EROD
w swoich wytycznych wydanych w dniu 8 października 2019 r. skierowanych do
podmiotów świadczących usługi społeczeństwa informacyjnego wskazuje na pojęcie
„konieczności” i „niezbędności”
w odniesieniu do danych osobowych, będących elementem zawieranych umów w ramach
usług świadczonych online, których to przetwarzanie odbywa się na podstawie
art. 6 ust. 1 lit b RODO.
Oznacza to, że przetwarzanie danych osobowych na podstawie umowy, może odnosić się wyłącznie do danych osobowych, bez których nie jest możliwe zawarcie i zrealizowanie umowy. Przetwarzanie musi być konieczne do zawarcia umowy i obiektywnie konieczne do podjęcia działań prowadzących do zawarcia umowy. Dla przetwarzania wszystkich innych danych osobowych, które nie są niezbędne i konieczne do zawarcia i zrealizowania umowy należy znaleźć inną podstawę prawną przetwarzania, bowiem według EROD sama klauzula umowna lub zapis regulaminu usług świadczonych drogą elektroniczną, wskazujące na to, że konkretna dana osoba jest niezbędna do zawarcia umowy nie powoduje, że przetwarzanie tej danej osobowej zostanie zalegalizowane w oparciu o art. 6 ust. 1 lit b RODO.
EROD wskazuje, że cel przetwarzania danych osobowych w ramach zawieranych umów online musi być jasno i szczegółowo określony z uwagi na zasadę ograniczonego celu, na którą wielokrotnie w swych wytycznych powoływała się Grupa Robocza art. 29, do której odwołuje się EROD. Wskazany cel przetwarzania danych osobowych, który będzie niejasny lub zbyt ogólny nie będzie spełniał kryterium bycia „konkretnym”.
EROD wyjaśnia, że jeśli przetwarzanie określonej danej osobowej nie jest „niezbędne do wykonania umowy” to legalizacja takiego przetwarzania może odbywać się na podstawie zgody udzielonej przez klienta lub w oparciu o prawnie uzasadniony interes podmiotu zawierającego umowę online z klientem, przy czym muszą być spełnione przesłanki z art. 6 ust. 1 lit a RODO w przypadku zgody oraz z art. 6 ust. 1 lit. f RODO w przypadku prawnie uzasadnionego interesu administratora danych – usługodawcy. Ponadto, należy zrealizować obowiązek informacyjny zgodnie z art. 13 RODO.
EROD podkreśla, że inna zgodna z prawem podstawa przetwarzania danych osobowych niż art. 6 ust. 1 lit. b RODO może lepiej pasować do celu i kontekstu danej operacji przetwarzania. EROD przestrzega przy tym, ze wyrażenie przez klienta zgody na przetwarzanie danych osobowych jest zupełnie odmienną czynnością od akceptacji warunków umowy zawieranej online. W związku z powyższym ważne jest, aby odróżnić akceptację warunków świadczenia usług w celu zawarcia umowy od wyrażenia zgody w rozumieniu art. 6 ust. 1 lit. a RODO, ponieważ niesie to za sobą odmienne konsekwencje prawne.
Wracając do
kwestii przetwarzania danych osobowych klienta w oparciu o art. 6 ust. 1 lit b
RODO wskazać należy, że ważną kwestią jest związek między danymi osobowymi i
operacjami przetwarzania, których dotyczą, a wykonywaniem usługi świadczonej na
mocy umowy zawartej drogą online. Umowy online mogą zawierać dodatkowe warunki
dotyczące reklamy, płatności lub plików cookies. Umowa nie może zatem sztucznie
rozszerzać kategorii danych osobowych ani rodzajów operacji przetwarzania,
które administrator musi wykonać w celu wykonania umowy w rozumieniu art. 6
ust. 1 lit. b RODO. Aby prawidłowo ocenić, czy pozyskiwanie określonych danych
osobowych w ramach konkretnej umowy uznać można za konieczne
i tym samym przetwarzać je na podstawie art. 6 ust. 1 lit. b RODO, należy
odpowiedzieć sobie na kilka podstawowych pytań:
Kryteria:
- Jaki jest charakter usługi świadczonej na rzecz osoby, której dane dotyczą?
- Jakie są cechy wyróżniające świadczonej usługi?
- Co jest podstawowym przedmiotem umowy?
