Jedną z przesłanek legalizujących przetwarzanie danych osobowych jest niezbędność ich przetwarzania celem realizacji umowy zawartej z osobą albo na rzecz osoby, której dane dotyczą. Administrator może też uzasadniać przetwarzanie danych koniecznością podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. W jakich przypadkach można powołać się na taką przesłankę? Jakie warunki muszą być w związku z tym spełnione? Jakie i czyje dane osobowe mogą być przetwarzane z powołaniem się na nią? Sprawdź w temacie tygodnia.
Z tematu tygodnia dowiesz się m.in.:
na jakie przesłanki przetwarzania danych możesz powołać się w związku z umową, którą zawarłeś lub zamierzasz zawrzeć z podmiotem danych,
jak długo możesz przetwarzać dane w związku z umową,
co powinieneś zrobić po upływie okresu, w którym mogłeś przetwarzać te dane,
jakie dane możesz przetwarzać w celu wykonania umowy lub przed jej zawarciem.
Przede wszystkim przetwarzanie danych osobowych jest dopuszczalne, jeżeli jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą (art. 6 ust. 1 lit. b RODO). Jak należy rozumieć tę przesłankę przetwarzania danych.Otóż możesz w oparciu o nią przetwarzać dane osobowe tylko wówczas, gdy zostaną spełnione łącznie 4 warunki:
zawarłeś umowę z osobą, której dane dotyczą (nie chodzi tu przy tym o umowę powierzenia danych osobowych do przetwarzania, czy też inną umowę w tym przedmiocie, a o typową umowę zawieraną pomiędzy przedsiębiorcą a konsumentem, bądź innym przedsiębiorcą),
bez przetwarzania danych osobowych tej osoby nie mógłbyś prawidłowo wykonywać tej umowy,
dane osobowe tej osoby będziesz przetwarzał wyłącznie w celu wykonania wskazanej umowy (jeżeli administrator zamierzałby wykorzystać zgromadzone uprzednio dane klienta lub kontrahenta także na inne cele, wówczas powinien legitymować się odrębną przesłanką przetwarzania danych osobowych, która będzie właściwa dla tego celu),
osoba, której dotyczą dane osobowe, nie wyraziła uprzednio zgody na przetwarzanie jej danych osobowych w celu wykonania umowy (nie należy tego rozumieć w ten sposób, że administrator musi najpierw wystąpić o zgodę drugiej strony umowy na przetwarzanie jej danych)
Konsument zamówił u producenta wykonanie określonego towaru na jego indywidualne zamówienie. W zamówieniu podał swoje dane kontaktowe (telefon, adres e-mail, adres zamieszkania). Producent jako administrator danych może powołać się na przesłankę konieczności prawidłowego wykonania umowy łączącej go z konsumentem umowy. W tym zakresie może przetwarzać dane osobowe konsumenta w następujących celach:
kontaktowanie się z klientem w celu doprecyzowania zamówienia, uzgodnienia materiałów, z których ma zostać ono wykonane, terminów i sposobów dostawy, itp.
wysyłki towaru na wskazany przez klienta adres.
Inaczej niż choćby w przypadku zgody na przetwarzanie danych osobowych z przesłanki konieczności wykonywania umowy można skorzystać tylko i wyłącznie w przypadku przetwarzania danych osobowych zwykłych kategorii. Jako administrator nie możesz przetwarzać danych osobowych „wrażliwych” ani też wyroków skazujących i naruszeń prawa, jeśli przetwarzasz je w cel wykonania umowy. W takim przypadku pozostaje Ci ubieganie się o uzyskanie podmiotu danych, ewentualnie spełnienie innej przesłanki wymienionej w art. 9 ust. 2 RODO.
Ubezpieczyciel może przetwarzać dane osobowe o stanie zdrowia ubezpieczonego celem wykonania umowy ubezpieczenia. W tym celu musi jednak uzyskać zgodę podmiotu danych na przetwarzanie tych danych osobowy
Przesłanka, o której mowa w art. 6 ust. 1 lit. b RODO nie może być wykorzystywana do przetwarzania danych osobowych klienta w celach marketingowych. Nie możesz więc powoływać się na nią, jeśli chcesz przetwarzać dane osobowe w celu:
wysyłania reklam
informowania o akcjach promocyjnych
dodania klienta do bazy zamawiających.
Chcąc przetwarzać dane osobowe klienta w celu stosowania marketingu bezpośredniego, powinieneś sięgnąć do przesłanki ujętej w art. 6 ust. 1 lit. f RODO tj. niezbędności przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Uważaj jednak w przypadkach, gdy podmiot danych jest dzieckiem, a także w innych sytuacjach, w których nadrzędny charakter wobec Twoich interesów mogą mieć interesy lub podstawowe prawa i wolności podmiotu danych, wymagające ochrony danych osobowych.
Na przesłankę z art. 6 ust. 1 lit. b RODO nie możesz powoływać się również w przypadku, gdy chcesz dochodzić lub bronić się przed roszczeniami wynikającymi z zawartej umowy. Także w tej sytuacji właściwą przesłanką przetwarzania danych jest przesłanka wskazana w art. 6 ust. 1 lit. f RODO, a w przypadku podmiotów publicznych - niezbędność wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO).
