Jednym z najczęstszych zarzutów podnoszonych wobec RODO jest ogólność zapisów tego rozporządzenia, która powoduje liczne wątpliwości i rozbieżności interpretacyjne. Tym cenniejsze są więc oficjalne wytyczne organów państwowych w zakresie ochrony danych osobowych.
Tego typu wytyczne zawiera opublikowany w końcu listopada 2018 r. przez Ministerstwo Cyfryzacji dokument „RODO – poradnik dla sektora fintech”. Wbrew literalnej nazwie wiele zapisów tego opracowania może z powodzeniem odnosić się jednak nie tylko do firm z tytułowego sektora, ale także do innych podmiotów, w tym do wspólnot mieszkaniowych i zarządców nieruchomości. Prześledźmy zatem te fragmenty.
Co jest dopuszczalne, co zabronione
Wiele wątpliwości budzi kwestia zgód niezbędnych do przesyłania różnymi kanałami komunikacyjnymi niezamówionych informacji handlowych lub marketingowych (np. przez zarządcę do wspólnot, które chciałby on zainteresować swoimi usługami). Analizowany dokument zawiera stwierdzenie, iż administrator może przetwarzać dane osobowe do wysyłania drogą elektroniczną informacji handlowych bez zgody osoby, której dane dotyczą, na podstawie przesłanki tzw. uzasadnionych interesów. Przesyłanie takich informacji jest dopuszczalne w oparciu o zgodę odebraną na podstawie przepisów ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (dalej: uśude). Fakt wyrażenia zgody na przesyłanie informacji handlowych w oparciu o uśude sprawia, że osoba wyrażająca taką zgodę ma rozsądne przesłanki, by spodziewać się, iż może nastąpić przetwarzanie jej danych w tym celu, a zatem nie jest potrzebne odbieranie od niej odrębnej zgody na przetwarzanie danych osobowych na gruncie RODO. Sprawę tę rozstrzyga wprost motyw 47 RODO, zgodnie z którym za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego. Prawa odbiorcy zabezpiecza w tym wypadku możliwość złożenia bezwarunkowego sprzeciwu na przetwarzanie jego danych w celach marketingowych. Zgodnie zaś z art. 10 ust. 2 uśude informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na jej otrzymywanie, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny. Formalna zgoda spełniająca wymogi RODO nie jest zatem niezbędna. Także wszelkie internetowe formularze kontaktowe, w ramach których odbiorca prosi o udzielenie mu odpowiedzi na zadane pytanie lub przekazanie informacji o świadczonych usługach, stanowią formę „zamówienia” informacji handlowej, w związku z czym odpowiedzi na takie pytania można udzielić bez odbierania dodatkowych zgód. Istotne jest przy tym, że w obecnym stanie prawnym zgoda powyższa powinna spełniać warunki określone nie w RODO, a w uśude, należy jednak podkreślić, że projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO zakłada nowelizację uśude w ten sposób, że przesądzi o stosowaniu RODO do oceny skuteczności zgody.
Natomiast w przypadku wykorzystywania w celach marketingowych kanału telefonicznego nie zachodzi potrzeba odbierania odrębnych zgód z art. 10 uśude oraz art. 172 ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne, jeżeli obie zgody miałyby dotyczyć tego samego zakresu czynności, np. wysyłki reklamowych wiadomości SMS lub MMS. Nie dochodzi w tym wypadku do naruszenia zasady dobrowolności zgody poprzez połączenie w jednym oświadczeniu kilku celów, gdyż zgoda wyrażana jest na jeden cel (wysyłka informacji handlowej z wykorzystaniem telekomunikacyjnego urządzenia końcowego), z tym że zastosowanie do niego znajdują dwie odrębne normy prawne. Brak jest również przeszkód ku temu, aby jedną zgodą objąć cel prowadzenia marketingu bezpośredniego z wykorzystaniem łączności elektronicznej, co ujmowałoby zarówno rozmowy telefoniczne jak i wysyłkę informacji pocztą elektroniczną. Zasady nieobejmowania jedną formułą zgody kilku celów nie powinno się bowiem odczytywać jako nakaz odrębnego pytania o zgodę na każdy rodzaj czynności mogących się składać na realizację tego celu.
