E-commerce, RODO

Ciasteczkowe RODO – czyli pliki cookies a ochrona danych osobowych

Pliki cookies bywają często nie do końca rozumianą problematyką. W szczególności przeanalizowanie niniejszej problematyki jest istotną kwestią dla całego sektora e-commerce. Warto jednak wspomnieć, że rozwój technologiczny doprowadził do sytuacji, w której praktycznie każda strona internetowa korzysta z plików cookies. Zatem niniejsza problematyka ma równie istotne znaczenie dla wszystkich podmiotów, które korzystają – w ramach swoich działalności – ze stron internetowych. Co istotne, temat cookies ma doniosłe znaczenie prawne ze względu na ścisłe powiązanie z RODO.

Pliki cookies od technicznej strony

Tym co powoduje pewne komplikacje w interpretacji całego zagadnienia jest wymóg znajomości dwóch odrębnych branżowych języków – informatycznego oraz prawnego. Język branży IT, może być kompletnie niezrozumiały dla osób spoza branży. Dlatego na potrzeby zrozumienia znaczenia plików cookies omówimy sobie po krótce ich specyfikę techniczną.

Pliki cookies to małe nieszkodliwe pliki tekstowe, które służą stronom internetowym w różnych celach. Etymologia nazwy tych plików bierze się z języków programistycznych służących do programowania stron internetowych. Na tym etapie są wykorzystywane takowe pliki tekstowe o dość wyróżniającej się i chwytliwej nazwie. Głównymi zadaniami omawianych plików jest wspomaganie poprawnego funkcjonowania stron internetowych oraz ułatwianie użytkownikom korzystanie z nich. Istotną różnicą cookies od pozostałych terminów i pojęć języków programistycznych jest metodyka ich wykorzystywania. Pliki te zapisywane są na urządzeniach końcowych użytkowników (komputer, laptop, telefon, itp.). Co więcej, cookies zbierają informację o użytkowniku. Część zbieranych w ten sposób informacji to dane osobowe.

Należy w tym miejscu wskazać dwa niezwykle ważne typy plików cookies – „session cookies” (dalej: „cookies sesyjne”) oraz „persistent cookies” (dalej: „cookies stałe”). Ten podział ma istotne znaczenie w kontekście ochrony danych osobowych. Cookies sesyjne bowiem są przechowywane na urządzeniu końcowym użytkownika jedynie przez czas korzystania z danej strony internetowej. Służą najczęściej do utrzymywania bieżącej sesji. Cookies stałe natomiast są przechowywane na wyżej wspomnianych urządzeniach przez dłuższy czas. Okres przechowywania tego typu plików cookies może – w zależności od celu i charakterystyki – wynosić nawet 3 lata. Znajomość tego podziału oraz świadomość konsekwencji wynikających z umieszczania tychże plików na urządzeniach końcowych pozwoli na wykonanie ciążącego obowiązku informacyjnego.

Z perspektywy marketingu natomiast możemy spotkać się najczęściej z takim podziałem plików cookies:

“first party” cookies  – ten typ cookies jest instalowany oraz czytany jedynie przez domenę lub poddomeny, na których znajduje się dana strona internetowa,

second party” cookies – te pliki są przekazane od innego administratora, z którym administrator danej strony współpracuje,

third party” cookies – są instalowane z innych domen niż ta, na której jest strona internetowa. Te cookies najczęściej należą do “śledzących” i służą celom marketingowym. Są zatem przekazywane innym administratorom co ma doniosłe znaczenie prawne w zakresie obowiązku informacyjnego z art. 13 RODO.

W kontekście RODO podział o największym znaczeniu dotyczy dywersyfikacji plików cookies pod kątem ich pełnionej funkcji na danej stronie internetowej. W praktyce wyróżniamy pięć następujących funkcji plików cookies:

„Niezbędne” pliki cookies – umożliwiają poprawne funkcjonowanie strony oraz korzystanie z jej usług przez użytkowników. Służą też bezpieczeństwu danej domeny. Jako jedyne, te pliki cookies nie zawierają danych osobowych. Tym samym nie podlegają przepisom RODO. Najczęściej występują w postaci sesyjnych cookies zatem nie są przechowywane dłużej na urządzeniach końcowych niż na okres trwania danej sesji.

„Analityczne” pliki cookies – usprawniają stronę internetową poprzez zbieranie informacji o sposobie jej wykorzystywania przez użytkowników. Administratorzy stron internetowych wykorzystują te pliki w celu dostosowywania ich domen pod użytkowników. Na podstawie informacji takich jak najczęściej wykonywane ruchy oraz ilość dziennych wizyt na stronie poprawiana jest wydajność danych stron.

„Funkcjonalne” pliki cookies – zapamiętują ustawienia użytkowników na stronach internetowych (kolor tła, język, koszyk zakupowy). Dzięki temu użytkownicy po pierwszym wejściu na daną stronę oraz dostosowaniu jej do swoich preferencji, ponownie odwiedzając daną stronę nie muszą dokonywać ponownie tych samych ustawień. Ten typ plików najczęściej jest rodzajem stałych cookies. Są zatem instalowane na urządzeniach końcowych, aby móc zapamiętać konkretne ustawienia użytkownika.

„Reklamowe” pliki cookies – służą dostarczaniu zindywidualizowanych reklam dla użytkownika. Reklamy są dostosowywane na podstawie preferencji oraz zainteresowań poszczególnych użytkowników. Bardzo często dokonuje się tego poprzez remarketing przy wykorzystaniu third party cookies. Niezwykle ważnym zagadnieniem w tym przypadku jest profilowanie, które przeważnie jest wykorzystywane w trakcie budowania profili preferencji i zainteresowań na potrzeby chociażby remarkeitngu. Należy jednak wskazać, że najczęściej nieudzielnie zgody na ten typ plików cookies nie powoduje jakichkolwiek trudności z korzystaniem z danej strony internetowej.

„Społecznościowe” pliki cookies – umożliwiają łączenie się z mediami społecznościowymi oraz do udostępniania nim treści strony internetowej. Dochodzi zatem w tym zakresie do przekazywania danych do innych administratorów. Najczęściej ten typ plików jest aplikowany za pomocą wtyczek społecznościowych (przycisk “lubię to”, możliwość udostępnienia, itp.). Celem tych cookies jest szeroko pojęty marketing. Co do zasady niewyrażenie zgody na ten typ plików cookies nie powoduje żadnych negatywnych skutków dla użytkownika.

Podstawa prawna RODO na pliki cookies

Skoro zapoznaliśmy się z niezbędną nomenklaturą z zakresu IT i plików cookies jesteśmy w stanie ustalić podstawę prawną, jaką administratorzy powinni przyjąć na wykorzystywanie plików cookies na ich stronach internetowych. Jedyną podstawą prawną z RODO w kontekście cookies jest art. 6 ust. 1 lit a, czyli zgoda.

Bardzo często w politykach prywatności możemy się spotkać na stronach internetowych z podstawą jaką jest uzasadniony interes administratora. Zakres wspomnianej podstawy najczęściej dotyczy „niezbędnych” plików cookies. Te postanowienia są jednak okraszone błędem. Tak jak wspomniano “niezbędne” pliki cookies ze względu na swoją funkcję oraz charakter nie zawierają danych osobowych. Nie ma zatem żadnych przesłanek, które stałyby za tym, aby stosować jakąkolwiek podstawę prawną na te pliki cookies. Wynika to z faktu, że w tym zakresie przepisy RODO nie znajdują zastosowania. Nie ma wątpliwości, że inne pliki cookies powinny zostać oparte na zgodzie użytkownika. Wynika to z faktu, że nie są one warunkiem się qua non do korzystania ze strony internetowej a jedynie ułatwiają jej użytkowanie.  Podobnie sytuacja wygląda na gruncie przepisów krajowych. Art. 173 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (dalej “pr.tel.”) odnosi się do informacji, które są przechowywane na urządzeniach końcowych użytkowników zatem do plików cookies. Aby takie przechowywanie było legalne należy spełnić wszystkie trzy przesłanki z art. 173 ust. 1 pkt 1-3 wspomnianej ustawy. Jedną z tych przesłanek (art. 173 ust. 1 pkt 2) jest zgoda użytkownika. Jednakże ten sam artykuł zawiera wyłączenie wyżej wymienionych warunków. Owo wyłączenie zostało określone w art. 173 ust. 3 pkt 1-2, który stanowi, że:

“Warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji, o której mowa w ust. 1, jest konieczne do:

1) wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej;

2) dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.”

Niezbędne pliki cookies  jak wspominano  są konieczne dla poprawnego funkcjonowania strony zatem wpisują się w przesłanki wyżej przytoczonego wyłączenia. Pozostałe pliki cookies wymagają spełnienia przesłanek z art. 173 ust. 1 pkt 1-3 w tym zgody użytkownika, ponieważ nie są one konieczne do funkcjonowania strony internetowej. Art. 174 pr. tel stanowi, że do uzyskania zgody użytkownika stosuje się przepisy o ochronie danych osobowych.

Należy zatem przyjąć, że jedyną podstawą prawną na gruncie RODO (a tym samym pr. tel., które odsyła do RODO) powinna być ta z art. 6 ust. 1 lit. a RODO, czyli zgoda osoby, której dane dotyczą.

Aktywna zgoda

Wiele stron internetowych domyślnie instaluje pliki cookies na urządzeniach końcowych użytkowników, przy czym jedynie informuje użytkowników, że takowe pliki cookies są wykorzystywane. Zgoda jest wyrażana zatem w sposób domyślny. Najczęściej przybiera to następująca postać:

“Używamy ciasteczek, wchodząc w odnośniki na stronie, wyrażasz na to zgodę”.

Wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 1 października 2019 r. o sygnaturze C-673/17 (dalej wyrok “Planet 49”) dotyczył wymogu wyrażenia czynnej zgody na internautów na użytkowanie plików cookies. Z treści wyroku wynika, że domyślnie udzielona zgoda jest na wykorzystywanie plików cookies jest nieważna. Zgoda ta powinna być jasna oraz precyzyjnie określać na co wyraża zgodę użytkownik. Należy zatem zwrócić uwagę na to jak powinna wyglądać owa aktywna zgoda na wykorzystywanie plików cookies. Aktualnie popularną formą wyrażenia aktywnej zgody przez użytkownika są checkboxy. Niejako zmusza to użytkownika do aktywności podczas udzielania zgody bądź jej nieudzielenia. Dodatkowo należy pamiętać, aby użytkownik miał świadomość na co wyraża zgodę. Zasadne jest zatem przy checkboxach umieścić odnośnik do pełnej polityki cookies lub innego dokumentu na stronie, który zawiera informacje o tych plikach. Należy zwrócić uwagę, że odwiedzający stronę powinni mieć możliwość zaznaczenia (np. suwakiem) na jakie pliki cookies wyrażają zgodę. Z tego powodu przy okienku dotyczącym plików cookies powinien zostać zamieszczony odnośnik, który pozwoli na wyrażenie zgody na konkretne pliki cookies.  Może to przybrać następującą formę:

“Wyrażam zgodę na wykorzystywanie następujących plików cookies:

Analityczne pliki cookies: [ x ]

Funkcjonalne pliki cookies: [ x ]

Reklamowe pliki cookies: [ x ]

Społecznościowe pliki cookies: [ x ]”

Taki zabieg pozwoli na wyrażenie aktywnej zgody przez użytkowników oraz uświadomi ich na jakie pliki cookies wyrażają zgodę. W pierwszej kolejności jednak, lepszym rozwiązaniem jest ustawienie strony tak, aby użytkownik – również poprzez chechboxy – wyraził zgodę na wszystkie pliki cookies albo żadne. Podczas pierwszych odwiedzin danej strony, osoba odwiedzająca powinna wyrazić albo nie wyrazić zgodę na pliki cookies, przed rozpoczęciem korzystania ze strony internetowej. Jeżeli użytkownik będzie miał możliwość ominięcia okna dotyczącego plików cookies to de facto pozostaje on bierny, wobec tego komunikatu. Taka sytuacja może prowadzić do wielu komplikacji oraz nieporozumień zatem zasadne jest niejako “wymuszenie” na użytkowniku wyrażenia albo niewyrażenia zgody. Dopiero w takim momencie użytkownik powinien mieć możliwość korzystania ze strony internetowej.

Należy zatem postawić na aktywną formę wyrażania zgody przy plikach cookies. W aktualnym stanie prawnym tylko taka forma jest prawidłowa w zakresie wykorzystywania plików cookies przez strony internetowe.

Obowiązek informacyjny

Niezwykle efektywnym oraz rekomendowanym sposobem spełniania obowiązku informacyjnego jest “warstwowe informowanie”. Nie inaczej jest w przypadku plików cookies. Dobrze wykonane informowanie jest również ważnym elementem dla aktywnej zgody bowiem użytkownik powinien mieć pełną świadomość na co wyraża swoją zgodę. Obowiązek ten płynie z art. 13 RODO, czyli podawanie informacji w przypadku zbierania danych od osoby, której dane dotyczą. Należy jednak raz jeszcze podkreślić – jeżeli dana strona nie używa innych plików cookies niż niezbędne, nie ma potrzeby spełniania w tym zakresie obowiązku informowania, ponieważ nie są przetwarzane wtedy dane osobowe.

Czy zatem “warstwowe informowanie” znajdzie zastosowanie w przypadku plików cookies? Zdecydowanie tak. Pierwszą linią informacyjną dla użytkownika powinno być wspomniane wcześniej okno zawierające checkboxy dotyczące zgód na pliki cookies. Takie okno powinno zawierać streszczenie informacji, jakie zostaną zamieszczone czy to w polityce prywatności czy polityce plików cookies. Przede wszystkim w takim oknie powinno się wskazać administratora danych osobowych oraz samą informację, że na danej stronie są wykorzystywane pliki cookies. Co więcej, należy przedstawić cele jakie stoją za wykorzystywaniem omawianych plików (analityczne, marketingowe, itp.). Ta pierwsza “warstwa” powinna zawierać również odnośnik do checkboxów dotyczących wyrażania zgody na poszczególne funkcje plików cookies. Takie informacje powinny w zupełności wystarczyć, aby użytkownik miał pełną świadomość na co i w jakim zakresie wyraża zgodę.

Kolejną – a przy tym najważniejszą – “warstwą” jest polityka prywatności, a w niej segment polityki plików cookies. W przypadku rozbudowanych stron internetowych, które korzystają z dużej ilości plików cookies zasadne jest utworzenie oddzielnego dokumentu dotyczącego jedynie plików cookies. Praktyka nakazuje na samym początku takiego dokumentu przedstawić krótką specyfikację techniczną plików cookies. Warto wskazać czym są oraz jak funkcjonują. Podstawą redagowania polityki plików cookies jest wciąż art. 13 RODO. Należy zatem podać cele, podstawy oraz prawa użytkownika w związku z wykorzystywanymi plikami cookies. Istotna jest zatem świadomość samej osoby prowadzącej daną stronę internetową o wykorzystywanych przez nią plikach. Bez takiej wiedzy nie będzie bowiem możliwe podania wyżej wymienionych elementów. Co więcej, dobrą praktyką jest podawanie zakresu zbieranych danych użytkownika. Pozwoli to osobom odwiedzającym stronę mieć pełną świadomość jakie konkretnie dane są przetwarzane. Jest to istotne, ponieważ przeciętny użytkownik najpewniej nie będzie wiedział jakie dane osobowe są zbierane przez pliki cookies. Administrator – co ma doniosłe znaczenie dla aktywnej zgody użytkownika – powinien podać jakie pliki cookies, ze względu na swoją funkcję, są wykorzystywane na stronie. Ponadto, należy opisać w sposób zwięzły i prosty istotę danych plików. Przykładowo, jeżeli korzystamy ze “społecznościowych” plików cookies, powinniśmy poinformować, że takowe są wykorzystywane oraz czym się charakteryzują. Wspomniany wcześniej wyrok w sprawie Planet 49 oprócz wskazania jaka zgoda na pliki cookies jest nieważna, dodaje dwa elementy jakie Administrator powinien podać – okres funkcjonowania plików cookies oraz określenie czy osoby trzecie mogą uzyskać dostęp do takich plików. Jednym ze sposobów na przejrzyste podanie takich informacji jest tabela:

Dostawca pliku cookieNazwa pliku cookieOkres funkcjonowania pliku cookieInformacja o dostępie osoby trzeciej do pliku cookie  
PodmiotnazwaWskazany okresTak/Nie

W takim dokumencie watro również dodać informację o stosowanych technologiach od zewnętrznych dostawców (Google Ads, Google Analytics, itp.). Zupełnie wystarczający będzie krótki opis danej technologii oraz odnośnik w postaci linku do strony, która będzie zawierała więcej informacji odnośnie danej technologii (najczęściej strona internetowa dostawcy).

Wnioski

Niniejszy artykuł nie opisuje całej problematyki plików cookies ani pod względem technicznym ani prawnym. Ma on jedynie za zadanie dość kompleksowo przedstawić daną problematykę, która ma istotne znaczenie dla całego sektora e-commerce.

W zakresie podstawy prawnej jedyną zasadną jest aktywna zgoda użytkownika. Wynika to ze specyfikacji technicznej plików cookies w zestawieniu z przepisami RODO. Aktywna zgoda musi mieć charakter aktywnego działania ze strony użytkownika. Warto przy tym “wymusić” takowe działanie dla bezpieczeństwa oraz uniknięcia ewentualnych komplikacji. Aktywna zgoda jest ściśle powiązana z obowiązkiem informowania. Warto zatem zwrócić szczególną uwagę na to jak został spełniony wyżej wspomniany obowiązek. Tak jak wcześniej wskazano, najlepszym rozwiązaniem będzie “warstwowe informowanie”.

Dynamiczne zmiany w zakresie nowych technologii wymuszają na prawodawcy ciągłe dostosowywanie się to aktualnego stanu faktycznego. Dla administratorów istotne jest zatem, bieżące monitorowanie wszelkich zmian, aby jak najlepiej podporządkowywać swój stan faktyczny do prawnego.

Bibliografia:

  • X. Konarski w: „Meritum. Ochrona danych osobowych” pod red. D. Lubasza, Warszawa 2020 r.,
  • M. Jakubik, P. Wojciechowski, „RODO w IT: pliki cookie – jak je ugryźć”, LEX/el. 2020

Autor: Michał Kolasiński

RODO

Brak szyfrowania danych – administrator vs podmiot danych

Prawo dostępu i prawo do kopii danych  z art. 15 RODO to prawa otwierające drogę do realizacji pozostałych praw. Bez zapytania o to czy administrator przetwarzane dane podmiotu danych nieco trudniej pokusić się np. o realizację prawa do bycia zapomnianym.

Realizacja prawa dostępu i prawa do kopii danych przez administratora wiąże się ściśle nie tylko z komunikacją z podmiotem danych, ale również z zabezpieczeniem tych danych. Jednym ze sposobów zabezpieczenia danych jest szyfrowanie. RODO w swojej treści rekomenduje szyfrowanie jako jeden ze sposobów zabezpieczenia danych i zarządzania ryzykiem (np. w art 32 RODO). Szyfrowanie nie zostało zdefiniowanie w RODO, a zatem należy posługiwać się potocznym znaczeniem tego słowa – musi istnieć szyfr (kod), którego znajomość przez daną osobę umożliwia dostęp do zaszyfrowanego materiału.

Czytaj również: „Prawo do uzyskania kopii danych jako element prawa dostępu

Trzeba pamiętać, że w przypadku realizacji prawa dostępu, dane, które są przesyłane podmiotowi danych powinny być odpowiednio zabezpieczone, w tym właśnie na przykład przez szyfrowanie. Szyfrowanie jest chyba najpowszechniejszym sposobem zabezpieczenia danych przy realizacji prawa dostępu. Często polega ono na tym, że plik zawierający dane osoby, która realizuje prawo dostępu jest zaszyfrowany hasłem wysyłanym jednocześnie podmiotowi danych innym kanałem komunikacji np. plik wysyłany jest mailem z informacją w treści maila, że kod zostanie przesłany np. smsem. Taki – dosyć prosty – sposób szyfrowania zwiększa bezpieczeństwo danych, w szczególności chroni dane i prawa podmiotu danych w sytuacji, gdyby mail został wysłany przez pomyłkę na błędny adres albo został w jakiś sposób przejęty przez osobę nieupoważnioną.

Co jednak zrobić w sytuacji, gdy podmiot danych nie chce otrzymać zaszyfrowanego pliku i żąda realizacji swojego prawa bez szyfrowania? Takie sytuacje nie należą wcale do rzadkości, gdyż bardzo często osoby, których dane dotyczą po prostu odbierają fakt zaszyfrowania pliku z danymi jako „przeszkodę” w realizacji ich prawa. Osoby te jednak nie wiedzą, że administrator oprócz obowiązku realizacji praw podmiotów danych musi zapewnić bezpieczeństwo ich przetwarzania.