- Jakie są zasadnicze elementy umowy?
- Czy i w jaki sposób usługa reklamuje osobę, której dane dotyczą?
- Czy potencjalny użytkownik może oczekiwać, że biorąc pod uwagę charakter usługi, jego dane osobowe będą przetwarzane wyłącznie w celu realizacji umowy?
Jeżeli ocena tego, co jest „niezbędne do wykonania umowy”, którą należy przeprowadzić przed rozpoczęciem przetwarzania, wykazuje, że zamierzone przetwarzanie wykracza poza to, co jest obiektywnie konieczne do wykonania umowy, nie świadczy to jeszcze o tym, że przetwarzanie jest niezgodne z prawem jako takie, bowiem należy wówczas zbadać inne podstawy przetwarzania danych osobowych przed rozpoczęciem ich przetwarzania w oparciu o przesłanki z art. 6 ust. 1 RODO.
EROD podkreśla, że jeżeli w okresie korzystania z usługi świadczonej drogą online, wprowadzana jest nowa technologia, która zmienia sposób przetwarzania danych osobowych lub usługa ewoluuje w inny sposób, należy ponownie odpowiedzieć na ww. pytania w celu ustalenia, czy wszelkie nowe lub zmienione operacje przetwarzania mogą być oparte na art. 6 ust. 1 lit. b RODO.
Jako świetny przykład tego, co zostało wyżej opisane EROD podaje kazus dotyczący zakupów internetowych dokonywanych przez klienta, który zamierza zapłacić za zakupy kartą kredytową i zależy mu, aby towar został doręczony do punktu odbioru. Aby zrealizować umowę, sprzedawca musi przetworzyć dane karty kredytowej do celów płatności. Z uwagi jednak na to, że klient wybrał przesyłkę do punktu odbioru przetwarzanie jego adresu domowego nie może być oparte o art. 6 ust. 1 lit b RODO, bowiem nie jest konieczne do zawarcia i wykonania umowy. Adres klienta może być natomiast wskazany przez niego dobrowolnie na podstawie zgody (art. 6 ust. 1 lit. a RODO) w celu ustalenia przez sprzedawcę na tej podstawie najbliższego, dostępnego punktu odbioru przesyłki zamówionej przez klienta.
EROD w swych wytycznych odnosi się również do sytuacji, gdy umowa składa się z kilku oddzielnych usług, które w rzeczywistości mogą być realizowane, co do zasady niezależnie od siebie. W takiej sytuacji należy badać podstawy przetwarzania danych osobowych oddzielnie dla każdej usługi, aby ustalić, co jest obiektywnie niezbędne do wykonania poszczególnych usług.
Ocena ta może ujawnić, że niektóre czynności przetwarzania nie są konieczne dla wykonania poszczególnych usług na rzecz klienta, ale są konieczne dla lepszej funkcjonalności modelu biznesowego administratora, wówczas do zalegalizowania takiego procesu, administrator będzie musiał „sięgnąć” po inne podstawy przetwarzania danych osobowych, o ile będzie to możliwe.
Wytyczne EROD odnoszą się też do przetwarzania danych osobowych po rozwiązaniu umowy np. w celach księgowych czy dochodzenia ewentualnych roszczeń. W takiej sytuacji podstawą prawną przetwarzania danych klienta podanych przy zawarciu umowy drogą online będzie odpowiednio art. 6 ust. 1 lit c RODO oraz art. 6 ust. 1 lit. f RODO, przy czym klient misi być poinformowany o okresie retencji przetwarzania danych osobowych ze względu na wyżej określone cele (art. 13 RODO).
Europejska Rada Ochrony Danych opisuje też szczególne przypadki przetwarzania danych klientów w takich celach jak: ulepszanie usług świadczonych przez administratora, zapobieganie oszustwom internetowym, marketing bezpośredni czy personalizacja treści, wskazując przy tym, kiedy podstawą prawną może być art. 6 ust. 1 lit b RODO a kiedy proces należy zalegalizować w oparciu o inną podstawę prawną przetwarzania.