Warto zamieścić politykę prywatności
Kolejne newralgiczne zagadnienie związane jest z wyrażonym w art. 13 i 14 RODO obowiązkiem podania przez administratora danych osobie, której dane dotyczą, określonych w tych przepisach informacji. Istotną i często podnoszoną kwestią na tle przywołanych przepisów jest czy na administratorze danych ciąży obowiązek informacyjny względem osób, których dane zostały zebrane przed dniem rozpoczęcia stosowania RODO, tj. przed 25 maja 2018 r. Zgodnie z interpretacją Ministerstwa Cyfryzacji RODO nie nakłada na administratorów obowiązku ponownego lub uzupełniającego poinformowania osób o przetwarzaniu ich danych, jeśli zostały one zebrane przed 25 maja 2018 r., o ile cele przetwarzania nie zostały rozszerzone. W zgodzie z zasadą transparentności administrator powinien natomiast udostępnić informacje o przetwarzaniu danych osobowych, w zakresie określonym w art. 13 i 14 RODO, w sposób umożliwiający osobom, których dane dotyczą zapoznanie się z tymi informacjami, np. poprzez zamieszczenie polityki prywatności na swojej stronie internetowej lub udostępnienie jej do wglądu w swojej siedzibie. O braku obowiązku ponownego lub uzupełniającego poinformowania podmiotów danych o przetwarzaniu ich danych przesądza brzmienie art. 13 i 14 RODO. Zgodnie z nimi poinformowanie danej osoby o fakcie przetwarzania jej danych powinno nastąpić „podczas pozyskiwania danych osobowych” (gdy dane zbierane są od osoby, której dotyczą – art. 13) lub co do zasady „w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca” (gdy danych nie pozyskano od tej osoby – art. 14). Normy przepisów art. 13 i 14 RODO aktualizują się zatem tylko w sytuacji gdy dane są pozyskiwane i nie ma powodów, a przede wszystkim prawnych podstaw do tego, aby rozszerzać zakres stosowania tych przepisów na dane zebrane przed rozpoczęciem stosowania RODO. Rozporządzenie nie zawiera przepisów wskazujących terminy ewentualnego ponownego spełniania obowiązku informacyjnego względem osób, których dane zostały zebrane przed 25 maja 2018 r. Należy więc uznać, że prawodawca nie zakładał w ogóle konieczności ponownego spełnienia tego obowiązku. W tym kontekście istotne znaczenie ma także wyrok NSA z 11 kwietnia 2003 r., sygn. akt II SA 1578/02, dotyczący realizacji obowiązku informacyjnego, wynikającego z art. 24 ust. 1 obowiązującej w ówczesnym stanie prawnym ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, w odniesieniu do danych zebranych przed wejściem w życie tej ustawy. NSA uznał (podtrzymując stanowisko wyrażone wcześniej w decyzji GIODO), iż art. 24 ustawy wyraźnie statuuje ten obowiązek „w przypadku zbierania danych osobowych od osoby, której one dotyczą”. Nie odnosi się więc do każdej formy przetwarzania danych, lecz tylko do ich zbierania. Zgodnie zaś z motywem 171 RODO przetwarzanie, które w dniu rozpoczęcia stosowania rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia rozporządzenia w życie zostać dostosowane do jego przepisów. Na gruncie tego motywu w wytycznych Grupy Roboczej Artykułu 29 (dokument WP 260 rev. 01) rekomenduje się, by administrator uczynił informacje odnoszące się do przetwarzania danych osobowych publicznie dostępnymi (np. na stronie internetowej). Tylko w przypadku jeśli zmiany w zakresie przetwarzania danych osobowych są znaczące lub kluczowe powinny zostać aktywnie dostarczone osobie, której dotyczą. Należy zatem uznać, że na administratorze ciąży ponowny obowiązek informacyjny względem osoby, której dane przetwarza, wyłącznie w wypadku zmiany lub uzupełnienia takich informacji i tylko wtedy, jeżeli zmiany te są istotne (zob. Edyta Bielak-Jomaa (red.) „RODO. Ogólne rozporządzenie o ochronie danych”, Warszawa 2018, str. 503).