Kartki świąteczne a RODO

Kartki świąteczne a RODO

Przesyłanie życzeń świątecznych pomiędzy członkami rodziny bądź znajomymi ma charakter osobisty i nie mają zastosowania w tym przypadku przepisy RODO; inaczej jest jednak z kartami wysyłanymi do kontrahentów czy klientów, o czym pamiętać powinny także urzędy.

Na co zwracać uwagę, wysyłając kartki świąteczne w imieniu instytucji, wyjaśnia Urząd Ochrony Danych Osobowych w odpowiedzi na liczne pytania, jakie trafiły w tej sprawie na infolinię UODO.

Urząd podkreśla, że choć wymienianie się życzeniami w okresie świątecznym jest działaniem powszechnie akceptowanym, a czasami wręcz oczekiwanym – także w kontaktach biznesowych, to zdarza się, że niektórzy partnerzy lub klienci ze względu na swoje poglądy nie życzą sobie składania życzeń o charakterze religijnym, a miły gest może ich urazić.

„Dlatego również proces wysyłania kartek świątecznych oraz prezentów powinien być przez administratorów właściwie przemyślany. Lepiej zawczasu uwzględnić wymagania przepisów prawa niż (pomimo dobrych chęci) poprzez nieprzemyślane działanie doprowadzić do jego naruszenia, które może wiązać się z negatywnymi konsekwencjami” – wskazuje UODO.

Urząd przede wszystkim zwraca uwagę, że przy okazji składania życzeń świątecznych dochodzi do przetwarzania danych osobowych adresatów (takich jak imię nazwisko, adres zamieszkania, adres poczty elektronicznej).

Jedną z podstaw przetwarzania tych danych na potrzeby wysłania kartki świątecznej może być zgoda – art. 6 ust. 1 lit. a Ogólnego rozporządzenia o ochronie danych osobowych (RODO).

„Często jest ona wyrażona choćby wtedy, gdy klient czy kontrahent zgodził się na otrzymywanie korespondencji pocztą. Należy jednak pamiętać, że zgodnie z RODO musi być ona: dobrowolna, konkretna, świadoma oraz jednoznacznie okazać wolę, osoby, której dane dotyczą. Może być wyrażona w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwalając tym samym na przetwarzanie dotyczących jej danych osobowych. Jednocześnie, należy poinformować, że zgodę taką można wycofać w każdym dowolnym momencie i musi to być tak samo łatwe jak jej wyrażenie” – instruuje UODO.

„Inną podstawą do przetwarzania danych osobowych przy wysyłaniu kartek świątecznych może być również prawnie uzasadniony interes administratora – art. 6 ust. 1 lit. f RODO. W omawianym kontekście, przykładowo można wskazać, że tym uzasadnionym interesem będzie utrzymywanie dobrych relacji biznesowych z klientami” – wskazuje Urząd.

Bez względu jednak na wybraną podstawę przetwarzania danych, administrator musi spełnić obowiązek informacyjny wobec swoich kontrahentów (art. 13 RODO).

„Nie dotyczy to sytuacji, w których te osoby zostały już wcześniej poinformowane o tym, że ich dane będą przetwarzane w tym celu. Jest to jeden z podstawowych obowiązków administratora, który musi być zrealizowany najpóźniej w momencie pozyskiwania tych danych. W kontekście przesłanki uzasadnionego interesu istotne jest, aby w obowiązku informacyjnym zostało wskazane m.in. prawo do wniesienia sprzeciwu. Oznacza to, że w takiej sytuacji, administrator nie będzie mógł przetwarzać danych osobowych do określonych celów, np. wysyłki korespondencji i tym samym kartek świątecznych” – wyjaśnia UODO.

Źródło: kurier.pap.pl