Kiedy zgoda nie jest potrzebna?
W ostatnich artykułach dotykających problematyki RODO szczegółowo poruszałem kwestię zgody na przetwarzanie danych osobowych. Wskazywałem, że musi ona po pierwsze charakteryzować się określonymi cechami, a po drugie zawierać odpowiednią treść. W przeciwnym wypadku oświadczenie woli wyrażające zgodę na przetwarzanie danych osobowych będzie nieważne, a w konsekwencji niezgodne z prawem będą wszelkie działania podjęte na tej podstawie. Zgoda na przetwarzanie danych osobowych jest jednak tylko jedną z wielu, s więc nie jedyną, podstaw prawnych umożliwiających przetwarzanie danych.
Zgoda na przetwarzanie danych osobowych nie jest potrzebna przede wszystkim wtedy gdy:
- przetwarzanie danych przez określony podmiot jest niezbędne do wykonania umowy – najbardziej jaskrawym przykładem są tzw. sklepy internetowe, które by wykonać zawartą umowę sprzedaży muszą zamówiony przez nas produkt wysłać na konkretny adres. Koniecznym jest więc przetworzenie danych osobowych jednostki po to by w ogóle mogła ona otrzymać zamówiony przez siebie produkt, a więc jest ono, zgodnie z RODO uważane za niezbędne do wykonania umowy (w tym przypadku umowy sprzedaży),
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (a więc podmiocie decydującym o celach i sposobie przetwarzania zgromadzonych danych osobowych) – np. przetwarzanie danych w celach związanych z prowadzeniem ksiąg rachunkowych nie wymaga zgody osób, których dane dotyczą. Podstawę prawną, która umożliwia, a nawet zobowiązuje do przetwarzania tychże danych stanowią przepisy ustawy o rachunkowości,
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią – idealnie obrazującym to przykładem jest możliwość skierowania do sądu pozwu o zapłatę przeciwko zalegającemu z zapłatą faktury klientowi. W takim przypadku nie został na nas nałożony obowiązek uzyskiwania zgody na przetwarzanie danych osobowych pozywanego przez nas klienta, a więc zamieszczenie jego danych osobowych w treści naszego pozwu. W tym przypadku podstawą prawną przetwarzania danych jest właśnie realizacja prawnie uzasadnionego interesu administratora danych, a więc ubiegającego się o zapłatę przedsiębiorcy.
W tym miejscu warto wspomnieć, iż RODO za uzasadniony prawnie interes administratora danych uznaje także podejmowanie przez niego działań marketingowych polegających w szczególności na promocji i reklamie jego towarów czy usług. Od powyższego ustawodawca unijny przewidział jednak wyjątki. Wyróżnił on bowiem takie działania administratora danych, które mimo, że podejmowane są w w/w celach marketingowych, dla ich legalności wymagają uzyskania stosownej zgody.
Ustawodawca unijny wskazał na konieczność pozyskiwania tego rodzaju zgód jeżeli informacje mające na celu marketing własnych produktów lub usług przekazywane są za pomocą:
- środków komunikacji elektronicznej np. reklam przesyłanych przez administratora danych za pośrednictwem poczty elektronicznej,
- środków telekomunikacyjnych, a więc w szczególności wysyłanie wiadomości SMS zawierających treści reklamowe.
Jak wynika z powyższego, wprowadzenie RODO nie oznacza automatycznie, iż każdy przedsiębiorca i w każdej sytuacji zobligowany będzie do wprowadzenia stosownych zgód. Przeciwnie, każdy przedsiębiorca powinien zastanowić się nad rodzajem i specyfiką działalności gospodarczej, którą prowadzi w kontekście przetwarzania danych, a tym samym zastanowić się nad tym czy obowiązek wprowadzania omawianych zgód w ogóle
go dotyczy. Po takiej analizie może bowiem okazać się, iż podstawę umożliwiającą nam przetwarzanie danych osobowych będzie stanowić jedna z omówionych w niniejszym artykule przesłanek a zgoda jest niepotrzebna.