Administrator ma w tej sytuacji nie lada problem, który nie jest rozstrzygnięty ani w przepisach ani w praktyce. Do wyboru pozostają dwie opcje. Pierwsza zakłada zrealizowanie żądania podmiotu danych i ponowne przesłanie danych bez szyfrowania. Skutkiem takiego działania będzie realizacja prawa podmiotu danych, ale jednocześnie dojdzie do naruszenia zasad bezpieczeństwa, art. 32 RODO i przyjętych u administratora procedur. Druga opcja to odmowa realizacji prawa dostępu z uwagi na przyjęte procedury bezpieczeństwa oraz przepisy RODO nakazujące zapewnienie bezpieczeństwa danych. Przy drugiej opcji nie ryzykuje się naruszenia bezpieczeństwa, ale z pewnością istnieje wysokie ryzyko skargi rozzłoszczonego podmiotu danych do organu nadzorczego. W takiej sytuacji należałoby odpowiedzieć na pytanie: czy taka skarga byłaby zasadna? Brak możliwości jednoznacznej odpowiedzi (z uwagi na brak praktyki) sprawia, że administrator jest w kropce i musi finalnie wybrać tzw. „mniejsze zło”.

Jakie jednak ma być to mniejsze zło? Czy lepiej naruszyć reguły bezpieczeństwa, ale zrealizować prawo czy lepiej nie zrealizować prawa, powołując się na reguły bezpieczeństwa. Odpowiedź nie jest jednoznaczna, ale z pewnością bezwzględna realizacja prawa podmiotu danych wbrew zasadom bezpieczeństwa i przyjętym procedurom może okazać się niezwykle zgubna. W przypadku naruszenia, w tym wycieku danych, organu nadzorczego raczej nie będzie interesować, że sami naruszyliśmy te reguły, bo „podmiot danych tak chciał”.

 

Prawo gospodarcze, Spółki

Dlaczego spółka nie wypłaca dywidendy?

Zwyczajne zgromadzenie wspólników jest między innymi od tego, aby zdecydować o podziale zysku czyli o dywidendzie. Niejednokrotnie dzieje się jednak tak, że spółka – choć wypracowała w poprzednim roku obrotowym zysk – nie wypłaca dywidendy albo podejmuje jakieś decyzje niepodobające się niektórym wspólnikom. Czy da się zmusić spółkę do wypłaty dywidendy? Weźmy na warsztat dwie sytuacje.

Wspólnicy podejmują uchwałę o przeznaczeniu zysku na kapitał zapasowy bądź inne cele

Taka sytuacja niejednokrotnie zdarza się w spółkach, które są na etapie rozwoju i inwestowania albo potrzebują środków na jakąś dużą inwestycję. Kodeks spółek handlowych mówi wyraźnie, że przedmiotem zwyczajnego zgromadzenia wspólników powinno być powzięcie uchwały o podziale zysku lub pokryciu straty. Jednocześnie przepis nie nakazuje, aby uchwała miała dotyczyć tylko i wyłącznie podziału zysku w formie dywidendy. Dla wspólnika, który czuje się pokrzywdzony z powodu braku wypłaty dywidendy, może wydawać się to kuriozalne, ale w praktyce zdecydowanie dopuszcza się podjęcie uchwały pozwalającej na wyłączenie zysku od podziału na dywidendę i przeznaczenie go np. na kapitał zapasowy lub dalszy rozwój spółki.

Prawo do udziału w zysku jest prawem do udziału w zysku przeznaczonym do podziału między wspólników – innymi słowy: jeżeli zysk nie został przeznaczony do podziału, a został wyłączony od podziału, to konkretne prawo do udziału w konkretnym zysku nie powstaje. Zysk, który został przeznaczony np. na kapitał zapasowy jest zatem już zyskiem podzielonym i wspólnik nie może żądać wypłaty dywidendy.

Sposobem na podważenie takiego sposobu rozdysponowania zysku jest wytoczenie powództwa o uchylenie uchwały lub o stwierdzenie jej nieważności. Nie są to jednak proste sprawy. Uchwała może być uchylona tylko wtedy, gdy jest sprzeczna z umową spółki bądź dobrymi obyczajami i godzi w interesy spółki lub ma na celu pokrzywdzenie wspólnika. Uchwała nieważna to po prostu uchwała sprzeczna z prawem. Zwykle wspólnicy mniejszościowi, którzy chcą podważyć uchwałę wyłączającą zysk od podziału powołują się na przesłankę godzenia uchwały w dobre obyczaje i krzywdzącą wspólnika. Taka argumentacja jednak przemówi do sądu tylko wtedy, gdy uchwała wspólników rzeczywiście będzie miała na celu pokrzywdzenie wspólnika. Samo wyłączenie zysku od podziału i przeznaczenie go np. na inwestycje nie jest wystarczającą przesłanką do uchylenia uchwały lub stwierdzenia jej nieważności.

Została podjęta uchwała o podziale zysku między wspólników, ale zarząd nic nie robi

Druga sytuacja polega na tym, że wprawdzie na zgromadzeniu wspólników podjęto uchwałę o podziale zysku między wspólników w formie dywidendy, ale od tego czasu nic się nie wydarzyło.

Przede wszystkim zgromadzenie wspólników powinno ustalić termin wypłaty dywidendy. Jeśli tego nie zrobi, taką kompetencję ma zarząd spółki. Jeżeli i zarząd tego nie uczyni, wtedy dywidenda powinna zostać wypłacona niezwłocznie. Zakładając, że nie doszło do ustalenia dnia dywidendy w rozumieniu art. 193 § 2 Kodeksu spółek handlowych, dywidenda powinna zostać wypłacona niezwłocznie po podjęciu uchwały o podziale zysku w formie dywidendy. Jeżeli natomiast został ustalony dzień dywidendy, to niezwłocznie po tym dniu. „Niezwłocznie” oznacza w najbliższym możliwym terminie przy uwzględnieniu płynności finansowej spółki. Odpowiedzialność w tym zakresie spoczywa na zarządzie.

W tym miejscu pojawia się pytanie, czy jeśli zarząd nie podejmie decyzji o wypłacie dywidendy, to czy wspólnik może skierować pozew do sądu. Oczywiście może, ale problem pojawia się wtedy, gdy trzeba rozstrzygnąć czy przed wytoczeniem powództwa należy jeszcze wezwać spółkę do zapłaty. Zdaniem niektórych praktyków, samo brzmienie art. 193 § 4 Kodeksu spółek handlowych, mówiące o niezwłoczności, wyłącza stosowanie art. 455 Kodeksu cywilnego, co oznacza, że nie trzeba wzywać odrębnie do zapłaty, aby roszczenie o wypłatę zysku stało się wymagalne. Jednakże duża część doktryny i orzecznictwa nadal uważa, że spółkę należy odrębnie wezwać do zapłaty i wyznaczyć jej termin, aby roszczenie – po upływie tego terminu – stało się wymagalne. Rzeczywiście pojawia się tutaj pewien dysonans, ale w celu dochowania staranności procesowej (i przedprocesowej) raczej lepiej jeszcze raz upomnieć się w zarządzie o wypłatę dywidendy i wystosować wezwanie do zapłaty.

E-commerce, RODO

Minimalizacja danych w sklepie internetowym

W poprzednim wpisie „Sklep internetowy a dane osobowe” pisaliśmy ogólnie o tym, jakie dane w sklepie internetowym są adekwatne, a jakie nie. Czytając jednak ustawę o świadczeniu usług drogą elektroniczną, a w szczególności jej art. 18, można zacząć zastanawiać się czy ten poprzedni wpis na Blogu przypadkiem nie pomija tej ustawy.

W art. 18 ustawy o świadczeniu usług drogą elektroniczną zostały wskazane dane usługobiorcy, jakie może przetwarzać usługodawca. Dane te można podzielić na kilka grup: dane niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego, inne dane niezbędne do świadczenia usług, a także tzw. dane eksploatacyjne czyli charakteryzujące sposób korzystania z usługi przez usługobiorcę.

Pierwsza grupa tych danych została scharakteryzowana przez ustawodawcę dosyć szczegółowo, tj. poprzez wymienienie ich katalogu. Są to:

1)  nazwisko i imiona usługobiorcy;

2)  numer ewidencyjny PESEL lub – gdy ten numer nie został nadany – numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość;

3)  adres zameldowania na pobyt stały;

4)  adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 3;

5)  dane służące do weryfikacji podpisu elektronicznego usługobiorcy;

6)  adresy elektroniczne usługobiorcy.

Pytanie brzmi: po co ustawodawca wskazuje konkretne dane usługobiorcy, które może przetwarzać usługodawca, skoro w RODO znajduje się zasada minimalizacji? Przecież z przestrzegania tej zasady musi się rozliczyć sam usługodawca, a nie może robić tego za niego ustawa! Poza tym katalog tych danych z ustawy jest bardzo nieadekwatny do zasady minimalizacji np. adres zameldowania na pobyt stały w handlu elektronicznym zwykle znaczy tyle, co nic i nie jest potrzebny do wykonania usługi.

Odpowiedź na to pytanie leży w niekonsekwencji i niedbałości ustawodawcy, który powinien uchylić art. 18 ust. 1 – 4 ustawy o świadczeniu usług drogą elektroniczną. Skoro RODO nakłada na każdego administratora szereg obowiązków, w tym mających swoje bezpośrednie źródło w zasadach z art. 5 RODO, to uszczegóławianie przepisów RODO jest bezcelowe i nie ma podstawy prawnej.

Nie od dziś wiadomo, że zasadą jest prymat prawa unijnego nad prawem wewnętrznym państw członkowskich. Oznacza to, że jeżeli dwa przepisy (jeden unijny i drugi państwa członkowskiego) pozostają ze sobą w konflikcie, to zastosowanie ma przepis prawa unijnego. RODO stosuje się bezpośrednio, a zatem nie wymaga żadnej implementacji czy uszczegółowienia. Samo RODO przewiduje tutaj wyjątki np. dla przetwarzania danych w kontekście zatrudnienia (art. 88 RODO) czy też w sferze publicznej (art. 87, art. 89 RODO). Na przykład w zakresie prawa pracy i zatrudnienia ustawodawca skorzystał z możliwości uszczegółowienia i wprowadził nowelizację do Kodeksu pracy. W zakresie handlu elektronicznego RODO nie przewiduje możliwości uszczegółowienia swoich regulacji w prawie krajowym ani nie pozwala na wskazywanie przez państwa członkowskie konkretnego katalogu danych przetwarzanych w tym handlu. Skoro tak, to przepisy art. 18 ust. 1 -4 powinny zostać uchylone, a jeśli nie zostały uchylone to – jako sprzeczne z RODO (aktem prawa unijnego) nie mogą być stosowane.

Pamiętaj! W przypadku sporu np. sądowego, sąd powinien zastosować przepis art. 5 ust. 1 lit. c RODO czyli zasadę minimalizacji, a nie art. 18 ust. 1 ustawy o świadczeniu usług drogą elektroniczną jako przepis sprzeczny z prawem unijnym.

