Umieszczenie klauzuli zgody
Klauzule zgody na przetwarzanie danych osobowych w celach podanych przez przedsiębiorcę nie powinny znajdować się jako postanowienia zawarte w regulaminie jego sklepu internetowego. Zgoda taka powinna być wyrażona poprzez zaznaczenie odpowiedniego pola wyboru (checkbox) przy zakładaniu konta lub w czasie składania zamówienia. Co istotne, nie może być ogólnikowa. Akceptacja regulaminu sklepu internetowego nie jest tożsama ze zgodą na przetwarzanie danych osobowych klienta sklepu. Taki zapis stanowi klauzulę niedozwoloną.
Przykład:
Numer wpisu 5398, data wpisu 25 pażdziernika 2013 r., branża: handel elektroniczny
"Klient dokonujący zakupu wyraża zgodę na przekazanie swojego adresu e-mail do XXX sp. z o.o. z siedzibą we Wrocławiu oraz przetwarzanie przez sklep oraz XXX sp. z o.o. swoich danych osobowych w celu wypełnienia ankiety z opinią o dokonanej transakcji w sklepie zgodnie z przepisami ustawy o ochronie danych osobowych z dnia 29.08.1997 r." (wyrok Sądu Okręgowego w Warszawie - Sądu Ochrony Konkurencji i Konsumentów z dnia 1 lipca 2013 r., sygn. akt XVII AmC 8336/12).
Zobacz więcej klauzul:
Klauzule niedozwolone: Ochrona danych osobowych
Oddzielne klauzule zgody
Przedsiębiorca nie może zamieszczać w treści umowy sprzedaży zawieranej z konsumentem połączonej jednej klauzuli zgody na przetwarzanie danych osobowych w celu zrealizowania umowy oraz w innych celach np. przesyłania Newslettera lub udostępniania danych osobowych innym podmiotom.
Konsument musi mieć możliwość wyboru celu w jakim przetwarzane będą jego dane osobowe. Nie może jednoczęśnie udzielać przedsiębiorcy zgody na przetwarzanie swoich danych osobowych w różnych celach
Każda z klauzul zgody musi być sformułowana oddzielnie oraz wskazywać właściwy cel.
Przykłady:
1. Wyrażam zgodę na otrzymywanie Newslettera
2. Wyrażam zgodę na przetwarzanie moich danych osobowych w celach marketingowych przez XXX.
3. Wyrażam zgodę na przetwarzanie moich danych osobowych dla celów rekrutacji, zgodnie z Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2014 r. , poz.1182)
4. Wyrażam zgodę na przekazywanie moich danych osobowych przez XXX podmiotom trzecim
Regulacja prawna
W świetle art. 23 ust. 1 pkt 1 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2014 r., poz. 1182 ) przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę. Zgoda taka musi być jednoznaczna oraz konieczna do realizacji zawieranej umowy (art. 23 ust. 1 pkt 3 ustawy).
Pogląd Naczelnego Sadu Administracyjnego
Kwestia rozdzielenia klauzul zgód była przedmiotem zainteresowania Naczelnego Sadu Administracyjnego w Warszawie (NSA). W wyroku NSA z dnia 19 listopada 2001 r., sygn. akt: II 2748/00 czytamy:
„(...) oświadczenie o wyrażeniu zgody na przetwarzanie danych w celach innych niż realizacja warunków umownych, nie może znajdować się jako jedno z postanowień umownych. Zgoda na przetwarzanie danych w celach marketingowych, reklamowych, informacyjnych oraz przyszłych wynikających z działalności operatora lub osoby trzecie, działające z jego upoważnienia i na jego rzecz, a także zgoda na przesyłanie materiałów promocyjnych i reklamowych innych podmiotów i udostępnianie danych innym osobom trzecim musi być odrębnym oświadczeniem woli, z treści którego wynikałaby zgoda na przetwarzanie w tym właśnie celu.
Niedopuszczalne jest (...) pozostawienie w "formularzu zgłoszeniowym" (internetowym) zapisu, iż jego wypełnienie jest jednoznaczne z wyrażeniem zgody na przetwarzanie danych w celach marketingowych, promocyjnych i reklamowych. Także i w tym przypadku konieczne jest wprowadzenie odrębnej klauzuli zawierającej zgodę na przetwarzanie danych w tych właśnie w celach, stosownie do art. 23 ust. l pkt l ustawy. Celem przetwarzania danych w "formularzu zgłoszeniowym"jest realizacja zgłoszenia (...). Dla przetwarzania danych w innych celach konieczna jest odrębna zgoda abonentów”.
Z Tezy wyroku NSA z dnia 4 kwietnia 2003 r. sygn. akt: II SA 2135/02 wynika: Zgoda na przetwarzanie danych osobowych nie może być domniemana lub dorozumiana z oświadczeniem woli o innej treści. Oznacza to, że wyrażający zgodę musi mieć w momencie jej zawarcia świadomość tego, co kryje się pod tym pojęciem”.
W wyroku z dnia 31 stycznia 2012 r., sygn. akt: I OSK 1317/11 NSA wyraził następujący pogląd: „(...) Formuła zgody na przetwarzanie danych osobowych powinna stanowić odrębne oświadczenie osoby, której dane dotyczą, zaś z jej treści powinno w sposób niebudzący wątpliwości wynikać w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego na co się godzi”.
Klauzule niedozwolone
W Rejestrze prowadzonym przez Prezesa Urzędu Konkurencji i Konsumentów znajdują się niedozwolone postanowienia umowne.
1. Numer wpisu: 880, data wpisu: 20 września 2006 r., branża: system argentyński
„Równocześnie Uczestnik gremium wyraża zgodę na przetwarzanie i przekazywanie swoich danych osobowych innym instytucjom. Dane osobowe podawane są dobrowolnie, jednak są niezbędne do zawarcia umowy” (wyrok Sądu Okręgowego w Warszawie – Sądu Ochrony Konkurencji i Konsumentów z dnia 20 lipca 2006 r., sygn. akt: XVII AmC 9/06).
2. Numer wpisu: 953, data wpisu: 17 listopada 2006 r., branża: system argentyński
„Podpis pod warunkami ogólnymi umowy jest równoznaczny z wyrażeniem zgody na przetwarzanie danych osobowych w bazie danych AICE oraz na przekazywanie innym podmiotom, w tym firmom ubezpieczeniowym w usprawiedliwionych celach wynikających z umowy, a także na zamieszczanie w prasie wyników asygnacji (nazwisko, imię, miejscowość)” ( wyrok Sądu Okręgowego w Warszawie – Sądu Ochrony Konkurencji i Konsumentów z dnia 27 sierpnia 2005 r., sygn. akt : XVII AmC 60/04).
Sprawdż:
Subskrypcja newslettera za zgodą czy bez zgody klienta sklepu internetowego
Podstawa prawna:
- art. 23 ust. 1 pkt 1 i pkt 3 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2014 r., poz. 1182 )
Stan prawny na 23 marca 2014 roku