Aktualny

Jak przetwarzać dane osobowe w związku z zawarciem i wykonaniem umowy – 7 wskazówek dla ADO

Michał Koralewski

Autor: Michał Koralewski

Dodano: 26 lutego 2019
Umowa o pracę

Jedną z przesłanek legalizujących przetwarzanie danych osobowych jest niezbędność ich przetwarzania celem realizacji umowy zawartej z osobą albo na rzecz osoby, której dane dotyczą. Administrator może też uzasadniać przetwarzanie danych koniecznością podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. W jakich przypadkach można powołać się na taką przesłankę? Jakie warunki muszą być w związku z tym spełnione? Jakie i czyje dane osobowe mogą być przetwarzane z powołaniem się na nią? Sprawdź w temacie tygodnia.

Z tematu tygodnia dowiesz się m.in.:

  • na jakie przesłanki przetwarzania danych możesz powołać się w związku z umową, którą zawarłeś lub zamierzasz zawrzeć z podmiotem danych,

  • jak długo możesz przetwarzać dane w związku z umową,

  • co powinieneś zrobić po upływie okresu, w którym mogłeś przetwarzać te dane,

  • jakie dane możesz przetwarzać w celu wykonania umowy lub przed jej zawarciem.

Przetwarzanie tylko z uwagi na konieczność wykonania umowy

Przede wszystkim przetwarzanie danych osobowych jest dopuszczalne, jeżeli jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą (art. 6 ust. 1 lit. b RODO). Jak należy rozumieć tę przesłankę przetwarzania danych.Otóż możesz w oparciu o nią przetwarzać dane osobowe tylko wówczas, gdy zostaną spełnione łącznie 4 warunki:

  • zawarłeś umowę z osobą, której dane dotyczą (nie chodzi tu przy tym o umowę powierzenia danych osobowych do przetwarzania, czy też inną umowę w tym przedmiocie, a o typową umowę zawieraną pomiędzy przedsiębiorcą a konsumentem, bądź innym przedsiębiorcą),

  • bez przetwarzania danych osobowych tej osoby nie mógłbyś prawidłowo wykonywać tej umowy,

  • dane osobowe tej osoby będziesz przetwarzał wyłącznie w celu wykonania wskazanej umowy (jeżeli administrator zamierzałby wykorzystać zgromadzone uprzednio dane klienta lub kontrahenta także na inne cele, wówczas powinien legitymować się odrębną przesłanką przetwarzania danych osobowych, która będzie właściwa dla tego celu),

  • osoba, której dotyczą dane osobowe, nie wyraziła uprzednio zgody na przetwarzanie jej danych osobowych w celu wykonania umowy (nie należy tego rozumieć w ten sposób, że administrator musi najpierw wystąpić o zgodę drugiej strony umowy na przetwarzanie jej danych)

Przykład

Konsument zamówił u producenta wykonanie określonego towaru na jego indywidualne zamówienie. W zamówieniu podał swoje dane kontaktowe (telefon, adres e-mail, adres zamieszkania). Producent jako administrator danych może powołać się na przesłankę konieczności prawidłowego wykonania umowy łączącej go z konsumentem umowy. W tym zakresie może przetwarzać dane osobowe konsumenta w następujących celach:

  • kontaktowanie się z klientem w celu doprecyzowania zamówienia, uzgodnienia materiałów, z których ma zostać ono wykonane, terminów i sposobów dostawy, itp.

  • wysyłki towaru na wskazany przez klienta adres.

Jedynie dane zwykłe

Inaczej niż choćby w przypadku zgody na przetwarzanie danych osobowych z przesłanki konieczności wykonywania umowy można skorzystać tylko i wyłącznie w przypadku przetwarzania danych osobowych zwykłych kategorii. Jako administrator nie możesz przetwarzać danych osobowych „wrażliwych” ani też wyroków skazujących i naruszeń prawa, jeśli przetwarzasz je w cel wykonania umowy. W takim przypadku pozostaje Ci ubieganie się o uzyskanie podmiotu danych, ewentualnie spełnienie innej przesłanki wymienionej w art. 9 ust. 2 RODO.

Przykład

Ubezpieczyciel może przetwarzać dane osobowe o stanie zdrowia ubezpieczonego celem wykonania umowy ubezpieczenia. W tym celu musi jednak uzyskać zgodę podmiotu danych na przetwarzanie tych danych osobowy

Odpadają cele marketingowe

Przesłanka, o której mowa w art. 6 ust. 1 lit. b RODO nie może być wykorzystywana do przetwarzania danych osobowych klienta w celach marketingowych. Nie możesz więc powoływać się na nią, jeśli chcesz przetwarzać dane osobowe w celu:

  • wysyłania reklam

  • informowania o akcjach promocyjnych

  • dodania klienta do bazy zamawiających.

Uwaga

Chcąc przetwarzać dane osobowe klienta w celu stosowania marketingu bezpośredniego, powinieneś sięgnąć do przesłanki ujętej w art. 6 ust. 1 lit. f RODO tj. niezbędności przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Uważaj jednak w przypadkach, gdy podmiot danych jest dzieckiem, a także w innych sytuacjach, w których nadrzędny charakter wobec Twoich interesów mogą mieć interesy lub podstawowe prawa i wolności podmiotu danych, wymagające ochrony danych osobowych.

Dochodzenie lub obrona przed roszczeniami? Nie ta przesłanka

Na przesłankę z art. 6 ust. 1 lit. b RODO nie możesz powoływać się również w przypadku, gdy chcesz dochodzić lub bronić się przed roszczeniami wynikającymi z zawartej umowy. Także w tej sytuacji właściwą przesłanką przetwarzania danych jest przesłanka wskazana w art. 6 ust. 1 lit. f RODO, a w przypadku podmiotów publicznych - niezbędność wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO).