To administrator czyli usługodawca sam musi zdecydować, jakie dane klientów swojego sklepu internetowego może przetwarzać, a jakich nie. Powinien to ocenić przy uwzględnieniu wszystkich reguł RODO, a w szczególności zasady minimalizacji. Ocena powinna wiązać się ze starannie przygotowanym rejestrem czynności przetwarzania danych oraz oceną ryzyka. Od tych obowiązków administratora nie może uwolnić jakakolwiek ustawa. Dlatego, jeśli myślisz, że nie musisz robić nic, gdyż ustawa o świadczeniu usług drogą elektroniczną, wykonała całą robotę za Ciebie, to niestety jest to droga donikąd.

E-commerce, RODO

Sklep internetowy a dane osobowe

Sklep internetowy i RODO albo bardzo się lubią albo nienawidzą. Wszystko zależy od tego, kto sklep prowadzi i jakie ma podejście do ochrony danych osobowych. Dane osobowe w sklepie internetowym muszą być szczególnie chronione, a projektując proces przetwarzania danych w ramach działalności e-commerce, trzeba pamiętać przede wszystkim o tym, że nie można zmuszać klientów do podawania wszelkich danych na każdą możliwą okazję. Niech zasada minimalizacji według RODO będzie od dziś Twoją dewizą!

Pamiętaj! Zgodnie z art. 5 ust. 1 lit. c RODO, dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”).

Minimalizacja danych to zakaz zbierania danych „na zapas” oraz niepotrzebnych do celów, które wyobrażamy sobie zrealizować. Gdy sporządzamy umowę, zwykle nie ma sensu (i nie wolno) wpisywać w niej np. numeru dowodu osobistego strony umowy, skoro będzie ona dostatecznie zidentyfikowana przez imię, nazwisko i adres zamieszkania lub prowadzenia działalności (plus ewentualnie PESEL, choć i tutaj są rozbieżności).

Podobnie w przypadku prowadzenia sklepu internetowego. Jeżeli Twoim pierwszorzędnym celem jako sprzedawcy e-commercowego jest zawieranie umów z Twoimi klientami poprzez swój sklep, to zastanów się, jakie dane są Ci niezbędne do realizacji tego celu (zawarcia i wykonania umowy). Z pewnością będzie to imię, nazwisko, adres dostawy, adres e-mail i numer telefonu. Imię i nazwisko będą potrzebne do zidentyfikowania strony umowy oraz prawidłowej wysyłki, podobnie adres dostawy. Z kolei adres e-mail jest niezbędny do wysłania potwierdzenia zamówienia. Numer telefonu może nie być niezbędny, a na pewno jest adekwatny w zakresie kontaktu z klientem na wypadek nieprzewidzianych okoliczności, a dodatkowo jest potrzebny np. przy wysyłce paczkomatem.

W zakresie minimalizacji danych jest sporo innych niuansów np. przetwarzanie danych osobowych w postaci numerów rachunków bankowych czy adresów IP. Jeśli Twoja sprzedaż jest zaprojektowana tak, że otrzymujesz dostęp do numerów rachunków bankowych klientów, to przetwarzasz numer tego rachunku, który w połączeniu z pozostałymi danymi właściciela rachunki stanowi dane osobowe. Podobnie jest z adresem IP, choć tutaj istnieje wiele kontrowersji związanych z zaliczeniem adresu IP w poczet danych osobowych.

Pamiętaj! W wyroku w sprawie Breyer, Trybunał Sprawiedliwości Unii Europejskiej uznał, że dynamiczny adres IP powinien zostać uznany za dane osobowe.

Jeszcze inaczej będzie, gdy Twoim klientem będzie przedsiębiorca prowadzący jednoosobową działalność gospodarczą. RODO dotyczy ochrony praw osób fizycznych w aspekcie ich danych osobowych, ale nie ogranicza się tylko do konsumentów. Dane osobowe przedsiębiorców wpisanych do CEIDG również podlegają ochronie. Do wystawienia faktury na pewno będziesz potrzebować numeru NIP. Ponadto niejednokrotnie adres dostawy może się różnić od adresu, który stanowi „siedzibę” Twojego klienta – przedsiębiorcy. Obie te informacje stanowią również dane osobowe, które w danym przypadku musisz pozyskać celem wykonania umowy.

Niejednokrotnie klienci na swoich kontach w sklepach internetowych podają kilka adresów do wysyłki. Jeżeli każdy z tych adresów jest powiązany z daną osobą (imieniem, nazwiskiem tej osoby) stanowi jej dane osobowe, które są niezbędne do wykonania umowy sprzedaży lub umowy o usługę polegająca na możliwości założenia i utrzymywania konta w sklepie internetowym.

A co, kiedy klient nie płaci albo wnosi roszczenia reklamacyjne? W takiej sytuacji podstawą przetwarzania danych tego klienta będzie Twój uzasadniony interes (art. 6 ust. 1 lit. f RODO). Wtedy ponownie kłania się zasada minimalizacji. Musisz mieć tylko takie dane, jakie są adekwatne do dochodzenia Twoich roszczeń lub obrony przed nimi. Imię i nazwisko oraz adres do doręczeń to podstawa. Podobnie potrzebna może czasami okazać się historia zakupów – w zależności od tego, o jakich roszczeniach mowa. Jeżeli chcesz dochodzić swoich roszczeń w elektronicznym postępowaniu upominawczym, musisz również podać w pozwie numer PESEL lub NIP pozwanego. W przypadku klienta – przedsiębiorcy nie będzie to problem, gdyż posiadasz już numer NIP przy składaniu zamówienia (oczywiście cel przetwarzania będzie już inny, ale musisz zadbać o poinformowanie klienta o tym podczas wykonywania obowiązku informacyjnego). Problem pojawia się przy kliencie – konsumencie. W takiej sytuacji możesz próbować uzyskać numer PESEL z rejestru mieszkańców dla danej gminy.

Kolejny filar Twojego sklepu internetowego to marketing. Tutaj z danymi osobowymi jest już trochę trudniej. Oczywiście zasada minimalizacji cały czas działa i jedynie od tego, jak zaprojektujesz marketing swojego biznesu będzie zależało, jakie dane osobowe swoich klientów (i potencjalnych klientów) będziesz mógł przetwarzać, a jakie będą stanowić dane nadmiarowe.

O tym jak prowadzić newsletter zgodny z RODO przeczytasz we wpisie: „Newsletter a RODO„.

Marketing internetowy to zarówno newsletter (do którego będzie potrzebny adres e-mail), jak również i kampanie w mediach społecznościowych. Facebook i RODO to temat bardzo szeroki i nadal otwarty. Na pewno musisz pamiętać, że dane osobowe użytkowników Facebooka, którzy lubią Twój fanpage albo klikają we wtyczkę społecznościową umieszczoną na Twojej stronie, są dostępne dla Facebooka. W kilku orzeczeniach Trybunału Sprawiedliwości Unii Europejskiej wskazano, że administrator fanpage, a także administrator strony internetowej, który umieścił wtyczkę społecznościową na tej stronie oraz Facebook to współadministratorzy danych osobowych osób, które lubią fanpage lub klikają we wtyczkę.

Więcej na temat współadministrowania piszemy we wpisie: „Krótki traktat o współadministrowaniu„.

Współadministrowanie Facebooka i administratora strony internetowej wymaga zapewnienia odpowiedniego poziomu informowania podmiotów danych i nie jest to wcale takie proste. Być może nie zdajesz sobie sprawy, jak dużo informacji sami przekazujemy Facebookowi. Osoba, która lubi Twój fanpage na Facebooku sama również Tobie może udostępnić szereg danych, do których możesz mieć dostęp. Wbrew pozorom to właśnie Twoja interakcja z osobami lubiącymi Twój fanpage na Facebooku czy też obserwującymi Twoje profile na innych mediach społecznościowych może okazać najbardziej skomplikowana w zakresie zapewnienia zasady minimalizacji. Nie ulega wątpliwości, że w relacjach np. z Facebookiem nie masz wiele do powiedzenia, a zawarcie umowy o współadministrowanie jest praktycznie niemożliwe. Dlatego też każda kampania reklamowa w mediach społecznościowych czy też przy użyciu wyszukiwarki Google powinna być starannie przemyślana pod kątem podstaw prawnych przetwarzania, a także tego czy w grę nie będzie przypadkiem wchodzić profilowanie.

Pamiętaj! Zgodnie z art. 4 pkt 4 RODO profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Bardzo często zdarza się, że projektowana reklama kierowana jest do konkretnej grupy odbiorców. Selekcjonowanie osób może opierać się także o ich dotychczasowe preferencje zakupowe lub zainteresowania. Profilowanie następuje tylko wtedy, gdy dochodzi do zautomatyzowanego przetwarzania danych osobowych, a zatem wszelkie działania za pomocą dokumentacji papierowej czy też w pełni dokonywane przez człowieka nie są profilowaniem w rozumieniu RODO.

Co w sytuacji, gdy Twój marketing sprowadza się m.in. do profilowania Twoich klientów lub potencjalnych klientów? Przede wszystkim musisz zadbać o ich poinformowanie o tym fakcie. Wymaga tego art. 13 ust. 2 lit. f RODO oraz art. 14 ust. 2 lit. g RODO. W swoich klauzulach informacyjnych powinieneś zamieścić informację o tym, że dane osobowe Twojego klienta lub potencjalnego klienta będą podlegały profilowaniu, a także w jaki sposób takie profilowanie działa i co oznacza dla klienta. Pamiętaj również, że z profilowaniem jest związane z prawo podmiotu danych do wniesienia sprzeciwu. Przed rozpoczęciem profilowania należy dokonać oceny ryzyka i zapewne również oceny skutków dla ochrony danych czyli DPIA.

Pamiętaj! DPIA przeprowadza się m.in. wtedy, gdy dochodzi do systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na jej osobę.

Katalog obowiązków związanych z „obchodzeniem się z danymi osobowymi” przy prowadzeniu sklepu internetowego jest oczywiście bardzo szeroki, a nawet może okazać bardziej pokaźny niż w przypadku przedsiębiorcy, który działa w podobnej branży, ale nie w sieci. Zasada minimalizacji powinna być jednak jednym z najważniejszych wyznaczników projektowania prywatności oraz opracowywania dokumentacji i procedur.

Czytaj również: „Minimalizacja danych w sklepie internetowym”.

 

 

E-commerce, RODO

Newsletter a RODO

Jak wysyłać newsletter, aby był zgodny z RODO? Jeśli masz sklep internetowy albo działasz w innej sferze branży e-commerce (np. blog), z pewnością zastanawiasz się czy wysyłka Twojego newslettera jest zgodna z prawem. Okazuje się, że RODO wcale nie jest wcale jedynym przy okazji wysyłki newslettera.

W przypadku newslettera, trzeba spełnić wymogi trzech aktów prawnych:

– wspomnianego RODO,

– ustawy o świadczeniu usług drogą elektroniczną,

– ustawy Prawo telekomunikacyjne.

RODO to najpierw wybór odpowiedniej podstawy prawnej przetwarzania danych osobowych. Oczywiście mowa o danych osobowych Twoich klientów, którym chcesz wysyłać newsletter. RODO nie daje pierwszeństwa żadnej z podstaw prawnych przetwarzania wskazanych w art. 6. W przypadku newslettera można zastanowić się nad wyborem trzech podstaw:

– zgodą (art. 6 ust. 1 lit. a RODO)

– wykonaniem umowy (art. 6 ust. 1 lit. b RODO)

– uzasadnionym interesem administratora (art. 6 ust. 1 lit. f RODO).

Najczęściej w przypadku relacji marketingowych z klientami dochodzi do wyboru pomiędzy zgodą a uzasadnionym interesem. Pamiętaj o tym, że wysyłka newslettera zwykle ma charakter marketingu bezpośredniego (jeśli takiego by nie miała od razu należy zaznaczyć, że podstawa uzasadnionego interesu administratora odpada). Zgodnie z motywem 47 preambuły RODO „za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego”. Dlatego – zakładając, że newsletter ma charakter marketingowy – zdecydowanie można skorzystać z przesłanki uzasadnionego interesu administratora z art. 6 ust. 1 lit. f RODO. Skutkiem tego jest brak konieczności odbierania odrębnej zgody na przetwarzanie danych osobowych na potrzeby wysyłki newslettera. Wadą tej opcji jest jednak konieczność wykonania tzw. testu równowagi celem sprawdzenia czy przypadkiem prawa i wolności podmiotów danych nie przeważają nad interesem administratora – gdyby test równowagi wypadł negatywnie dla administratora, nie można skorzystać z podstawy uzasadnionego interesu.

Więcej o podstawie uzasadnionego interesu we wpisie „Uzasadniony interes: pułapka czy zbawienie?„.

Zgoda to druga opcja, która jednak jest najsłabszą podstawą przetwarzania. Podmiot danych (czyli odbiorca Twojego newslettera) nawet jeśli udzielił zgody, może ją w każdej chwili cofnąć, co będzie oznaczało nie tylko brak możliwości dalszej wysyłki newslettera, ale też usunięcie danych osobowych tego klienta pozyskanych w celu dokonywania wysyłki. W przypadku wspomnianego wyżej uzasadnionego interesu, klient również ma prawo „wyeliminować” Twoją wysyłkę poprzez zgłoszenie tzw. sprzeciwu co do przetwarzania danych osobowych – skutek jest taki sam jak w przypadku cofnięcia zgody. Statystycznie jednak podmioty danych częściej wycofują udzielone wcześniej zgody niż korzystają z prawa do sprzeciwu.

Więcej o zgodzie piszemy we wpisie „Co powinna zawierać zgoda na przetwarzanie danych?„.

W tym miejscu dochodzimy do wykonania umowy. Na pierwszy rzut oka takie zakwalifikowanie wysyłki newslettera może dziwić, bo w końcu o jaką umowę chodzi? Otóż wysyłkę newslettera również można potraktować jak umowę. Klient chce dostawać najświeższe informacje o Twoich produktach lub usługach, a Ty oferujesz usługę polegającą na przesyłaniu takich informacji. Być może część prawników nie akceptuje takiej koncepcji, jednak coraz częściej w praktyce wysyłkę newslettera traktuje się jak umowę. Taka koncepcja pozwoliłaby na zastosowanie art. 6 ust. 1 lit. b jako podstawy prawnej przetwarzania danych, co skutkowałoby uniknięciem konieczności odbierania odrębnej zgody na przetwarzanie danych osobowych, a także uniknięciem zagrożenia wycofania zgody czy też wniesienia sprzeciwu (w przypadku przesłanki uzasadnionego interesu). Oparcie się na przesłance wykonania umowy nie może jednak nastąpić „samo przez się”. Wymaga zaprojektowania wysyłki w taki sposób, aby dla obu stron (wysyłającego i odbierającego newsletter) było jasne, ze dochodzi do zawarcia umowy. Dlatego konieczne byłoby wprowadzenie odpowiednich postanowień do polityki prywatności Twojej strony, a jeśli np. prowadzisz sklep internetowy i musisz posiadać na stronie sklepu odpowiedni regulamin, również i w jego treści należy zawrzeć fragment dotyczący usługi polegającej na wysyłce newslettera.

Przy okazji omawiania RODO dla newslettera, nie należy zapominać o kolejnych obowiązkach, które będą spoczywać na Tobie jako na administratorze danych osobowych a – jak zapewne już wiesz – jest ich sporo. Na pewno musisz zadbać o aktualizację Twojej polityki prywatności oraz klauzul informacyjnych. Wysyłka newslettera to odrębny cel przetwarzania danych osobowych, a zatem jeżeli już nawet posiadasz adres e-mail klienta, któremu chcesz przesyłać newsletter (ponieważ był on potrzebny np. do dokonania zakupów w Twoim sklepie internetowym) to i tak musisz wykonać odrębny obowiązek informacyjny albo zaktualizować dotychczas stosowane klauzule informacyjne.

Zadbaj również o zapewnienie wykonywania praw podmiotu danych. Jeżeli opierasz wysyłkę newslettera na zgodzie, musisz zapewnić swoim klientom taką procedurę, która umożliwi im wycofanie zgody tak łatwo, jak została udzielona. Nie możesz dla przykładu żądać od klienta wycofania zgody w formie listu czy kontaktu telefonicznego, jeżeli była ona wyrażona przez zaznaczenie odpowiedniego checkboxa. Podobnie, jeśli opierasz przetwarzanie danych w oparciu o uzasadniony interes, musisz zapewnić bezpieczny i sprawy kanał komunikacji w zakresie np. realizacji prawa sprzeciwu.

Konieczne będzie również uzupełnienie rejestru czynności przetwarzania, tabel retencyjnych oraz oczywiście wykonanie oceny ryzyka. W przypadku oceny ryzyka pamiętaj o odpowiednim zaprojektowaniu komunikacji przy uwzględnieniu zasady privacy by default. Wszelkie ustawienia prywatności muszą mieć charakter domyślny. Nie możesz zatem udostępniać potencjalnemu adresatowi newslettera checkboxa, który będzie domyślnie zaznaczony. To klient musi sam zaznaczyć pierwotnie pusty checkbox.

Dalsze wymogi wynikają z ustawy o świadczeniu usług drogą elektroniczną oraz z Prawa telekomunikacyjnego. Tutaj nie ominiesz uzyskania zgody od adresata newslettera. Gdybyś wysłał wiadomość bez uzyskania odpowiedniej zgody, stanowiłaby ona niezamówioną informację handlową czyli przysłowiowy spam, za co mogłaby Cię spotkać kara zarówno od Prezesa Urzędu Ochrony Danych Osobowych, jak i od Urzędu Komunikacji Elektronicznej oraz Urzędu Ochrony Konkurencji i Konsumentów.

Pamiętaj! Zgodnie z art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną: „Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej„.

Z pomocą przychodzi art. 4 ustawy o świadczeniu usług drogą elektroniczną oraz art. 174 Prawa telekomunikacyjnego. Do uzyskiwania zgód w oparciu o ustawę o świadczeniu drogą elektroniczną oraz o Prawo telekomunikacyjne stosuje się przepisy o ochronie danych osobowych, a zatem w szczególności RODO. Zgoda musi być zatem:

  • dobrowolna,
  • konkretna,
  • świadoma,
  • przekazana w formie oświadczenia lub wyraźnego działania potwierdzającego, że osoba, której dane dotyczą, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Osoba, która wyraża zgodę musi zatem mieć możliwość wyboru (a zatem np. możliwość zaznaczenia pustego checkboxa). Konkretność zgody przejawia się przez wskazanie, w jakim celu jest ona wyrażana i jakie dane są przekazywane. Świadomość dotyczy tego, że osoba udzielająca zgody musi wiedzieć komu jej udziela i po co. Zgoda nie musi jednocześnie stanowić każdorazowo oświadczenia osoby, gdyż również samo działanie potwierdzające stanowi zgodę np. wykonanie odpowiedniego ruchu kursorem, tabletem, zaznaczenie okienka. Za działanie potwierdzające nie może być jednak uznane np. samo przewijanie ekranu, gdyż w takim przypadku nietrudno o przypadkowość.

Obie zgody (jedna wynikająca z ustawy o świadczeniu usług drogą elektroniczną, a druga z Prawa telekomunikacyjnego) dotyczą bardzo zbliżonych kwestii i jedynie niedbałość ustawodawcy powoduje to, że zostały one uregulowane w odrębnych aktach prawnych. W zasadzie należałoby uznać, że masz obowiązek odbierać dwie odrębne zgody na podstawie każdej z tych ustaw, jednak zdecydowanie nie odpowiadałoby to praktyce rynkowej. Dlatego za dopuszczalne należy uznać połączenie tych dwóch zgód w formie jednego oświadczenia. Taką możliwość dopuszcza np. Ministerstwo Cyfryzacji w poradniku „RODO. Poradnik dla sektora FinTech”. Nie powinieneś jednocześnie, pobierając tych zgód, stosować cytatów z przepisów prawa, które przeciętnemu użytkownikowi niewiele powiedzą (jak choćby tajemnicze pojęcie „telekomunikacyjnych urządzeń końcowych”) – takie rozwiązanie byłoby nieczytelne i niejasne. Zamiast tego powinieneś zadbać o jak najklarowniejszy sposób odebrania zgody.

Łącząc obie zgody często praktykuje się rozwiązanie polegające na umożliwieniu osobie wpisania w przeznaczonym do tego okienku adresu e-mail oraz zaznaczenie checkboxa z informacją o chęci otrzymywania newslettera od sprzedawcy. Wydaje się to spełniać wymogi obu ustaw, choć pojawiają się również poglądy, że takie rozwiązanie nie do końca przystaje do wymogów zgody stawianej odpowiednio przez RODO. Można zatem rozważyć umieszczenie dodatkowo, obok okienka, w którym wpisuje się adres e-mail, checkboxa, pod którym znajdzie się informacja o wyrażeniu zgody na przesyłanie newslettera. W praktyce, oprócz odebrania zgody w formie checkboxa, zaleca się dodatkowo uzyskanie potwierdzenia jej udzielenia przez kliknięcie w link, który zostanie wysłany na podany adres mailowy (tzw. double opt – in). Nie należy zapomnieć również o podaniu skróconej klauzuli informacyjnej, która będzie odsyłać do pełnej polityki prywatności.

