Wytyczne EROD dotyczące przetwarzania danych na podstawie art. 6 ust. 1 lit. b RODO
03.12.2019
Autor: Paweł Sobel
Podczas 14. sesji Europejskiej Rady Ochrony Danych (EROD) mającej miejsce w dniach 8-9 października br. uchwalono Wytyczne dotyczące przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. b RODO (niezbędność przetwarzania do wykonania umowy z podmiotem danych) w kontekście usług zamawianych drogą online – Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects (org.) Dokument jest uaktualnioną wersją Wytycznych opracowanych w kwietniu br. po konsultacjach społecznych.
Celem uchwalenia Wytycznych było wskazanie niezbędnych elementów zgodnego z prawem przetwarzania danych na podstawie „niezbędności do wykonania umowy” oraz analiza samego pojęcia „niezbędności” przetwarzania do wykonania umowy.
Poniżej przedstawione zostały wybrane kwestie poruszone w Wytycznych.
1. Zgoda na zawarcie umowy, nie powinna być utożsamiana ze zgodą na przetwarzanie danych.
Rada stwierdziła, że w ramach zawierania umowy, ważne jest aby wyraźnie odróżnić akceptację warunków umowy (terms of service) od zgody na przetwarzanie danych (art. 6 ust 1 lit. a RODO). Zdarza się, że zarówno podmioty danych jak i administratorzy mylnie postrzegają zgodę akceptującą warunki umowy za zgodę na przetwarzanie danych w rozumieniu art. 6 ust. 1 lit. a RODO. Te pojęcia, jak wskazuje EROD nie powinny być ze sobą utożsamiane, jako że wiążą się z innymi wymogami oraz konsekwencjami prawnymi
2. Pojęcie „niezbędności”.
W Wytycznych przybliżono istotę pojęcia „niezbędności” przetwarzania danych. Nawiązując do wskazówek EDPS podkreślono, że ocena, czy konkretne działanie jest „niezbędne” w rozumieniu prawa unijnego obejmuje upewnienie się, czy zamierzony cel może być osiągnięty za pomocą mniej uciążliwych środków. Jeśli odpowiedź na powyższe pytanie jest twierdząca – należy wykluczyć istnienie „niezbędności”.
3. Umowy zawierane w Internecie a zastosowanie przesłanki z art. 6 ust 1 lit. b RODO.
Zgodnie z wytycznymi EROD o zastosowaniu przesłanki z art. 6 ust. 1 lit. b RODO można mówić w dwóch sytuacjach – „przetwarzanie musi być obiektywnie niezbędne do wykonania umowy z podmiotem danych, lub musi być obiektywnie niezbędne to podjęcia działań przedumownych na żądanie podmiotu danych”.
Administrator w celu powołania się na przesłankę przetwarzania danych z art. 6 ust. 1 lit. b Rozporządzenia musi wykazać, że:
Dodatkowo należy pamiętać, że obowiązkiem administratora danych w związku z zasadą rozliczalności jest możliwość wykazania, że bez przetwarzania danych osobowych klienta nie byłby w stanie zrealizować zamawianej usługi lub innego zobowiązania będącego przedmiotem umowy.
W przypadku działań związanych z zawieraniem umów drogą elektroniczną przesłanka z art. 6 ust. 1 lit. b RODO może być zastosowana jeśli „przetwarzanie jest obiektywnie niezbędne do zrealizowania celu, który jest integralną częścią dostarczanej usługi.”
Jako przykład takich działań podano m.in. zamówienie produktu w sklepie internetowym. W tym wypadku przetwarzanie danych osobowych będzie niezbędne w celu realizacji płatności (np. dane dotyczące karty płatniczej oraz jej posiadacza) oraz wysyłki produktu na wskazany adres (np. adres domowy). Jednak w przypadku gdy zamawiający zdecyduje się na odebranie przesyłki w punkcie odbioru, przetwarzanie jego adresu domowego na podstawie niezbędności do wykonania umowy nie będzie już możliwe.
4. Niezbędność do zawarcia umowy, a odpowiedzialność za wady produktu.
Ciekawe spostrzeżenie, które znalazło się w wytycznych EROD dotyczy odpowiedzialności z tytułu rękojmi/gwarancji na sprzedany produkt. Rada stwierdziła, że działania podejmowane z tytułu gwarancji mogą zostać uznane za integralną część umowy, tak więc przechowywanie danych przez określony okres czasu w celu zabezpieczenia roszczeń może być uznane za przetwarzanie danych niezbędne do wykonania umowy. Oznaczałoby to możliwość zastosowania wspomnianej przesłanki z art. 6 ust. 1 lit. b RODO w miejsce zazwyczaj używanej w takich okolicznościach przesłanki prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO).
Podsumowanie
Chociaż sam dokument nie jest zbyt obszerny i w większości przypadków powołuje się na znane wcześniej wytyczne Grupy Roboczej ds. art. 29 lub opinie EDPS, pozwala on lepiej zrozumieć kwestię dopuszczalności powołania się na przesłankę niezbędności przetwarzania do wykonania umowy, odnosząc się do konkretnych przykładów oraz wskazując konkretne obowiązki administratorów danych.
Źródło: Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22019-processing-personal-data-under-article-61b_en, dostęp: 10.11.2019
Autor
Paweł Sobel
Doświadczenie zdobywał pracując w uznanych krakowskich kancelariach specjalizujących się w zagadnieniach dotyczących ochrony danych osobowych, prawa własności intelektualnej, prawie medycznym oraz prawie pracy. Brał udział w tworzeniu dokumentacji oraz procedur w ramach wielu projektów wdrożenia RODO.
Kategorie
Dołącz do listy mailingowej i otrzymuj od nas zawsze aktualne informcje!