Dość istotną kwestią jest to, jak długo można przetwarzać dane w oparciu o omawianą podstawę ich przetwarzania. Skoro dane są przetwarzane, bo jest to niezbędne do wykonania umowy, to możesz przetwarzać je tak długo, jak obowiązuje umowa łącząca Cię z podmiotem danych. Co za tym idzie:
wykonanie umowy (w szczególności w przypadku umów rezultatu),
upływ okresu obowiązywania umowy (częściej w przypadku umów starannego działania),
rozwiązanie umowy (za wypowiedzeniem lub bez okresu wypowiedzenia),
wygaśnięcie umowy (wskutek wystąpienia okoliczności niezależnej od stron),
wykluczają dalsze przetwarzanie danych w oparciu o dotychczasową przesłankę ich przetwarzania tj. konieczność wykonywania umowy. W takiej sytuacji nie pozostaje Ci nic innego jak:
odnaleźć inną przesłankę przetwarzania danych osobowych (np. uzyskać zgodę podmiotu danych bądź przetwarzać dane w celu realizacji obowiązku prawnego np. obowiązków podatkowych albo też w celu realizacji usprawiedliwionych interesów administratora – przykładowo w celu dochodzenia roszczeń z tytułu już rozwiązanej umowy),
w braku możliwości zakwalifikowania przetwarzania pod inną przesłankę – usunąć dotychczas przetwarzanie dane osobowe, na żądanie podmiotu danych (art. 17 RODO).
Art. 6 ust. 1 lit. b RODO uprawnia również do przetwarzania danych osobowych, jeżeli jest to konieczne do podjęcia działań na żądanie osoby, której dane dotyczą, jeszcze przed zawarciem umowy. Kiedy możesz powołać się na tę przesłankę? Możesz z niej skorzystać, jeżeli łącznie spełnione są następujące warunki:
umowa jeszcze nie została zawarta (nie ma znaczenia to, czy do jej zawarcia ostatecznie dojdzie),
jako administrator podejmujesz działania wyłącznie w odpowiedzi na żądanie osoby, której dane dotyczą (wszelkie czynności podejmowane przez administratora muszą wynikać z wcześniejszego kontaktu zainicjowanego przez osobę, której dane dotyczą; nie możesz zatem powoływać się na tę przesłankę, jeśli działasz z własnej inicjatywy np. przesyłasz oferty lub informacje handlowe osobom trzecim bez ich żądania),
Twoje działania mają wyłącznie uczynić zadość żądaniu podmiotu danych (nie możesz więc poszerzać zakresu przetwarzanych danych poza to, czego żąda osoba, której dane dotyczą).
Potencjalny klient zwraca się do przedsiębiorcy z zapytaniem o przesłanie cennika, bądź indywidualnej wyceny. W takiej sytuacji przedsiębiorca – administrator danych może przetwarzać dane osobowe tego klienta, ale wyłącznie do przesłania mu żądanych przez niego informacji.
Konsument kieruje do sprzedawcy pytania o towar wystawiony do sprzedaży. Sprzedawca może wówczas przetwarzać dane osobowe (dane kontaktowe klienta), ale wyłącznie do udzielenia mu odpowiedzi na temat tego towaru. Wszelkie inne działania administratora wymagają oparcia na innej podstawie przetwarzania danych.
Także w przypadku przetwarzania danych przed zawarciem umowy z osobą, której dane dotyczą, musisz zadbać o zastosowanie odpowiedniego okresu ich retencji. Może to nastręczać problemy w konkretnych przypadkach.
Kwestia jest oczywista, gdy administrator ostatecznie zawrze umowę z podmiotem danych – w takiej sytuacji kontakt kończy się na wymianie kilku informacji i dalej powoływanie się na tę podstawę przetwarzania danych staje się zbędne, ponieważ uzasadnione jest już stosowanie innej przesłanki, w szczególności konieczności wykonywania umowy.
Problem może natomiast powstać, gdy nie dochodzi do zawarcia umowy. W takiej sytuacji powinieneś ustalić, kiedy stało się już oczywiste, że dalsze rozmowy nie będą kontynuowane i umowa na pewno nie zostanie zawarta – opierając się o okoliczności sprawy i dotychczasowe doświadczenia z klientami.
Potencjalny klient A żądał zyskania informacji na temat ściśle określonego towaru. Towar ten został jednak sprzedany klientowi B. Jest już wiadome, że sprzedaż tego towaru nie jest możliwa w odniesieniu do potencjalnego klienta A. Nie należy więc dalej przetwarzać jego danych osobowych w oparciu o art. 6 ust. 1 lit. b RODO.
Zastanawiasz się, czy w danym przypadku możesz skorzystać z podstawy przetwarzania danych osobowych ujętej w art. 6 ust. 1 lit. b RODO? Skorzystaj zaudytu ochrony danych w Portalu PoradyODO.pl
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl