Świadczenie usług online wiąże się z przetwarzaniem danych osobowych. Ci za tym idzie, administrator świadczący takie usługi musi spełnić wszystkie obowiązki wynikające z RODO. Jednym z nim jest legitymowanie się określoną podstawą przetwarzania danych. Którą podstawę przetwarzania wybrać? W wyjaśnieniu pomoże stanowisko Europejskiej Rady Ochrony Danych.
Najbardziej oczywistą podstawą przetwarzania danych w przypadku świadczenia usług jest art. 6 ust. 1 lit. b RODO, zgodnie z którym przetwarzanie danych osobowych zwykłych będzie możliwe, gdy jest ono konieczne do:
Użytkownik zainteresowany usługą podaje swój kod pocztowy, aby sprawdzić, czy będzie ona świadczona w jego miejscu zamieszkania. W takim przypadku przetwarzanie jego danych osobowych następuje przed zawarciem umowy i jest wynikiem działań na żądanie użytkownika.
Nie jest wykluczone oparcie przetwarzania w związku ze świadczeniem usług online na innych przesłankach niż wymieniona w art. 6 ust. 1 lit. b RODO. Przetwarzanie dokładnie tych samych danych jest bowiem możliwe w więcej niż jednym celu. Co więcej, jak wskazuje EROD, nie należy powoływać się na art. 6 ust. 1 lit. b RODO, gdy dane przetwarzanie nie będzie konieczne do wykonania umowy z użytkownikiem.
Administrator zamierza zabezpieczyć się na wypadek ewentualnych sporów. W takim przypadku podstawą przetwarzania jest art. 6 ust. 1 lit. f RODO, tj. czyli przetwarzanie w ramach prawnie uzasadnionego interesu administratora związanego z dochodzeniem roszczeń i obroną przed takimi roszczeniami.
Administrator zamierza w ramach swojej działalności dodatkowo przesyłać użytkownikom newsletter na temat nowych produktów (niebędących produktami własnymi). Wówczas powinien uzyskać zgodę klienta (art. 6 ust. 1 lit. a RODO). Zauważmy jednak, że uzależnienie zawarcia umowy od zgody na marketing będzie naruszeniem zasady dobrowolności takiej zgody.
Każdorazowo administrator powinien sprecyzować cele planowanego przetwarzania danych i wskazać, które operacje przetwarzania będą niezbędne do wykonania usługi. Pozwoli to:
Według EROD administrator powołujący się na art. 6 ust. 1 lit. b RODO powinien wykazać, w jaki sposób główny przedmiot konkretnej umowy zawartej z użytkownikiem nie będzie mógł zostać faktycznie realizowany bez przetwarzania danych osobowych. Innymi słowy ADO powinien wykazać związek między danymi osobowymi i operacjami przetwarzania a możliwością wykonania usługi świadczonej na podstawie umowy.
Czy taki związek występuje w przypadku przetwarzania danych osobowych w celu wyświetlania reklam? W ocenie Rady, co do zasady przetwarzanie danych osobowych do celów reklamy behawioralnej nie jest niezbędne do wykonania umowy na usługi online. I to nawet wówczas, gdy reklama częściowo finansuje dane przedsięwzięcie biznesowe.
Użytkownik ma zawsze prawo do wniesienia sprzeciwu wobec przetwarzania danych do celów marketingu bezpośredniego na podstawie art. 21 RODO.
Zatem w celu wyświetlania reklam należy powołać się na inną podstawę przetwarzania danych osobowych - zależnie od konkretnego modelu biznesowego, rodzaju przetwarzanych danych oraz kontekstu przetwarzania. Najczęściej będzie to art. 6 ust. 1 lit. a RODO tj. zgoda podmiotu danych a w przypadku marketingu bezpośredniego – art. 6 ust. 1 lit. f RODO.
Administrator powinien uzyskać uprzednią dobrowolną zgodę użytkowników na umieszczenie plików cookie niezbędnych do udziału w reklamie. Dobrowolna zgoda oznacza, że klient został wyraźnie poinformowany, z czym wiąże się jej udzielenie.
Powołanie się na art. 6 ust. 1 lit. b RODO w związku z reklamą może mieć miejsce w jednym przypadku. Stanie się tak wtedy, gdy głównym przedmiotem umowy jest wykonanie usługi polegającej na wyświetlaniu użytkownikom spersonalizowanych reklam np. w oparciu o wypełnione przez nich testy.