Dane przetwarzaj tak długo, jak długo obowiązuje umowa

Dość istotną kwestią jest to, jak długo można przetwarzać dane w oparciu o omawianą podstawę ich przetwarzania. Skoro dane są przetwarzane, bo jest to niezbędne do wykonania umowy, to możesz przetwarzać je tak długo, jak obowiązuje umowa łącząca Cię z podmiotem danych. Co za tym idzie:

  • wykonanie umowy (w szczególności w przypadku umów rezultatu),

  • upływ okresu obowiązywania umowy (częściej w przypadku umów starannego działania),

  • rozwiązanie umowy (za wypowiedzeniem lub bez okresu wypowiedzenia),

  • wygaśnięcie umowy (wskutek wystąpienia okoliczności niezależnej od stron),

wykluczają dalsze przetwarzanie danych w oparciu o dotychczasową przesłankę ich przetwarzania tj. konieczność wykonywania umowy. W takiej sytuacji nie pozostaje Ci nic innego jak:

  • odnaleźć inną przesłankę przetwarzania danych osobowych (np. uzyskać zgodę podmiotu danych bądź przetwarzać dane w celu realizacji obowiązku prawnego np. obowiązków podatkowych albo też w celu realizacji usprawiedliwionych interesów administratora – przykładowo w celu dochodzenia roszczeń z tytułu już rozwiązanej umowy),

  • w braku możliwości zakwalifikowania przetwarzania pod inną przesłankę – usunąć dotychczas przetwarzanie dane osobowe, na żądanie podmiotu danych (art. 17 RODO).

Możesz też przetwarzać dane w ramach działań poprzedzających zawarcie umowy

Art. 6 ust. 1 lit. b RODO uprawnia również do przetwarzania danych osobowych, jeżeli jest to konieczne do podjęcia działań na żądanie osoby, której dane dotyczą, jeszcze przed zawarciem umowy. Kiedy możesz powołać się na tę przesłankę? Możesz z niej skorzystać, jeżeli łącznie spełnione są następujące warunki:

  • umowa jeszcze nie została zawarta (nie ma znaczenia to, czy do jej zawarcia ostatecznie dojdzie),

  • jako administrator podejmujesz działania wyłącznie w odpowiedzi na żądanie osoby, której dane dotyczą (wszelkie czynności podejmowane przez administratora muszą wynikać z wcześniejszego kontaktu zainicjowanego przez osobę, której dane dotyczą; nie możesz zatem powoływać się na tę przesłankę, jeśli działasz z własnej inicjatywy np. przesyłasz oferty lub informacje handlowe osobom trzecim bez ich żądania),

  • Twoje działania mają wyłącznie uczynić zadość żądaniu podmiotu danych (nie możesz więc poszerzać zakresu przetwarzanych danych poza to, czego żąda osoba, której dane dotyczą).

Przykład

Potencjalny klient zwraca się do przedsiębiorcy z zapytaniem o przesłanie cennika, bądź indywidualnej wyceny. W takiej sytuacji przedsiębiorca – administrator danych może przetwarzać dane osobowe tego klienta, ale wyłącznie do przesłania mu żądanych przez niego informacji.

Przykład

Konsument kieruje do sprzedawcy pytania o towar wystawiony do sprzedaży. Sprzedawca może wówczas przetwarzać dane osobowe (dane kontaktowe klienta), ale wyłącznie do udzielenia mu odpowiedzi na temat tego towaru. Wszelkie inne działania administratora wymagają oparcia na innej podstawie przetwarzania danych.

Przetwarzanie danych przed zawarciem umowy – jak długo

Także w przypadku przetwarzania danych przed zawarciem umowy z osobą, której dane dotyczą, musisz zadbać o zastosowanie odpowiedniego okresu ich retencji. Może to nastręczać problemy w konkretnych przypadkach.

Kwestia jest oczywista, gdy administrator ostatecznie zawrze umowę z podmiotem danych – w takiej sytuacji kontakt kończy się na wymianie kilku informacji i dalej powoływanie się na tę podstawę przetwarzania danych staje się zbędne, ponieważ uzasadnione jest już stosowanie innej przesłanki, w szczególności konieczności wykonywania umowy.

Problem może natomiast powstać, gdy nie dochodzi do zawarcia umowy. W takiej sytuacji powinieneś ustalić, kiedy stało się już oczywiste, że dalsze rozmowy nie będą kontynuowane i umowa na pewno nie zostanie zawarta – opierając się o okoliczności sprawy i dotychczasowe doświadczenia z klientami.

Przykład

Potencjalny klient A żądał zyskania informacji na temat ściśle określonego towaru. Towar ten został jednak sprzedany klientowi B. Jest już wiadome, że sprzedaż tego towaru nie jest możliwa w odniesieniu do potencjalnego klienta A. Nie należy więc dalej przetwarzać jego danych osobowych w oparciu o art. 6 ust. 1 lit. b RODO.

Uwaga

Zastanawiasz się, czy w danym przypadku możesz skorzystać z podstawy przetwarzania danych osobowych ujętej w art. 6 ust. 1 lit. b RODO? Skorzystaj zaudytu ochrony danych w Portalu PoradyODO.pl

Michał Koralewski

Autor: Michał Koralewski

radca prawny specjalizujący się w ochronie danych osobowych, prawie handlowym i cywilnym. Absolwent studiów doktoranckich na Uniwersytecie Gdańskim, trener, publicysta prawniczy, autor kilkunastu książek z zakresu prawa

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x