Ulepszenie usług
Administratorzy świadczący usługi drogą online często zbierają szczegółowe informacje o tym, w jaki sposób użytkownicy korzystają z ich usług. W większości przypadków gromadzenie wskaźników organizacyjnych związanych z usługą lub szczegółami zaangażowania użytkowników nie jest uważane za konieczne do świadczenia usługi, ponieważ usługa mogłaby być świadczona w przypadku braku przetwarzania takich danych osobowych. Usługodawca może jednak być w stanie polegać na alternatywnych, legalnych podstawach takiego przetwarzania, takich jak uzasadniony interes lub zgoda. EROD wskazuje, że art. 6 ust. 1 lit. b RODO nie jest odpowiednią podstawą prawną do przetwarzania danych w celu ulepszenia usługi lub opracowania nowych funkcji w ramach istniejącej usługi. W większości przypadków klient zawiera umowę w celu skorzystania z już istniejącej usługi. Podczas gdy możliwość ulepszeń i modyfikacji usługi może być rutynowo uwzględniona w warunkach umownych, to takiego przetwarzania zwykle nie można uznać za obiektywnie konieczne do wykonania umowy z użytkownikiem.
Zapobieganie oszustwom
Przetwarzacie danych osobowych klientów w celu zapobiegania oszustwom może obejmować monitorowanie i profilowanie klientów. Zdaniem EROD takie przetwarzanie może również wykraczać poza to, co jest obiektywnie konieczne do wykonania umowy z osobą, której dane dotyczą, jednakże przetwarzanie danych osobowych do celów zapobiegania oszustwom może stanowić uzasadniony interes administratora danych, dlatego należy uznać je za zgodne z prawem, jeżeli administrator danych spełnia szczególne wymogi art. 6 ust. 1 lit. f RODO. Ponadto EROD wskazuje, że podstawą takiego przetwarzania może być również art. 6 ust. 1 lit c RODO.
Przetwarzanie w ramach marketingu bezpośredniego
EROD podkreśla, że tzw. internetowa reklama behawioralna oraz powiązane śledzenie i profilowanie osób, których dane dotyczą są często wykorzystywane w usługach finansowych online. EROD, podobnie jak grupa robocza art. 29 stoi na stanowisku, że art. 6 ust. 1 lit. b RODO nie jest odpowiednią podstawą prawną do budowania profilu gustów użytkownika i wyborów stylu życia na podstawie jego strumienia kliknięć na stronie internetowej i zakupionych produktów. Wynika to z faktu, że administrator danych nie ma obowiązku profilowania klienta, tylko jest zobowiązany na podstawie zawartej umowy do dostarczenia mu określonych towarów i usług. W związku z tym, działania w zakresie marketingu bezpośredniego, o których mowa powyżej nie są niezbędne do realizacji usługi na rzecz klienta zgodnie z zwarą umową drogą online, tym bardziej, że osoba której dane dotyczą ma prawo do złożenia sprzeciwu w zakresie przetwarzania jej danych osobowych w przypadku marketingu bezpośredniego do czego uprawnia ją art. 21 RODO.
Personalizacja treści
Personalizacja treści może stanowić nieodłączny i specjalistyczny element niektórych usług internetowych, a zatem może być uważana za niezbędną do wykonania umowy. To, czy takie przetwarzanie można uznać za nieodłączny aspekt usługi online, będzie zależeć od charakteru świadczonej usługi, oczekiwań przeciętnego podmiotu danych w świetle nie tylko warunków usługi, ale także sposobu, w jaki usługa jest promowana wśród użytkowników, oraz czy usługa może być świadczona bez personalizacji. Gdy personalizacja treści nie jest obiektywnie konieczna do celów umowy, na przykład gdy spersonalizowane dostarczanie treści ma na celu zwiększenie liczby użytkowników administratorzy danych powinni rozważyć alternatywną podstawę prawną przetwarzania danych.
Wnioski
Podsumowując wskazać należy, że zdaniem Europejskiej Rady Ochrony Danych, administrator przy zawieraniu umów drogą online może przetwarzać w oparciu o art. 6 ust. 1 lit. b RODO wyłącznie te dane osobowe klienta, których przetwarzanie jest obiektywnie niezbędne do zawarcia umowy i wykonania usługi zamówionej przez klienta. Przetwarzanie pozostałych danych osobowych powinno zostać zalegalizowane przez administratora w oparciu o inną podstawę prawną przetwarzania określoną w art. 6 ust. 1 RODO i prawidłową realizację obowiązków informacyjnych zgodnie z treścią art. 13 i 14 RODO.
Wytyczne EROD - źródło:
adw. Piotr Stankiewicz