By dokonać rezerwacji lokalu u developera nie jest konieczne wyrażenie zgody na przesyłanie treści marketingowych. Podstawą jest tu art. 6 ust. 1 lit. b RODO – przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Formularze, zgody i obowiązki informacyjne
Podczas wizyty w punkcie sprzedaży pewnego znanego developera spotkała mnie ciekawa sytuacja. Byłem bowiem umocowany przez członka rodziny do dokonania rezerwacji jednego z dwóch konkretnych mieszkań w sprecyzowanej lokalizacji. By jednak jej dokonać poinformowano mnie, iż konieczne jest zakreślenie w przedstawionym formularzu zgody na przetwarzanie danych w celu marketingu produktów lub usług developera – czego dokonałem świadom absurdalności żądania.
Bardzo uprzejmy doradca klienta poinformował mnie bowiem, że bez takich zgód jakakolwiek korespondencja w sprawie mieszkania jest niemożliwa. Zgoda jest niezbędna. Na nic zdały się dywagacje (ubarwiane licznymi przykładami, dykteryjkami i anegdotami) dotyczące podstaw prawnych przetwarzania i ich autonomicznego charakteru w kontekście art. 6 RODO. Pracownik pozostał niewzruszony.
Dostrzegając możliwość krzewienia dobrych praktyk oraz osiągnięcia osobistej korzyści zaproponowałem zakład w przedmiocie kompletnej zbędności udzielania takiej zgody do dokonania wstępnej rezerwacji lokalu. Udało mi się jednocześnie obniżyć stawkę (konsultant miał chyba żyłkę hazardzisty) do butelki dobrej whisky i wiedziony taką podwójną motywacją skontaktowałem się tego samego dnia z IOD spółki.
Pisząc do IOD
Zapytałem, czy pozyskiwana przez developera zgoda jest niezbędna w sytuacji, gdy uprzejmie proszę o zarezerwowanie konkretnego lokalu, tj. czy podstawą nie jest tu raczej art. 6 ust. 1 lit. b RODO – przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy? Czy ta konkretna czynność podejmowana na moje żądanie i z mojej inicjatywy musi zatem wiązać się z obowiązkiem wyrażania ogólnej zgody na marketing, co istotne wiążący się (zgodnie z treścią obowiązku informacyjnego) z profilowaniem?
Czy zatem zgodnie z taką logiką brak zgody uniemożliwi przygotowanie oferty dotyczącej wybranego produktu lub usługi na moją prośbę? – tak bowiem przedstawiono całą sytuację w salonie. Zresztą developer był chyba świadomy tej subtelnej różnicy wskazując dwie odrębne podstawy przetwarzania w formularzu (tj. art. 6 ust. 1 lit. b oraz art. 6 ust. 1 lit. a RODO). Dochodzimy w tym miejscu do przestrzegania zasad ogólnych z art. 5 RODO: rzetelności, przejrzystości i ograniczenia celu.
Jako pewną wskazówkę interpretacyjną można wskazać liczne decyzje GIODO (obecnie Prezes Urzędu Ochrony Danych Osobowych), ale i jednoznaczne stanowisko doktryny –
„W praktyce zdarza się, że administratorzy domagają się od osób pragnących zawrzeć umowę zgody na przetwarzanie danych w celu realizacji umowy i w celach marketingowych, łącząc dwa wskazane powyżej cele przetwarzania i uniemożliwiając podmiotowi danych swobodne decydowanie w przedmiocie wyrażenia zgody. Takie działanie należy uznać za nieprawidłowe, gdyż niezbędność przetwarzania danych dla realizacji umowy i zgoda to dwie odrębne przesłanki, które nie powinny być ze sobą utożsamiane ani łączone w taki sposób, że nie można ich faktycznie rozdzielić. Taka praktyka jest sprzeczna z przepisami komentowanego rozporządzenia również dlatego, że może prowadzić do wymuszania zgody.” [….] Zgodnie z dalszą częścią komentowanego przepisu przetwarzanie danych jest zgodne z prawem w przypadku podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Oznacza, to że prawodawca unijny dopuszcza przetwarzanie danych osobowych, mające na celu przygotowanie do zawarcia umowy, jednak warunkiem dopuszczalności tego rodzaju działań jest inicjatywa ze strony osoby, której dane dotyczą. [Fajgielski Paweł. Art. 6., w: Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz. Wolters Kluwer Polska, 2018.].
Jedynie na marginesie odnotowałem w korespondencji, iż przedłożony do podpisu formularz wydaje się poprawny, a wątpliwości budzi jedynie jego stosowanie – wymuszanie przez doradców udzielania przez klientów zgód marketingowych.
Głos rozsądku
I tu miłe zaskoczenie – rzeczowy, kompetentny merytorycznie i niezwykle uprzejmy Inspektor Ochrony Danych. W pierwszej kolejności dbając o aspekt PR-owy podkreślił, że spółka zrealizowała szereg działań mających zapewnić zgodności z przepisami RODO, a ponadto wdrożyła mechanizmy systemowego doskonalenia swoich procedur.
Następnie odpowiadając na przesłane pytanie wskazał, że administrator przetwarza moje dane osobowe w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy – art. 6 ust. 1 lit b RODO. Jednocześnie na podstawie zgłoszenia powzięto informację, że udzielona przeze mnie zgoda na przetwarzanie danych osobowych w celach marketingowych nie została wrażona w sposób dobrowolny oraz nie była niezbędna do podjęcia działań przed zawarciem umowy, a tym samym, zgoda ta, w ocenie Spółki, nie jest prawnie wiążąca. Mając na uwadze powyższe Spółka nie będzie zatem przetwarzać moich danych osobowych w celach marketingowych.
Miło było też przeczytać, że przesłane zapytanie było dla developera przykładem uzasadniającym konieczność stałego doskonalenia wiedzy kadry uczestniczącej w procesach przetwarzania danych osobowych, a z uprzejmym skądinąd konsultantem przeprowadzono rozmowę.
Ten sam konsultant honorując nasz zakład sprezentował mi dobrą whisky, otrzymując w zamian poradnik z zakresu prawa ochrony danych osobowych.
Widać więc, że o ile zdarza się, że wątpliwości dotyczące stosowania nowych przepisów wciąż mogą prowadzić do błędów i wypaczeń, to świadomi administratorzy nie boją się przyznać do błędów i podjąć stosownych działań. Z pewnością pomaga też w tym wykwalifikowany i sprawnie funkcjonujący Inspektor Ochrony Danych.
Jak podkreśla Adam Sanocki rzecznik prasowy Urzędu Ochrony Danych Osobowych „RODO ciężar odpowiedzialności za przetwarzanie danych zgodnie z prawem nakłada na administratora, zatem musi on udowodnić, że ma prawo wykonywać operacje na naszych danych, by się z nami kontaktować. Przedmiotem rozstrzygnięcia Prezesa Urzędu Ochrony Danych Osobowych (np. w skutek złożenia indywidualnej skargi) może być zatem legalność przetwarzania danych osobowych. Istotne jest, aby administratorzy mieli świadomość nie tylko, jakie obowiązki na nich spoczywają, ale również posiadali wiedzę o wszelkich zdarzeniach, które mogą zakłócić sposób wykonywania ich obowiązków. Dlatego inspektor ochrony danych może być wsparciem dla administratora w wielu sytuacjach. IOD nie tylko monitoruje operacje przetwarzania danych pod kątem ich zgodności z prawem, ale wspiera też administratora w realizacji jego obowiązków wobec klientów, czy pracowników. Inspektor może odgrywać ważną rolę zarówno w szkoleniu pracowników, jak i współpracy z klientami”.