Generalny Inspektor Ochrony Danych Osobowych opublikował w 2017 r. wyniki przeprowadzonych w trybie art. 19b ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922) w 20 bankach sprawdzeń zrealizowanych za pośrednictwem Administratorów Bezpieczeństwa Informacji. 14 z 20 kontrolowanych banków przetwarza dane osobowe klientów i potencjalnych klientów w celach marketingowych. Aż w 8 z nich stwierdzono nieprawidłowości związane z konstruowaniem klauzul zgód, które zostały uznane za tzw. „zgody wymuszone”, a więc takie, które nie dawały wyboru osobie składającej oświadczenie. Jak łatwo policzyć, zatem tylko 6 z kontrolowanych banków , prawidłowo konstruuje oświadczenia kierowane do klientów w celu pozyskania ich zgody na:
- przetwarzanie w celach marketingu własnych produktów lub usług,
- przetwarzanie w celach marketingu produktów lub usług innych podmiotów np. z grupy kapitałowej,
- używanie telekomunikacyjnych urządzeń końcowych w celu prowadzenia marketingu bezpośredniego,
- otrzymywanie przez klienta informacji handlowej drogą elektroniczną
Błędy Administratorów Bezpieczeństwa Informacji
Co ciekawe, błędów nie uniknęli również ABI, którzy dokonywali sprawdzeń, a następnie przedstawiali GIODO sprawozdania. Jak stwierdził organ: „(…) poziom sprawdzeń co do ich jakości i kompletności był bardzo zróżnicowany. Niektórzy ABI mieli trudności w dokumentowaniu sprawdzeń, co powodowało konieczność wnioskowania przez organ o przedstawianie dodatkowych wyjaśnień i innych dowodów. Brak wyczerpującego opisu stanu faktycznego lub niezbędnych dowodów uniemożliwia bowiem dokonanie prawidłowej oceny przedłożonego przez ABI sprawozdania.
Niektórzy ABI mieli problemy z identyfikacją nieprawidłowości lub ich kwalifikacją prawną. W kilku przypadkach wystąpiły też błędy proceduralne, np. sprawozdanie było przesyłane bez wymaganego pośrednictwa administratora danych. W niektórych sytuacjach w sprawozdaniu nie wskazano, które z załączonych dokumentów dotyczą poszczególnych ustaleń w nim zawartych.”
Poniżej cytujemy najważniejsze stwierdzenia GIODO ujęte w podsumowaniu:
„Łączenie w jednym oświadczeniu zgód na różne cele przetwarzania danych to jedno z najczęstszych uchybień banków stwierdzonych przez GIODO na podstawie sprawdzeń przeprowadzonych przez ABI. Na podstawie informacji zawartych w sprawozdaniach ze sprawdzeń ustalono, iż osiem banków pozyskuje zgodę na przetwarzanie danych osobowych w celach marketingowych, stosując
- klauzule zawierające łącznie dwie lub więcej z następujących zgód:
- zgodę na przetwarzanie w celach marketingu własnych produktów lub usług,
- zgodę na przetwarzanie w celach marketingu produktów lub usług innych podmiotów,
- zgodę na używanie telekomunikacyjnych urządzeń końcowych w celu prowadzenia marketingu bezpośredniego,
- zgodę na otrzymywanie informacji handlowej drogą elektroniczną.
Tymczasem zawarcie kilku zgód w treści jednego oświadczenia skutkuje brakiem możliwości wyboru zgody, którą zamierza się wyrazić. Oznacza to, że osoba, której dane dotyczą, nie ma swobody w dysponowaniu swoimi danymi osobowymi.”
Jak poprawnie pozyskiwać zgody?
Zgodnie zaś z art. 7 pkt 5 ustawy o ochronie danych osobowych, przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie. Formuła zgody na przetwarzanie danych osobowych powinna zatem stanowić odrębne oświadczenie od innych oświadczeń osoby, której dane dotyczą, zaś z jej treści w sposób niebudzący wątpliwości powinno wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Przy odbieraniu zgody zagwarantowana powinna być opcjonalność, tj. osoba składająca oświadczenie powinna mieć możliwość wyrażenia zgody na określone działania, albo jej niewyrażenia.
Naruszeniem prawa jest też jednoczesne pozyskiwanie zgody na przetwarzanie danych osobowych w celach marketingowych ze zgodą na otrzymywanie informacji i ofert w rozumieniu ustawy o świadczeniu usług drogą elektroniczną. Zgody na przetwarzanie danych osobowych w celach marketingowych nie można bowiem mylić ze zgodą na otrzymywanie informacji handlowych drogą elektroniczną. Są to dwie różne zgody, których uregulowanie znajduje się w dwóch różnych aktach prawnych. Konieczność pozyskiwania zgody na otrzymywanie informacji handlowych drogą elektroniczną wynika z ustawy o świadczeniu usług drogą elektroniczną. Z kolei w określonych sytuacjach, kiedy dane osobowe klientów chce się wykorzystywać w celach marketingowych, to na takie działanie należy pozyskać ich zgodę wyrażoną na podstawie ustawy o ochronie danych osobowych. I choć obie wymienione ustawy przewidują, że zgody nie można domniemywać z oświadczenia woli o innej treści, to jednak przesyłanie informacji handlowych drogą elektroniczną jest innym działaniem niż wykorzystywanie danych osobowych w celach marketingowych inną drogą, niż elektroniczna.
Z inną sytuacją mamy jednak do czynienia wówczas, gdy klienta z firmą, z usług której korzysta, łączy umowa. Wówczas na przetwarzanie jego danych osobowych w celach marketingu własnych produktów i usług tej firmy nie jest potrzebna jego zgoda. W tym przypadku podstawą uprawniającą do wykorzystywania danych osobowych jest bowiem prawnie usprawiedliwiony cel administratora danych, o którym mowa w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Oznacza to, że bank – w celu promowania własnych produktów i usług – może wykorzystywać dane osobowe swoich klientów bez konieczności pozyskiwania na to ich zgody, pod warunkiem że takie działanie nie narusza praw i wolności osób, których dane dotyczą.
Przedsiębiorcy prowadzący swoją działalność marketingową z powołaniem się na ich prawnie usprawiedliwiony cel muszą jednak pamiętać, że ustawa o ochronie danych osobowych zezwala na takie działanie do czasu, gdy klient nie wniesie sprzeciwu w tym zakresie. Od tego momentu wykorzystywanie jego danych w celach marketingowych jest zakazane. Również przetwarzanie danych w celach marketingowych po wygaśnięciu umowy łączącej przedsiębiorcę z klientem jest niedopuszczalne, chyba że wyraził on na to zgodę.
Jeśli zaś przedsiębiorca chce przesyłać swoim klientom oferty innych podmiotów, to na takie działanie musi uzyskać ich zgodę. Nie istnieją bowiem przepisy prawa, które pozwalałyby na przesyłanie oferty marketingowej innego podmiotu bez zgody osoby, której dane dotyczą. Nawet zawarcie przez oba pomioty umowy w sprawie wzajemnej promocji nie jest wystarczającą podstawą do uznania, że wysyłanie oferty marketingowej podmiotu współpracującego jest prawnie usprawiedliwionym celem administratora danych.”
Źródło: http://giodo.gov.pl/259/id_art/10003/j/pl
Zachęcamy Państwa zatem do zapoznania się z pełnym szczegółowym zestawieniem wyników sprawdzeń.
Pliki do pobrania: