Marketing a ochrona danych osobowych – źródła powszechnie dostępne

We wcześniejszych artykułach na temat marketingu omówiliśmy kwestie związane z klauzulą zgody oraz wykorzystaniem prawnie usprawiedliwionego interesu. W poniższym artykule postaram się omówić zagadnienia związane z pozyskiwaniem danych ze źródeł powszechnie dostępnych – oczywiście wszystko w celach marketingowych.

W obecnych czasach wiele danych osobowych jest zamieszczanych w internecie. Mamy portale społecznościowe, spisy i ewidencje (Centralna Ewidencja Działalności Gospodarczej oraz Krajowy Rejestr Sądowy) itp.. Wydaje się, że dane osobowe są podane na tacy, wystarczy je tylko wziąć i zacząć przetwarzać we własnych celach np. marketingowych.
Jednakże jeżeli ktoś np. osoba fizyczna prowadząca działalność gospodarczą zamieściła swoje dane w internecie (ponieważ miała taki obowiązek) czy jest to równoznaczne z zezwoleniem na przetwarzanie jej danych osobowych w każdym możliwym celu?
Zacznijmy więc analizę od początku. Jeżeli ze źródeł powszechnie dostępnych ściągniemy informacje na temat osoby fizycznej powinniśmy założyć, iż mamy do czynienia z danymi osobowymi. Mając dane osobowe i przetwarzając je na potrzeby naszej działalności gospodarczej powinniśmy stosować ustawę o ochronie danych osobowych.

Po pierwsze powinniśmy określić podstawę przetwarzania tych danych. Podstawy przetwarzania (zgoda i usprawiedliwiony interes) zostały omówione w poprzednich artykułach. W ramach przypomnienia wskaże tylko najważniejsze różnice pomiędzy tymi przesłankami. Zgoda jako podstawa przetwarzania danych jest bez wątpienia bezpieczniejsza, jednakże jeżeli poprosimy o jej wyrażenie możemy się spotkać z odmową. Oparcie przetwarzania danych na podstawie wyłącznie usprawiedliwionego interesu jest skuteczniejsze niż zbieranie zgód ale niesie z sobą ryzyko prawne, że naruszymy czyjeś prawa i wolności. Kwestia wyważenia skuteczności biznesowej i ryzyka prawnego należy w ostateczności do decyzji administratora danych. Nie należy również zapomnieć o zebraniu zgody na przesyłanie informacji handlowej drogą elektroniczną.

Drugim elementem jest konieczność spełnienia obowiązku informacyjnego. Biorąc pod uwagę okoliczność, iż dane nie zostały zebrane od osoby, której dane dotyczą, należy spełnić obowiązek informacyjny z art. 25 ust. 1 ustawy o ochronie danych osobowych. Klauzula obowiązku informacyjnego może być wysłana maile, pocztą lub smsem. Zakładam przy tym, iż posiadamy dane kontaktowe (numer telefonu lub adres e-mail).

Kolejnym elementem jest rejestracja zbioru danych w biurze Generalnego Inspektora Ochrony Danych Osobowych. Zgłoszenie powinno obejmować wyłącznie dane zwykłe i związku z tym ich przetwarzanie jest już możliwe w momencie złożenia zgłoszenia (nie trzeba czekać na rejestracje).

Ostatnim elementem jest odpowiednie zabezpieczenie przetwarzanych danych osobowych. W ramach odpowiedniego zabezpieczenia należy spełnić wymagania określone w rozdziale 5 ustawy o ochronie danych osobowych, a w szczególności zrealizować wymogi określone w przepisach Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024 z 2004 r.).

 

Marketing a ochrona danych osobowych – zgoda

    Każdy z nas otrzymuje masę niechcianych maili zwierających ofertę marketingową przeróżnych podmiotów. Wiadomości informujące o niezwykle atrakcyjnych ubezpieczeniach czy też unikalna promocja na kosmetyki atakuje nas zaraz po wejściu na skrzynkę mailową. W zdecydowanej większości przypadków wykorzystanie naszych maili, które posiadają przymiot danych osobowych odbywa się z naruszeniem ustawy o ochronie danych osobowych oraz z naruszeniem ustawy o świadczeniu usług drogą elektroniczną. Powstaje więc pytanie jak wysłać ofertę marketingową naszych usług/produktów, abyśmy my nie naruszyli przepisów prawa i nie narazili się na odpowiedzialność karną, administracyjną lub cywilną. Na to zaś pytanie postaram się odpowiedzieć w poniższym artykule.