W tym miejscu pojawia się inne zagadnienie: czy jeśli opieram wysyłanie newslettera na zgodzie na przetwarzanie danych osobowych (nie chodzi o zgodę z ustawy o świadczeniu usług drogą elektroniczną ani o zgodę z Prawa telekomunikacyjnego), to czy mogę połączyć te trzy zgody w jednym checkboxie? Pojawiają się wprawdzie głosy, że byłoby to możliwe i zgodne z RODO, jednak skoro zgoda na przetwarzanie danych osobowych musi spełniać m.in. wymóg dobrowolności, to nie można uznać, ze oświadczenie łączące tę zgodę w pełni spełnia ten wymóg. Choć praktyka rynkowa wymagałaby uproszczenia, to z zdecydowanie zaleca się wyodrębnianie zgody na przetwarzanie danych osobowych od innych zgód – takie stanowisko prezentował GIODO jeszcze w oparciu o poprzedni stan prawny i powielały je sądy administracyjne.

Pamiętaj! Do zgody na podstawie ustawy o świadczeniu usług drogą elektroniczną i zgody wymaganej przez Prawo telekomunikacyjne stosuje się wymogi dla zgody przewidziane przez RODO.

Podsumowując: wysyłka newslettera nie jest niczym skomplikowanym pod kątem prawnym, ale trzeba ją odpowiednio zaplanować i zaprojektować. Jeśli nie spełnisz wymogów stawianych przez RODO, ustawę o świadczeniu usług drogą elektroniczną i Prawo telekomunikacyjne, to możesz narazić się na odpowiedzialność administracyjną lub roszczenia odszkodowawcze ze strony swoich klientów.

RODO

Transfer danych osobowych pracowników za granicę

Gdy współpracujemy z kontrahentami z zagranicy, często dochodzi do przekazywania danych osobowych pracowników za granicę. Jak przekazywać dane pracowników, żeby było to zgodne z RODO? Temat jest dosyć obszerny i w zasadzie odpowiedź zależy od tego, gdzie dane naszych pracowników mają finalnie „wylądować”.

Transfer danych w obrębie Europejskiego Obszaru Gospodarczego

Tutaj sprawa jest prosta. Jeśli dane pracowników są przekazywane do państw w obrębie EOG, wtedy nie mamy do czynienia z transferem do państwa trzeciego, a zatem można dane przekazywać w taki sam sposób, jak czynimy to w Polsce. Oczywiście nie można zapomnieć o obowiązku informacyjnym w stosunku do pracowników i wskazaniu w tym obowiązków m.in. odpowiedniej kategorii odbiorców danych, którym dane zostaną przekazane. Co więcej, należy poczynić odpowiedni wpis w rejestrze czynności przetwarzania. Pozostałe obowiązki wynikają ze standardowego stosowania się do przepisów RODO, tj. np. ocena ryzyka, przestrzeganie zasad z art. 5, dobranie odpowiedniej podstawy prawnej przetwarzania.

Transfer danych poza Europejski Obszar Gospodarczy

Tutaj zaczynają się schody. Przygotowanie transferu poza Europejski Obszar Gospodarczy zależy od tego, z jakim państwem mamy do czynienia.

Jeśli dane mają zostać przekazane do państwa wobec, którego Komisja Europejska wydała decyzję o odpowiednim stopniu ochrony, stosujemy art. 45 RODO i w zasadzie „jesteśmy w domu”. Decyzje Komisji co do zasady skutkują tym, że dane państwo – choć nie jest członkiem EOG – traktujemy tak samo, jakby tym członkiem było. Przekazania danych osobowych do takiego państwa należy dokonywać tak samo, jakby przekazanie nastąpiło w ramach EOG.

Nie jest jednak tak łatwo. Każdorazowo należy sprawdzić, czego dokładnie dotyczy dana decyzja Komisji. Dla przykładu: pierwsza z decyzji Komisji dotyczyła Szwajcarii (zobacz także: „Jak można przekazywać dane osobowe do Szwajcarii?”). Decyzja ta ma charakter całościowy czyli dotyczy całego terytorium Szwajcarii oraz wszystkich branż. Można zatem powiedzieć, że istota decyzji Komisji w stosunku do Szwajcarii ma charakter terytorialny. Inaczej jest jeśli chodzi np. o USA. Obecnie obowiązuje system tzw. Tarczy Prywatności, który polega na samocertyfikowaniu się poszczególnych organizacji w USA pod kątem możliwości przekazywania danych osobowych do tej organizacji. O Tarczy Prywatności pisaliśmy już w artykule „Co to jest Tarcza Prywatności?”. Oznacza to, że całego terytorium USA nie można uznać za państwo adekwatne pod kątem ochrony, a jedynie dotyczy to poszczególnych organizacji, które posiadają ważny i aktualny certyfikat. Certyfikat można sprawdzić na stronie http://www.privacyshield.gov.  To jednak nie wszystko. Dane osobowe na rozumieniu tarczy prywatności dzieli się na dane HR i dane NON-HR. Zgodnie z treścią załącznika nr 2 do Tarczy Prywatności, przez dane HR rozumie się „dane osobowe swoich pracowników (byłych lub obecnych) gromadzone w ramach stosunku pracy”. Dane takie są przekazywane następnie dominującemu, powiązanemu lub niepowiązanemu dostawcy usług w Stanach Zjednoczonych (pkt III 9 lit. a Załącznika nr 2 do Tarczy Prywatności). Dane NON-HR to wszelkie pozostałe dane. Jeżeli zatem zamierzamy przekazywać dane osobowe naszych pracowników innemu podmiotowi, co będzie skutkować transferem danych do USA, należy konieczne sprawdzić czy certyfikat tego podmiotu w ramach Tarczy Prywatności obejmuje dane HR. Jeśli certyfikat ogranicza się tylko do danych NON – HR w zasadzie nie powinniśmy przekazywać danych pracowników temu podmiotowi, gdyż nie ma adekwatnego stopnia ochrony dla danych pracowniczych.

Czy w takiej sytuacji jesteśmy bez szans? Można wyróżnić dwie koncepcje: jedna zakładająca, że jeśli certyfikacja nie rozciąga się na dane HR, nie ma mowy o transferze danych pracowniczych. Według drugiej, łagodniejszej, można założyć, że w takim wypadku nie można zastosować art. 45 RODO, a zatem należy sięgnąć do pozostałych podstaw uzasadniających transfer danych np. standardowych klauzul umownych czy też wiążących reguł korporacyjnych. Osobiście opowiadamy się za drugą koncepcją, gdyż zasadą jest, że jeśli nie ma wydanej stosownej decyzji Komisji lub dotyczy ona jedynie jakiejś części danego państwa lub jakiejś branży, można skorzystać z dalszych podstaw transferowych.

Brak decyzji Komisji

Załóżmy dalszą ewentualność – brak decyzji Komisji stwierdzającej odpowiedni stopień ochrony. W takim przypadku – podobnie jak przy każdym innym transferze danych, powinniśmy rozważyć pozostałe przesłanki uzasadniające transfer danych do państwa trzeciego. Dalsze przesłanki zostały zgrupowane w art. 46 RODO i należą do nich przede wszystkim: standardowe klauzule umowne oraz wiążące reguły korporacyjne (BCR). Te podstawy transferowe, w przypadku braku stosownej decyzji Komisji, należą do najpewniejszych i najczęściej stosowanych podstaw prawnych transferu danych.

Brak podstaw z art. 46 RODO – szczególne sytuacje

Jeśli nie ma ani decyzji Komisji ani nie można skorzystać z podstaw z art. 46 RODO, w tym standardowych klauzul umownych lub wiążących reguł korporacyjnych (choć brak możliwości stosowania w tych instrumentów należy udokumentować!), należy poszukiwać podstaw w art. 49 RODO. Oczywiście w tym artykule nie chcemy szczegółowo omawiać każdej podstawy, a jedynie rozważyć te, które być może mogłoby mieć zastosowanie do transferu danych pracowników.

Pierwszą z taki podstaw jest zgoda pracownika na transfer. Nie może być to jednak zwykła zgoda z art. 6 ust. 1 lit. a RODO, a zgoda, dla której przewidziano szczególne wymagania. Przede wszystkim musi być ona wyraźna, a zatem nie może zostać udzielona w sposób domyślny. Zaleca się odbieranie takich zgód w formie oświadczenia, choć niekonieczne pisemnego (może być to np. oświadczenie w formie mailowej lub sms). Zgoda w swojej treści powinna zawierać oświadczenie, że pracownik został poinformowany o ewentualnym ryzyku, z którym może wiązać się przekazanie danych do państwa trzeciego. Co więcej, zgoda na transfer powinna wskazywać konkretne państwo trzecie, a także konkretną okoliczność, z którą wiąże się transfer. Nie można bowiem za pomocą jednej zgody przekazywać danych poza EOG dla wielu różnych sytuacji w przyszłości. Zgoda nie może być także odebrana ewentualnie, „na wszelki wypadek”, ale musi być skonkretyzowana. Dopiero wtedy będzie spełniała rodowski wymóg konkretności zgody.

Zgoda nie jest jednak solidną podstawą transferu. Pracownik w każdej chwili może ją wycofać bez ponoszenia jakichkolwiek negatywnych konsekwencji. Dlatego zgody należy unikać i raczej próbować szukać innych podstaw transferu.

Kolejną podstawą mogłaby być niezbędność do wykonania umowy między pracownikiem (osobą, której dane dotyczą) a pracodawcą (administratorem) czyli umowy o pracę. Przede wszystkim przekazanie danych musi być niezbędne do realizacji tej umowy. Tę niezbędność należy traktować dosyć rygorystycznie. Wykonanie umowy o pracę nie mogłoby zatem zastąpić przez przekazania danych do państwa trzeciego. Takie sytuacje w relacjach pracowniczych będą należeć do rzadkości. Jeżeli zakres obowiązków pracownika dotyczy jedynie pracy poza EOG i bez transferu danych po prostu nie ma możliwości wykonania umowy o pracę, to w takiej sytuacji można ewentualnie wyobrazić sobie uzasadnienie transferu w oparciu o tę podstawę.

Lepiej jednak oprzeć się na podstawie niezbędności przekazania danych do zawarcia lub wykonania umowy w interesie osoby, której dane dotyczą czyli w interesie pracownika. W tej przesłance pojawia się inna osoba czyli podmiot trzeci, z którym administrator zawiera umowę „w interesie pracownika”. Najczęściej będzie tutaj chodziło o sytuacje, w których pracodawca zawiera umowę z kontrahentem z państwa trzeciego dotyczącą np. świadczenia usług, a pracownik będzie delegowany do tego państwa celem realizacji tych usług z polecenia pracodawcy. Z pewnością wykonanie polecenia pracodawcy i otrzymanie wynagrodzenia za realizację umowy o pracę jest działaniem w interesie pracownika, a co z tym idzie – przekazanie danych do państwa trzeciego jest niezbędne do realizacji tego interesu i umowy między pracodawcą a jego kontrahentem. Oczywiście w takiej sytuacji nie można zapominać o odpowiedniej modyfikacji treści umowy o pracę w zakresie możliwości oddelegowania pracownika za granicę lub odpowiedniego określenia miejsca świadczenia pracy.

