Drogi Agencie,
pierwszym zagadnieniem z jakim powinieneś się zapoznać w związku z nadchodzącą ustawą jest Podstawa Przetwarzania danych. W poniższym tekście spróbujemy Ci przybliżyć to pojęcie.
W tekście rozporządzenia czytamy:
1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
(…)
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Warto zapoznać się również z treścią Motwu 47.
Podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu.
Jeżeli zatem rejestrujemy dane, aby przygotować komuś ofertę, dokonać rezerwacji – możemy zarejestrować jej dane w swoim systemie rezerwacyjnym lub programie typu CRM.
Jeżeli tak robimy – pojawia się obowiązek poinformowania o tym osoby, których dane rejestrujemy (o obowiązku informacyjnym w dalszej części „Zagadnień RODO”).
Wygląda na to, że aby zarejestrować dane klienta – nie musimy go pytać go o zgodę – robimy to by podjąć odpowiednio działania na żądanie tej osoby lub by zarejestrować i później odpowiednio dobrze realizować czynności związane z rezerwacją jak i po jej dokonaniu.
W motywie 47 czytamy dalej:
Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania. Ponieważ dla organów publicznych podstawę prawną przetwarzania danych osobowych powinien określić ustawodawca, prawnie uzasadniony interes administratora nie powinien mieć zastosowania jako podstawa prawna do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. Prawnie uzasadnionym interesem administratora, którego sprawa dotyczy, jest również przetwarzanie danych osobowych bezwzględnie niezbędne do zapobiegania oszustwom. Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.
Zarejestrowanie zatem w CRM danych klienta jak i jego rezerwacji (by przypisać do niej wpłatę, zrobić odpowiednie rozliczenia, realizować własne cele) – jest uzasadnione i prawidłowe.
Jeżeli chcemy być jednak w 100% poprawni i nie obawiać się roszczeń o nieuzasadnione przetwarzanie danych – powinniśmy otrzymać zgodę klienta – najlepiej na piśmie – wówczas podstawą przetwarzania jest Artykuł 6, pkt 1a (więcej o zgodach napiszemy w części trzeciej „Zagadnień RODO”)
Podstawą przetwarzania może być rownież Artykuł 6, pkt 1b, ponieważ do wysłania oferty dane osobowe są nam niezbędne – rejestrujemy więc w tym celu min. imię , nazwisko, telefon i email. Jeżeli klient zostanie o tym (przetwarzaniu) poinformowany – jest to poprawne.
Warto jednak zwrócić uwagę na czas, w jakim zarejestrowane dane klienta przechowujemy, zwłaszcza w sytuacji kiedy nie mamy związanej z nim rezerwacji, a jego dane dalej znajdują się w naszej bazie.
WAŻNE! Powyższy tekst nie stanowi sam w sobie informacji o charakterze prawnym – jest jedynie niewiążącą interpretacją fragmentu dokumentu pochodzącego ze źrodła: https://giodo.gov.pl/pl/569/9276
Uwagi na temat powyższego artykułu prosimy przesyłać na adres crm@sykon.pl