     Pierwszym krokiem jest określenie podstawy przetwarzania danych w celach marketingowych. Jeżeli mówimy o przetwarzaniu danych w celach marketingowych to mamy dwie przesłanki z art. 23 ust. 1 ustawy o ochronie danych osobowych do wyboru. Dane możemy przetwarzać w celach marketingowych jeżeli posiadamy zgodę osoby, której dane dotyczą lub powyższe przetwarzanie danych stanowi nasz prawnie usprawiedliwiony cel i nie narusza praw i wolności osób, których dane dotyczą. Tyle odnośnie teorii ale jak to przełożyć na praktykę?
Na początek omówimy łatwiejszy sposób, czyli zgodę na przetwarzanie danych.
Jeżeli mamy ważną zgodę na przetwarzanie danych w nasz celach marketingowych możemy wysyłać naszą ofertę na maila do momentu jej odwołania. Dodatkowo powinniśmy posiadać zgodę na wysyłanie oferty handlowej drogą elektroniczną. Powyższych dwóch zgód nie można niestety łączyć w jednym oświadczeniu[1]. Należy w tym miejscu podkreślić, iż na przetwarzanie danych w celach marketingu podmiotów trzecich jest potrzebna odrębna zgoda (podmiotem trzecim w rozumieniu ustawy o ochronie danych osobowych są również podmioty powiązane kapitałowo)[2].

        Jak powinna wyglądać zgoda na przetwarzanie danych?
Po pierwsze powinna być odrębnym oświadczeniem woli, czyli powinna być wyrażana poprzez jakąś odrębną czynność np. poprzez zaznaczenie checkboxa lub podpis. Dodatkowo zgoda nie może być również dorozumiana z oświadczenia woli o innej treści, czyli jeżeli wypełniam kupon promocyjny podając swoje dane osobowe nie jest to równoznaczne z wyrażeniem zgody. Ostatnim przymiotem prawidłowej zgody jest jej dobrowolność tzn. zgody nie możemy jej wymusić[3]. Klauzula zgody na przetwarzanie danych w celach marketingowych spełniająca powyższe przesłanki będzie prawidłowa i po jej uzyskaniu możemy leganie wysyłać naszą ofertę marketingową (nie należy zapomnieć o pozyskaniu zgody na przesyłanie informacji handlowej drogą elektroniczną).

W następnym artykule skomplikujemy sytuacje i opiszemy kiedy nie jest potrzebna zgoda na przetwarzanie danych w celach marketingowych.



[1] I OSK 1317/11

[2] DIS/DEC-63/4537/11 dot. DIS-K-421/83/10 DIS-K-421/143/10

[3] Część doktryny uważa, że możemy w pewnych sytuacjach wymagać wyrażenia zgody. Taka okoliczność ma miejsce kiedy w zamian za wyrażenie zgody np. na marketing świadczymy jakąś usługę.

Podstawa przetwarzania danych osobowych przy rekrutacji

Na rynku panuje chaos jeżeli chodzi o rekrutację pracowników. Część pracodawców żąda, aby na CV znajdowała się zgoda na przetwarzania danych osobowych, część nie wspomina o tym słowem, czasami w ogóle nie wiemy do jakiej organizacji wysyłamy informacje o nas i co się z nimi dzieje. Najczęściej jednak spotykamy się z żądaniem zamieszczanie klauzuli odpowiadającej następującej treści:

„Wyrażam zgodę na przetwarzanie danych osobowych w celach rekrutacyjnych zgodnie z ustawą o ochronie danych osobowych”.