Ostatnia przesłanka, z której mógłby skorzystać pracodawca dla transferu danych pracowników do państwa trzeciego opiera się na ważnych prawnie uzasadnionych interesach pracodawcy. Niestety, możliwość jej spełnienia jest uzależniona od wyważenia interesów pracownika i pracodawcy, a także szczegółowego udokumentowania, że nie można było skorzystać z żadnych wcześniejszych przesłanek. Ponadto przekazanie może mieć jedynie charakter okazjonalny i dotyczyć ograniczonej liczby osób. Pracodawca musi zapewnić odpowiednie zabezpieczenia (choć RODO nie wskazuje, co przez nie rozumie), a także powiadomić organ nadzorczy. Ta przesłanka jest zatem dla pracodawcy „ostatnią deską ratunku” i to na tyle uciążliwą, że korzystanie z niej powinno należeć do rzadkości.

To, że ostatnia przesłanka jest bardzo trudna do realizacji, nie oznacza, że przesłanki „szczególnych sytuacji” są również łatwe do skorzystania. W motywie 111 RODO wskazano, że wyjątki dotyczące „umowy” lub „roszczeń” należy ograniczyć do sporadycznych przekazań. Takie ograniczenie nie występuje jednak w przypadku wyraźnej zgody. Jeżeli zatem pracodawca chciałby oprzeć się na realizacji umowy o pracę lub realizacji umowy zawartej w interesie pracownika jako podstawie transferu danych, to takie przekazanie może mieć jedynie charakter sporadyczny, a nie systematyczny lub powtarzalny. Wyraźnie zwraca na to uwagę Europejska Rada Ochrony Danych w wytycznych 2/2018 w sprawie wyjątków określonych w art. 49 RODO. Jaki z tego wniosek? Z pewnością żadna z przesłanek dotyczących umowy nie może dotyczyć np. umieszczenia danych pracownika w chmurze, które to umieszczenie będzie skutkować transferem danych na serwery poza EOG. Podobnie przekazanie „na stałe” danych do systemu informatycznego kontrahenta, które to dane będą tam regularnie przetwarzane, także nie powinno następować o tę przesłankę. W takiej sytuacji bezpiecznej jest skorzystać ze zgody.

Podsumowując, należy pamiętać o „gradacji” podstaw transferu danych do państw trzecich. Dotyczy to także przekazywania danych pracowników. Nie można tracić z pola widzenia tego, że odpowiedni wybór podstawy transferu danych nie oznacza, że administrator jest zwolniony z przestrzegania innych reguł przetwarzania danych osobowych. Przede wszystkim transfer danych najczęściej powoduje wzrost ryzyka przy przetwarzaniu danych, co zdecydowanie może wpłynąć na wyniki oceny ryzyka i ewentualną konieczność przeprowadzenia oceny skutków dla ochrony danych (DPIA). W przypadku pracowników szczególną wagę należy przywiązać do zasady legalności i minimalizacji, które wyrażają się między innymi przez przestrzeganie zakresu danych, które należy odebrać od pracownika. Zakres tych danych przewiduje przede wszystkim Kodeks pracy.

RODO

Jak ustalić prawidłową podstawę przetwarzania danych?

Wybór odpowiedniej podstawy prawnej przetwarzania to zmora wielu administratorów. W końcu to ten wybór w zasadzie implikuje praktycznie wszystko, co dalej robimy z danymi i jak przeprowadzamy ocenę ryzyka. Jednocześnie wybór nie może być dowolny, gdyż trzeba go odpowiednio uzasadnić i – w przypadku kontroli – wytłumaczyć się z niego przez Prezesem UODO. W tym poradniku chcemy przybliżyć nasz sposób ustalania prawidłowej podstawy prawnej przetwarzania, który można w zasadzie wykorzystać przy każdym procesie przetwarzania.

Nieformalna „hierarchia” podstaw przetwarzania

Pamiętajmy, że podstawy prawne przetwarzania danych są równorzędne i żadna z nich nie ma prymatu. Widać to szczególnie dobrze przy okazji lektury podstaw przetwarzania danych zwykłych zgromadzonych w art. 6 RODO. Prawodawca unijny nie dał jakichkolwiek wskazówek odnośnie tego, która podstawa miałaby być „lepsza”. Mylnie zatem czasami wskazuje się na rynku, jakoby to zgoda (z uwagi na to, że jest chronologicznie pierwszą podstawą) miałaby być najlepszą podstawą prawną. Pierwszy nie zawsze oznacza najlepszy. Zgoda w zasadzie jest najgorszą możliwą podstawą prawną przetwarzania, gdyż nie zapewnia jakiejkolwiek stabilizacji procesu przetwarzania danych (może być w każdej chwili wycofana przez osobę, której dane dotyczą).

To, że podstawy są równorzędne wcale nie oznacza, że nie można zbudować sobie hierarchii podstaw na potrzeby poszukiwania prawidłowej podstawy. Taka hierarchia z pewnością bardzo pomoże przy analizie procesu i doborze podstawy prawnej.

Szukajmy przepisu prawa

W pierwszej kolejności należałoby się zastanowić czy istnieje przepis prawa, który nakłada na administratora jakiś obowiązek prawny. Wychodzimy zatem od podstawy prawnej z art. 6 ust. 1 lit. c RODO, a zatem badamy czy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Kategoria „obowiązku” może jednak sprawić w praktyce dużo problemów. O ile polski ustawodawca w wieku ustawach dokonał stosownych zmian, nakładając na administratora takie obowiązki (a nawet zmieniając dotychczasowe „uprawnienie” na „obowiązek” np. w Kodeksie pracy), to wiele aktów prawnych nadal przewiduje uprawnienie a nie obowiązek administratora. Co w takiej sytuacji? Należałoby jednak nadal próbować oprzeć przetwarzanie na art. 6 ust. 1 lit. c RODO. Nie powinniśmy każdorazowo trzymać się literalnej wykładni przepisu art. 6 ust. 1 lit. c RODO, a jednak zmierzać ku wykładni celowościowej, a zatem uwzględniającej cel danej regulacji prawnej. Z pewnością bardzo często administratorzy nie mają obowiązku prawnego, ale przysługuje im uprawnienie wynikające z przepisu prawa. Skoro zatem istnieje przepis prawa, który pozwala administratorowi na przetwarzanie danych w toku realizacji tego przepisu, to czemu nie oprzeć się na tej podstawie przetwarzania? Zawężająca wykładnia mogłoby uczynić podstawę prawną z art. 6 ust. 1 lit. c RODO nieco iluzoryczną.

Innymi słowy: jeśli istnieje przepis prawa przewidujący obowiązek lub nawet uprawnienie administratora do realizacji pewnych działań, z którymi wiąże się przetwarzanie danych, to poszukiwanie podstawy prawnej przetwarzania mamy zakończone.

Wykonanie umowy

Jeżeli jednak taki przepis prawa nie istnieje i nie możemy skorzystać z art. 6 ust. 1 lit. c RODO, to musimy przejść do art. 6 ust. 1 lit. b RODO czyli tzw. wykonania umowy. Jest to kolejna „solidna” podstawa prawna przetwarzania, która jest w zasadzie dosyć łatwa do uzasadnienia. Jeżeli zatem jesteśmy stroną jakiejś umowy i ta umowa nadal obowiązuje lub jeszcze nie została zawarta, ale druga strona umowy (będąca podmiotem danych) żąda od nas podjęcia działań zmierzających do zawarcia umowy, to jesteśmy w domu – art. 6 ust. 1 lit. b RODO pasuje jak ulał. Oczywiście i tutaj czyhają na nas pułapki i problemy. Musimy pamiętać, że art. 6 ust. 1 lit. b RODO dotyczy jedynie stron umowy. Na tej podstawie nie można przetwarzać danych personelu strony umowy, pełnomocnika czy osób, w interesie których ta umowa jest wykonywana. Ponadto wykonanie umowy dotyczy jedynie jej przedmiotu. Na literze art. 6 ust. 1 lit. b  RODO nie można przetwarzać danych w celu realizacji działań marketingowych w stosunku do naszego kontrahenta czy też nie można dochodzić roszczeń (w tym celu należy obrać inne podstawy prawne przetwarzania).

Szukajmy uzasadnionego interesu

No dobrze, ale co w sytuacji, gdy nie występuje ani przepis prawa ani nie mamy do czynienia z wykonaniem umowy? Tutaj sytuacja „rozjeżdża się” w zależności od tego czy jesteśmy administratorem z sektora publicznego czy prywatnego. Mowa bowiem o art. 6 ust. 1 lit. e lub lit. f RODO czyli o uzasadnionym interesie.

W przypadku sektora prywatnego, można w pewnych przypadkach oprzeć przetwarzanie danych osobowych na uzasadnionym interesie administratora lub – co ważne – również uzasadnionym interesie osoby trzeciej. Wracając zatem do poczynionej wcześniej uwagi o braku możliwości przetwarzania danych osobowych personelu czy też pełnomocnika kontrahenta w oparciu o podstawę dotyczącą wykonania umowy, to właśnie uzasadniony interes administratora (lub również osoby trzeciej – zależy, z której strony patrzeć w tym konkretnym przypadku) będzie podstawą do przetwarzania danych osobowych tych osób. Podstawa uzasadnionego interesu nie jest aż tak „mocną” podstawą jak wcześniej wymienione, gdyż wymaga przeprowadzenia tzw. „testu równowagi” czyli wyważenia interesów i praw administratora oraz podmiotu danych. Taki test powinien być udokumentowany oraz wyraźnie wskazywać jego wynik. Jeżeli prawa i wolności podmiotu danych nie przeważają nad interesem administratora, można oprzeć przetwarzanie danych na tej podstawie prawnej. Jeśli jest odwrotnie – należy szukać innej podstawy, co najczęściej będzie się kończyło koniecznością odebrania zgody od podmiotu danych.

