GIODO podsumowuje sprawdzenia przeprowadzone przez ABI na wniosek organu

Dodano:
GIODO podsumowuje sprawdzenia przeprowadzone przez ABI na wniosek organu

W 2016 roku GIODO zwrócił się do administratorów bezpieczeństwa informacji z 20 banków o przeprowadzenie sprawdzeń zgodności przetwarzania danych osobowych z przepisami. Organ chciał, żeby zbadali oni kwestię działań marketingowych prowadzonych wobec kilentów i osób, które nimi nie są.

Jednym z uchybień, na jakie wskazuje Generalny Inspektor Ochrony Danych Osobowych po analizie sprawozdań od ABI, jest łączenie w jednej klauzuli kilku zgód na przetwarzanie danych w celach marketingowych:

  • zgody na przetwarzanie w celach marketingu własnych produktów lub usług,
  • zgody na przetwarzanie w celach marketingu produktów lub usług innych podmiotów,
  • zgody na używanie telekomunikacyjnych urządzeń końcowych w celu prowadzenia marketingu bezpośredniego,
  • zgody na otrzymywanie informacji handlowej drogą elektroniczną.

Takie uchybienia pojawiły się w sprawozdaniach ze sprawdzeń w 8 bankach. Cztery banki usunęły wykazane uchybienia w toku prowadzonych postępowań administracyjnych i z tych względów postępowania te zostały umorzone. Wobec trzech innych banków GIODO wydał decyzje nakazujące usunięcie naruszeń poprzez zapewnienie swobody w wyrażaniu przez klientów zgody na przetwarzanie danych osobowych w celach marketingu produktów banku.

Prawidłowa klauzula zgody według GIODO

Jak informuje GIODO, zawarcie kilku zgód w treści jednego oświadczenia skutkuje brakiem możliwości wyboru zgody, którą zamierza się wyrazić. Oznacza to, że osoba, której dane dotyczą, nie ma swobody w dysponowaniu swoimi danymi osobowymi.

Ważne:

Przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie (art. 7 pkt 5 ustawy o ochronie danych osobowych).

GIODO przypomina, że formuła zgody na przetwarzanie danych osobowych powinna być odrębnym oświadczeniem od innych oświadczeń osoby, której dane dotyczą, zaś z jej treści w sposób niebudzący wątpliwości powinno wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Przy odbieraniu zgody zagwarantowana powinna być opcjonalność – osoba składająca oświadczenie powinna mieć możliwość wyrażenia zgody na określone działania, albo jej niewyrażenia.

Naruszeniem prawa jest też jednoczesne pozyskiwanie zgody na przetwarzanie danych osobowych w celach marketingowych ze zgodą na otrzymywanie informacji i ofert w rozumieniu ustawy o świadczeniu usług drogą elektroniczną. Zgody na przetwarzanie danych osobowych w celach marketingowych nie można bowiem mylić ze zgodą na otrzymywanie informacji handlowych drogą elektroniczną. Są to dwie różne zgody, których uregulowanie znajduje się w dwóch różnych aktach prawnych.

Konieczność pozyskiwania zgody na otrzymywanie informacji handlowych drogą elektroniczną wynika z ustawy o świadczeniu usług drogą elektroniczną. Z kolei w określonych sytuacjach, kiedy dane osobowe klientów chce się wykorzystywać w celach marketingowych, to na takie działanie należy pozyskać ich zgodę wyrażoną na podstawie ustawy o ochronie danych osobowych. I choć obie wymienione ustawy przewidują, że zgody nie można domniemywać z oświadczenia woli o innej treści, to jednak przesyłanie informacji handlowych drogą elektroniczną jest innym działaniem niż wykorzystywanie danych osobowych w celach marketingowych inną drogą, niż elektroniczna.

Z inną sytuacją mamy jednak do czynienia wówczas, gdy klienta z firmą, z usług której korzysta, łączy umowa. Wówczas na przetwarzanie jego danych osobowych w celach marketingu własnych produktów i usług tej firmy nie jest potrzebna jego zgoda. W tym przypadku podstawą uprawniającą do wykorzystywania danych osobowych jest bowiem prawnie usprawiedliwiony cel administratora danych (art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych). Oznacza to, że bank – w celu promowania własnych produktów i usług – może wykorzystywać dane osobowe swoich klientów bez konieczności pozyskiwania na to ich zgody, pod warunkiem że takie działanie nie narusza praw i wolności osób, których dane dotyczą.

Można korzystać z prawnie usprawiedliwionego celu, ale…

Przedsiębiorcy prowadzący swoją działalność marketingową z powołaniem się na ich prawnie usprawiedliwiony cel muszą pamiętać, że ustawa o ochronie danych osobowych zezwala na takie działanie do czasu, gdy klient nie wniesie sprzeciwu w tym zakresie. Od tego momentu wykorzystywanie jego danych w celach marketingowych jest zakazane. Również przetwarzanie danych w celach marketingowych po wygaśnięciu umowy łączącej przedsiębiorcę z klientem jest niedopuszczalne, chyba że wyraził on na to zgodę.

Jeśli zaś przedsiębiorca chce przesyłać swoim klientom oferty innych podmiotów, to na takie działanie musi uzyskać ich zgodę. Nie istnieją bowiem przepisy prawa, które pozwalałyby na przesyłanie oferty marketingowej innego podmiotu bez zgody osoby, której dane dotyczą. Nawet zawarcie przez oba pomioty umowy w sprawie wzajemnej promocji nie jest wystarczającą podstawą do uznania, że wysyłanie oferty marketingowej podmiotu współpracującego jest prawnie usprawiedliwionym celem administratora danych – informuje GIODO.

Nie wszyscy ABI wiedzieli, jak przeprowadzić sprawdzenie

Wszyscy admnistratorzy bezpieczeństwa informacji, do których GIODO zwrócił się o przeprowadzenie sprawdzenia, wywiązali się z tego obowiązku. Jednak poziom sprawdzeń był bardzo zróżnicowany – informuje GIODO. Niektórzy ABI mieli trudności w dokumentowaniu sprawdzeń, dlatego GIODO musiał występować do nich o przedstawienie dodatkowych wyjaśnień i innych dowodów.

Niektórzy ABI mieli problemy z identyfikacją nieprawidłowości lub ich kwalifikacją prawną. W kilku przypadkach wystąpiły też błędy proceduralne, np. sprawozdanie było przesyłane bez wymaganego pośrednictwa administratora danych. W niektórych sytuacjach w sprawozdaniu nie wskazano, które z załączonych dokumentów dotyczą poszczególnych ustaleń w nim zawartych.

Źródło:

GIODO

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl
Strona używa plików cookies. Korzystając ze strony użytkownik wyraża zgodę na używanie plików cookies.
wiper-pixel