Czy powyższa praktyka jest prawidłowa i czy zgoda jest w ogóle potrzebna do tego, aby potencjalny pracodawca mógł przetwarzać dane osobowe? Z mojej praktyki wiem, że na każde pytanie związane z ustawą z 29 sierpnia 1997 r. o ochronie danych osobowym (Dz. U. z 2002 r. nr 101 poz. 926 z późń. zm., zwaną dalej „Ustawa” ) można odpowiedzieć „to zależy”. Tak będzie i tym razem.

To zależy od tego, w jakich celach te informacje mają być wykorzystane. Czy CV i inne dokumenty aplikacyjne zbierane są tylko w związku z przeprowadzeniem jednej rekrutacji na konkretne stanowisko, czy rekrutacja ma charakter ciągły i fluktuacja pracowników jest tak duża, że co chwila potrzeba nowych osób na podobne stanowiska, czy wreszcie pracodawca chce zachować CV i wykorzystać w przyszłych rekrutacjach.

Z punktu widzenia pracodawcy jako administratora naszych danych, ustawa nakłada na niego, obowiązek posiadania podstawy prawnej. W oparciu o art. 23 ustawy pracodawca może przetwarzać dane osobowe na podstawie przepisów prawa (art. 23 ust. 1 pkt. 2), zgody (art. 23 ust. 1 pkt. 1), umowy z osobą, której dane dotyczą (art. 23 ust. 1 pkt. 3) i usprawiedliwionego interesu administratora danych (art. 23 ust. 1 pkt. 5).

Przepisem prawa, który pozwala pracodawcy żądać danych w określonym zakresie jest art. 22¹ kodeksu pracy. Są to: imiona i nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania, wykształcenie, przebieg dotychczasowego zatrudnienia. Dodatkowego zakresy danych pracodawca może żądać jeżeli ich obowiązek wynika z odrębnych przepisów prawa.

Kolejną przesłanką jest umowa z osobą, której dane dotyczą, a w zasadzie niezbędność do podjęcia działań przed zawarciem umowy, na żądanie osoby, której dane dotyczą. Tą umową, która ma być zawarta jest umowa o pracę, a zakresem danych są te przekazane przez nas w CV i innych dokumentach. Jednak ta podstawa pozwala przetwarzać dane kandydatów do pracy do momentu zakończenia rekrutacji, czyli wyłonienia pracownika i podpisania z nim umowy o pracę.

Jeżeli pracodawca chciałby skorzystać ze zgromadzonych CV w innych lub przyszłych procesach rekrutacyjnych, to powinien pozyskać zgodę od kandydatów do pracy. Jednakże zgoda którą cytowałem na początku jest nieprawidłowa z tego względu że nie wiadomo, komu jest dla kogo jest wyrażana i o jakie procesy rekrutacji się rozchodzi (obecne czy przyszłe). Zgodnie z definicją zgody (art. 7 pkt. 5 ustawy) ta nie może być domniemana ani dorozumiana z oświadczenia woli o innej treści. A ta używana w obrocie stwarza takie zagrożenie. Aby zatem zgoda była prawidłowa należy w niej określić podmiot dla którego jest wyrażana i rodzaj rekrutacji (zakres czynności). Proponujemy zatem, aby zgoda miała następujący kształt:

Wyrażam zgodę dla …………………..(należy wpisać nazwę podmiotu i adres siedziby) na przetwarzaniem przekazanych przeze mnie w CV i liście motywacyjnym danych osobowych w celach przyszłych procesów rekrutacji (włączenia CV do bazy danych kandydatów Spółki)”.

Ostatnią podstawą do przetwarzania danych osobowych jest usprawiedliwiony interes administratora danych i dotyczy sytuacji w której pracodawcy przekazane są przez kandydata do pracy dane, a dotyczące jego osoby, których zakres jest szerszy niż wymienione w przepisach prawa oraz które nie są niezbędne do podjęcia działań przez zawarciem umowy z osobą, której dane dotyczą, przy założeniu, że pracodawca wcześniej nie zbierał zgody na przetwarzanie danych osobowych. Odbywa się to np. dobrowolne umieszczenie zdjęcia na CV przez kandydata.

Kolejnym wymogiem ustawy jest dopełnienie obowiązku informacyjnego, ale o tym szerzej w następnym wpisie.