Jeżeli natomiast działamy w sektorze publicznym, to odpowiednikiem art. 6 ust. 1 lit. f RODO w tym sektorze, jest art. 6 ust. 1 lit. e, który wskazuje, że można przetwarzać dane osobowe, jeśli przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

Wyjątkowo – ochrona żywotnych interesów

Nie można również zapomnieć o podstawie z art. 6 ust. 1 lit. d RODO, a zatem dotyczącej ochrony żywotnych interesów osoby, której dane dotyczą. Ta podstawa powinna być stosowana wyjątkowo i tylko w okolicznościach, które są związane z ochroną żywotnych interesów, czyli ważnych interesów życiowych podmiotu danych. Z tej przyczyny trudno umieścić ją w naszej „wewnętrznej hierarchii”, ale z pewnością nie powinna być ona pierwszym czy nawet drugim lub trzecim wyborem.

Finalnie dochodzimy do zgody czyli najbardziej kruchej podstawy przetwarzania. Zgoda jest zależna od woli podmiotu danych oraz musi spełniać szereg wymogów stawianych przez RODO m.in. musi być konkretna, dobrowolna i świadoma (a w przypadku zgody na przetwarzanie danych szczególnej kategorii również wyraźna). Co najważniejsze, podmiot danych może cofnąć zgodę w każdej chwili i dlatego opieranie się na tej podstawie prawnej powinno należeć do ostateczności. Jeśli administrator będzie nadużywał zgody jako podstawy prawnej przetwarzania danych, to sam naraża się na utratę możliwości tego przetwarzania. Ponadto nadużywanie zgody prowadzi niejednokrotnie do błędnego określenia podstawy przetwarzania albo wręcz zdublowania tych podstaw, co podlega administracyjnej karze pieniężnej.

Widać zatem, że kolejność podstaw prawnych przetwarzania danych zwykłych określona w art. 6 ust. 1 RODO nie skutkuje jakąś hierarchią podstaw. Nie oznacza jednak to, że dokonując wyboru podstawy prawnej nie możemy stworzyć sobie procedury intelektualnej, która ma nam pomóc w wyborze. Dlatego powyższy tok rozumowania należy stosować w toku projektowania każdego procesu, gdyż wybór podstawy prawnej implikuje następnie szereg innych zagadnień. Jeśli pomylimy się na tym etapie, skutki pomyłki potem będzie już bardzo trudno odwrócić.

RODO

Przetwarzanie danych osobowych osoby przyjmowanej do pracy

Polski ustawodawca, starając się dostosować przepisy prawa pracy do RODO, zakreślił wyraźnie katalog danych osobowych, których pracodawca żąda od kandydata do pracy i pracownika. Cel rekrutacji i przetwarzania danych osobowych kandydata do pracy różni się od celu wykonywania stosunku pracy i przetwarzania danych osobowych pracownika. Niestety ustawodawca wyraźnie zapomniał o „kategorii pośredniej” między kandydatami do pracy a pracownikami czyli o osobach przyjmowanych do pracy.

Kim są te osoby? Kluczem do wyznaczenia poszczególnych etapów od bycia „kandydatem do pracy” aż do stania się pracownikiem są zarówno przepisy Kodeksu pracy jak i ustalenie, kiedy kończy się rekrutacja. Według stanowiska Prezesa Urzędu Ochrony Danych Osobowych, koniec rekrutacji na dane stanowisko następuje w momencie podpisania umowy o pracę z wybranym kandydatem. Takie stanowisko stanowi jednak nadmierne uproszczenie. Nie zawsze podpisanie umowy o pracę gwarantuje nawiązanie stosunku pracy. Ponadto bardzo często – w szczególności przy zawieraniu pierwszej umowy o pracę na okres próby – rekrutacja „odżywa” w sytuacji, gdy kandydat nie sprawdził się jako pracownik i temat poszukiwania osoby na dane stanowisko wraca. Abstrahując jednak o tej tematyki, która obecnie jest bardzo kontrowersyjna i prokuruje wiele dyskusji, nie sposób pominąć faktu, że sam ustawodawca przewiduje trzecią, pośrednią kategorię osób, tj. osoby przyjmowane do pracy – wskazuje na to wprost w art. 229 § 1 pkt 1 Kodeksu pracy. Przepis ten przewiduje obowiązek pracodawcy związany z kierowaniem konkretnych kategorii osób na wstępne badania lekarskie. W pierwszej kolejności taką kategorią osób są właśnie osoby przyjmowane do pracy. Taka osoba nie jest już kandydatem do pracy, gdyż została wyłoniona w toku rekrutacji oraz zaakceptowała ofertę pracodawcy, ale nie jest jeszcze pracownikiem, gdyż nie została dopuszczona do pracy, a sam stosunek pracy jeszcze nie został nawiązany.

W tym kontekście nie sposób zapominać o tym, że samo podpisanie umowy o pracę nie oznacza nawiązania stosunku pracy. Zgodnie z art. 26 Kodeksu pracy, stosunek pracy nawiązuje się w terminie określonym w umowie jako dzień rozpoczęcia pracy, a jeżeli terminu tego nie określono – w dniu zawarcia umowy. Strony umowy o pracę mają zatem swobodę w określeniu późniejszej daty nawiązania stosunku pracy aniżeli data zawarcia umowy o pracę i w praktyce takie rozwiązanie jest bardzo często stosowane.

Co zatem z przetwarzaniem danych osobowych osób w tym przejściowym okresie? Przepisy prawa pracy wprost nie przewidują katalogu danych osobowych, które można przetwarzać po zakończeniu rekrutacji a przed nawiązaniem stosunku pracy. W przypadku badań wstępnych należałoby jednak szukać podstawy prawnej w art. 9 ust. 2 lit. b RODO, art. 229 § 1 pkt 1 Kodeksu pracy oraz w przepisach Rozporządzenia Ministra Zdrowia i opieki społecznej z dnia 30 maja 1996 r. w sprawie przeprowadzania badań lekarskich pracowników, zakresu profilaktycznej opieki zdrowotnej nad pracownikami oraz orzeczeń lekarskich wydawanych dla celów przewidzianych w Kodeksie pracy. Co jednak z innymi danymi np. danymi potrzebnymi do przygotowania stanowiska dla tej osoby czy nawet przygotowania umowy o pracę? Dla przykładu: numer PESEL nie znajduje się w katalogu danych, które można przetwarzać na etapie rekrutacji, ale znajduje się on w katalogu danych pracownika.

Skoro ustawodawca pozostawił wyraźną lukę w przepisach prawa, to administrator nie ma wyjścia, jak tylko poszukiwania innej podstawy prawnej wskazanej w katalogu art. 6 RODO. Jedną z takich podstaw, które można byłoby zastosować w opisanym powyżej przypadku jest art. 6 ust. 1 lit. b RODO. Przygotowanie projektu umowy o pracę jest działaniem administratora podjętym na żądanie osoby przyjmowanej do pracy przed zawarciem umowy – wypełnia zatem zdecydowanie przesłanki tej podstawy prawnej. Poszukiwanie innej podstawy prawnej np. zgody mogłoby również być uzasadnione, jednak wydaje się nieco trącić sztucznością, a poza tym charakteryzuje się dużym stopniem braku stabilizacji i pewności (zgodę zawsze można wycofać bez negatywnych konsekwencji). O ile w relacjach z kandydatem do pracy i pracownikiem należy głównie opierać się na art. 6 ust. 1 lit. c RODO (obowiązek prawny) oraz art. 6 ust. 1 lit. a RODO (zgoda), to w przypadku osoby przyjmowanej do pracy, należy poszukiwać innych rozwiązań, gdyż ustawodawca o tej kategorii osób po prostu zapomniał.

RODO

Czy zgoda pracownika załatwia wszystko?

Od kiedy ustawodawca popełnił dostosowanie Kodeksu pracy i innych ustaw do RODO, pracodawcy są w posiadaniu w miarę klarownego katalogu kategorii danych osobowych, których mają obowiązek żądać od pracowników. Inne dane osobowe aniżeli przetwarzane w oparciu o wykonanie obowiązku prawnego, pracodawca może przetwarzać w oparciu o zgodę pracownika. Zgodnie z art. 22(1a) zgoda osoby, która ubiega się o zatrudnienie (kandydata do pracy) lub pracownika może stanowić podstawę przetwarzania innych danych aniżeli wymienionych wprost w Kodeksie pracy. Należy przy tym pamiętać o wyjątkowej regulacji dotyczącej danych szczególnych kategorii, gdyż w tym przypadku pracownik może wyrazić zgodę na przetwarzania takich danych, ale ich przekazanie pracodawcy może nastąpić tylko z inicjatywy pracownika lub kandydata do pracy.

Wszystko wydaje się proste i klarowne, ale czy taka zgoda załatwia absolutnie wszystko? Dla przykładu: pracodawca żąda od pracownika podania jego prywatnego numeru telefonu albo imion rodziców. Podchodząc do problemu bez znajomość RODO, można przyjąć, że skoro mamy zgodę (udzieloną dobrowolnie, świadomie i konkretnie), to do czasu jej wycofania pracodawca może brać od pracownika wszelkie dane, także te szczególnej kategorii, które pracownik przekazał z własnej inicjatywy. I właśnie przy danych szczególnych kategorii – nawet bez znajomości RODO – zapala się czerwona lampka. Czy pracodawcy potrzebne są informacje np. o orientacji seksualnej pracownika albo o jego poglądach politycznych?

Wybierając podstawę przetwarzania danych osobowych  (art. 6, art. 9 i art. 10 RODO), nie można zapominać o zasadach przetwarzania danych znajdujących się w art. 5 RODO. Te zasady stanowią fundament projektowania jakichkolwiek działań związanych z danymi i muszą być uwzględniane również przy opieraniu przetwarzania o zgodę. W art. 5 ust. 1 lit. c RODO przewidziano tzw. zasadę minimalizacji danych. Zgodnie z tym przepisem dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Nie można zatem przetwarzać danych „na zapas” ani więcej niż potrzeba do realizacji celu.

Wracając więc to wyżej przytoczonych przykładów: czy w celu realizacji umowy o pracę pracodawcy potrzebne są informacje o imionach i nazwiskach rodziców? Co do zasady nie (chyba, że w przepisach prawa przewidziano taką ewentualność). Idąc dalej: czy potrzebne są informacje o prywatnym numerze telefonu? Nie, o ile pracownik nie podał go jako danej kontaktowej. Czy potrzebne są dane o orientacji seksualnej pracownika lub o jego poglądach politycznych? Na pewno nie i jeżeli pracownik przekazał takie dane, to nie można ich przetwarzać nawet w oparciu o wyraźną zgodę pracownika. Na straży prawidłowego stosowania zgody stoi bowiem zasada minimalizacji. Jeżeli pracodawca nie potrzebuje jakichś danych osobowych do realizacji umowy o pracę bądź realizacji innych celów związanych ze stosunkiem pracy, to nie może zbierać tych danych. Odmienne działanie stanowiłoby złamanie zasady minimalizacji i z pewnością byłoby podstawą do nałożenia na pracodawcę odpowiednich rygorów, w tym administracyjnej kary pieniężnej.