|
Biznesowy cel przetwarzania |
Czy możliwe przetwarzanie na podstawie art. 6 ust. 1 lit. b RODO |
|
Poprawa jakości usługi |
Co do zasady brak, ponieważ usługę możemy świadczyć bez realizacji tego celu. Możemy jednak szukać innych przesłanek z art. 6 ust. 1, np. lit. a lub f |
|
Zapobieganie oszustwom (w tym poprzez monitorowanie i profilowanie klientów) |
Co do zasady brak – podstawy szukamy w art. 6 ust. 1 lit. f lub – gdy przepisy szczególne nakładają taki obowiązek – w lit c. |
|
Internetowa reklama behawioralna |
Co do zasady brak – z przyczyn opisanych wcześniej |
|
Personalizacja treści |
Możliwe w niektórych przypadkach – należy przeanalizować charakter świadczonej usługi, oczekiwania przeciętnej osoby, której dane dotyczą (zwłaszcza w świetle warunków świadczenia usługi, jak i sposobu jej reklamowania użytkownikom) oraz to, czy świadczenie usługi jest w ogóle możliwe bez dokonania personalizacji. |
W tym miejscu warto odnieść się do stanowiska przyjętego przez Europejską Radę Ochrony Danych. W stanowisku tym przytoczono przypadek, gdy użytkownik dokonuje bezpośrednich płatności za usługi online, a korzyścią usługodawcy jest w tym przypadku zwłaszcza czerpanie zysków ze sprzedaży usług reklamowych online. EROD wskazała, że: „do celów takiej reklamy zachowanie użytkownika śledzi się często w sposób, którego użytkownik nie jest świadomy i może nie wynikać bezpośrednio z charakteru świadczonej usługi, co w praktyce prawie uniemożliwia osobie, której dane dotyczą, dokonanie świadomego wyboru co do wykorzystania jej danych”. W takim przypadku administrator narusza nie tylko art. 6 RODO, ale też ogólne zasady przetwarzania zawarte w art. 5 RODO.
Jaki z tego wniosek? Nie wystarczy sam wybór podstawy przetwarzania danych. Należy też zachować zgodność z ogólnymi zasadami przetwarzania danych, o których mowa w RODO. W szczególności należy pamiętać, że dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
Administratorem danych osobowych jest dostawca usługi streamingu filmów. Zgodnie z regulaminem usługi „dostawca wykorzystuje przesłane informacje do oferowania produktów i usług najbardziej pasujących do preferencji użytkownika”. Innymi słowy administrator wykorzystuje udostępnione dane użytkownika (ocenę, jaką użytkownik dał określonemu filmowi) do przesyłania mu reklam, w ramach których inny podmiot oferuje nabycie gadżetów związanych z polubionymi filmami.
Przytoczony fragment regulaminu jest niestety zbyt ogólny. Nie daje on bowiem użytkownikom rozsądnych podstaw pozwalających domyślić się, że administrator wykorzystuje dane użytkowników w celu innym niż przesyłanie propozycji obejrzenia filmów podobnych do tych, które polubili. W ten sposób naruszona jest zasada przejrzystości i rzetelności z art. 5 RODO.
Jak EROD rozumie zasadę rzetelności? Według Rady zasada ta uwzględnia:
Należy także zwrócić uwagę na regułę ograniczenia celu przetwarzania. Cel przetwarzania musi być wyraźnie wskazany usługobiorcy.
W przytoczonym powyżej przykładzie usługodawca wprost powinien oświadczyć, że jego usługa ma na celu dopasowywanie do preferencji użytkowników zarówno konkretnych filmów, jak i produktów towarzyszących, takich jak gadżety z tymi serialami związane.
Zdaniem EROD „cel zbierania danych musi być jasno i konkretnie określony (…). (C)el, który jest niejednoznaczny lub ogólny, taki jak na przykład »poprawa doświadczeń użytkowników«, »cele marketingowe«, (...) – co do zasady nie będzie spełniał kryteriów »konkretności«.
Wreszcie nie można zapominać o regule rozliczalności (art. 5 ust. 2 RODO), w myśl której administrator musi być gotowy do wykazania istnienia konkretnej umowy z użytkownikiem, w związku z którą przetwarzane są dane osobowe użytkownika
Ponadto obowiązuje nas nadrzędna zasada rozliczalności (art. 5 ust. 2 RODO). Zgodnie z nią musimy wykazać istnienie konkretnej umowy z użytkownikiem, na potrzeby której przetwarzamy jego dane.
Na koniec warto odnieść się do przetwarzania danych szczególnej kategorii, o których mowa w art. 9 RODO (np. danych o stanie zdrowia). Nie można z góry wykluczyć możliwości ich przetwarzania w związku ze świadczeniem usług online. Nie znaczy to jednak, że takie przetwarzanie będzie powszechne. Sama niezbędność wykonywania umowy w takim przypadku nie wystarczy, ponieważ art. 9 RODO nie przewiduje odpowiednika przesłanki z art. 6 ust. 1 lit. b RODO. Jak wskazano w Wytycznych Grupy Roboczej Art. 29: „(w) art. 9 ust. 2 nie przewidziano, by charakter danych »niezbędnych do wykonania umowy« był wyjątkiem od ogólnego zakazu przetwarzania szczególnych kategorii danych. (…).
Oznacza, to że jeśli administrator świadczący usługi online zamierza przetwarzać dane szczególnej kategorii, to musi powołać się na jedną ze szczególnych przesłanek z art. 9 ust. 2 RODO. Najczęściej będzie to wyraźna zgoda osoby, której dane dotyczą. Zgoda ta nie może być dorozumiana i powinna być udzielona na przetwarzanie konkretnych danych w konkretnym celu.
Użytkownik może złożyć wyraźne oświadczenie o zgodzie przez:
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
