Po raz kolejny najnowsze wytyczne Europejskiej Rady Ochrony Danych Osobowych (EROD) odnoszące się do zasad ochrony danych osobowych uderzają w przedsiębiorców. Tym razem sytuacja dotyczy umów on-line oraz zbieranych do ich zawarcia danych od klientów. Szczegóły tych wytycznych zostały zawarte w Wytycznych EROD 2/2019.
A oto część z nich:
Wytyczne odnoszą się do przedsiębiorców świadczących różnego rodzaju usługi on-line. W tym wypadku chodzi nie tylko o świadczenia, których koszty pokrywane są przez nabywców, ale także dotyczy to różnego rodzaju reklam, w związku z którymi wykorzystuje się dane profilowanych użytkowników tych reklam.
Zaleca się aby przedsiębiorcy dokonali analiz wzorów swoich umów, jak również regulaminów wedle których świadczą usługi, w szczególności pod kątem sprawdzenia czy przypadkiem nie są zbierane dane nadmiarowe. Znów po raz kolejny „kłania się” zasada minimalizacji danych.
Przy zawieraniu umów podstawą przetwarzania danych jest art. 6 ust. 1 lit. b RODO, z tym, że w oparciu o najnowsze wytyczne EROD trzeba zwrócić uwagę na to, aby były to dane typowo niezbędne do zawarcia umowy. I tak np. jeśli nabywca chce w ramach realizowanej usługi uzyskać fakturę, to musi podać większy zakres danych, niż ta osoba, która jest zainteresowana jedynie doręczeniem jej przesyłki, w której będzie zawarty paragon, a nie faktura.
Samo zawarcie z daną osobą umowy w celu jej realizacji nie pociąga za sobą możliwości aby przedsiębiorca wykorzystywał dane z tej umowy także i w innych celach, np. w celu ulepszenia swoich usług. Podobnie jest w przypadku gdyby przedsiębiorca chciałby wykorzystać dane użytkownika z umowy dla celów związanych z profilowaniem.
Należy ponadto zwrócić uwagę na to, że umowa musi jeszcze być zgodna z krajowymi regulacjami prawnymi, w tym musi się także odnosić do kwestii związanych z czynnościami prawnymi, których stronami są dzieci. Co ciekawe, przyjmuje się, że gdyby doszło do stwierdzenia, iż umowa zawiera tzw. klauzule abuzywne, to sama w sobie nie może być podstawą do przetwarzania danych w niej zawartych.
Ciekawe co na to wszystko powie Urząd Ochrony Danych Osobowych?