Porady eksperta

Umowa z klientami a przetwarzanie danych osobowych

Użytkownik zwrócił się do nas z prośbą o udzielenie odpowiedzi na pytanie, czy jeżeli firma sprzedaje klientom usługi i podpisuje z nimi umowę, klient podaje dane adresowe, czy firma ma obowiązek przedłożenia formularza, że Klient zgadza się na przetwarzanie danych osobowych? Ponadto prosił o wskazanie czy w umowie może być zawarte ze klient wyraża zgodę na zamieszczenie zdjęć z jego realizacji na profilu naszej firmy?

Należy wskazać, że zgodnie z art. 14 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm., dalej „RODO”) administrator (Użytkownik) ma obowiązek poinformowania Klienta o przetwarzaniu jego danych osobowych.

Informowanie osoby, której dane dotyczą, o przetwarzaniu jej danych w sytuacji, gdy administrator pozyskuje dane z innych źródeł (np. od innych podmiotów niż podmiot danych), jest szczególnie istotne z punktu widzenia zapewnienia realizacji prawa osoby do ochrony jej danych z uwagi na to, że osoba, której dane dotyczą, nie wie o tym, że administrator przetwarza jej dane, a co za tym idzie, nie może skorzystać z przysługujących jej uprawnień dotyczących kontroli przetwarzania danych. Dopiero wtedy, gdy podmiot danych dowie się (zostanie poinformowany o tym), że jego dane są przetwarzane, może domagać się wglądu do danych, skorygowania danych nieprawidłowych, a niekiedy nawet ich usunięcia. W tym sensie uprawnienie informacyjne ma charakter pierwotny względem innych uprawnień podmiotu danych i może warunkować skorzystanie z pozostałych uprawnień, które mają charakter wtórny (aktualizują się w następstwie realizacji uprawnień i odpowiadających im obowiązków informacyjnych).

Obowiązek informacyjny przy gromadzeniu danych z innych źródeł nie jest uzależniony od liczby danych pozyskiwanych przez administratora. Obowiązek ten powinien być spełniony zarówno przy gromadzeniu niewielkich liczby danych, jak również w sytuacji, gdy administrator pozyskuje wiele danych. Prawodawca unijny nie zabrania pozyskiwania (nabywania) całych zbiorów danych osobowych, zgromadzonych uprzednio przez inne podmioty, przy czym również w przypadku nabycia danych zawartych w zbiorze omawiany obowiązek informacyjny znajduje zastosowanie. Z praktyką obrotu zbiorami (bazami) danych osobowych mamy do czynienia w sektorze prywatnym (szerzej na ten temat por. P. Litwiński, Obrót prawny bazami danych osobowych, PPH 2003/9, s. 46 i n.).

Nie ma natomiast potrzeby informowania podmiotu danych o tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym albo warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych, gdyż w przypadku gromadzenia danych z innych źródeł konstrukcje te nie znajdują zastosowania.

Przepis wskazanego artykułu nakazuje administratorowi, aby przekazał osobie, której dane dotyczą, następujące informacje:

a)      swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

b)      gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

c)       cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;

d)      kategorie odnośnych danych osobowych;

e)      informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

f)        gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony.

W ustępie 2 artykułu nakłada na administratora obowiązek informowania osoby, której dane dotyczą, dodatkowych informacji, które są niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą, obejmujących:

a)      okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

b)      prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią, jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. F  tzn. przetwarzanie danych jest niezbędne dla realizacji prawnie uzasadnionego interesu;

c)       informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

d)      jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

e)      informacje o prawie wniesienia skargi do organu nadzorczego;

f)        źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;

g)      informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

W naszej ocenie rekomendowanym rozwiązaniem jest przedstawianie Klientom klauzuli dotyczącej wyrażenia zgody na przetwarzanie danych osobowych w formie załącznika do Umowy. Podstawą prawną przetwarzania danych jest zgoda osoby, której dane dotyczą, o której mowa w art. 6 ust. 1 lit. a RODO.

Odnosząc się do pytania dotyczącego zgody na zamieszczenie zdjęć z jego realizacji na profilu naszej firmy wskazujemy, że takie postanowienie można wprowadzić do umowy. Jeżeli Klient wyrazi zgodę na publikację zdjęć na profilu nie ma przeszkód, aby je udostępnić.

Pamiętaj!

Wpisz nasz KRS 0000318482 w Deklaracji Podatkowej PIT.

Wyszukaj:

Akademia Liderów Innowacji i Przedsiębiorczości Fundacja dr Bogusława Federa w https://www.podatki.gov.pl/pit/twoj-e-pit/

Dziękujemy

Wpisz nasz KRS 0000318482 w deklaracji podatkowej PIT.

Stan prawny: 19 października 2023 roku

Podstawa prawna:

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).

Pamiętaj:
Wpisz nasz KRS 0000318482 w Deklaracji Podatkowej Twój e-PIT
Dziękujemy!

Czy wiesz, że aż 96% mikro firm zapewnia 75% wszystkich wpływów z podatków i wytwarza 51% zysku gospodarki kraju?

A tylko niewielkiej liczbie udaje się utrzymać na rynku dłużej niż rok bez dostatecznej wiedzy i znajomości przepisów.

A czy wiesz, że...

Ty też możesz coś zrobić, abyśmy mogli dalej działać i skutecznie Cię wspierać?

KRS 0000318482

Przejdź do Twój e-PIT