Audyt bezpieczeństwa informacji – klauzule zgody przetwarzania danych osobowych

Audyt bezpieczeństwa informacji powinien być kompleksowym, rzetelnym sprawdzeniem stopnia dostosowania podmiotu – administratora danych osobowych do przepisów odnoszących się do ochrony danych osobowych, w szczególności do stosowanych przez ten podmiot środków organizacyjno-technicznych realizujących cele wyrażone w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (uODO) i przepisach wykonawczych do tej ustawy. Elementem wymagającym szczególnie precyzyjnej weryfikacji będą klauzule zgody przetwarzania danych osobowych, którymi administrator danych usprawiedliwia przetwarzane przez siebie dane osobowe oraz ewentualne przedstawienie zgodnych z prawem propozycji ich brzmienia.

Mowa tutaj przede wszystkim o ogólnej klauzuli zgody na przetwarzanie danych osobowych jako takich (art. 23 ust. 1 pkt 1 uODO), ale również o bardziej szczegółowych klauzulach zgody, związanych z przesyłaniem informacji handlowych drogą elektroniczną, czy podjęciem kontaktu przy użyciu telekomunikacyjnych urządzeń końcowych (np. telefon) bądź automatycznych systemów wywołujących w celu marketingu bezpośredniego, a także klauzule zgody, które umożliwią administratorowi danych spieniężenie w przyszłości bazy kontaktów, którymi dysponuje.

Rozpoczynając od ogólnej klauzuli zgody na przetwarzanie danych osobowych z art. 23 ust. 1 pkt 1 uODO, jej podstawowe cechy związane z pozyskaniem zostały wskazane przez ustawodawcę w art. 7 pkt 5 uODO. Z przepisu tego wynika, iż zgoda taka nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, a także, że podmiot jej udzielający powinien mieć umożliwione jej odwołanie w każdym czasie. Co więcej, usunięcie danych osobowych nie będzie już wymagało zgody na przetwarzanie tych danych w tym zakresie, gdyż wyłączenie to wynika wprost z art. 23 ust. 1 pkt 1 in fine uODO.

Warto przyjrzeć się temu, jakie będą konieczne elementy składowe prawidłowo skonstruowanej klauzuli. Oczywiście każdy z administratorów danych dąży do jak największego okrojenia treści klauzul i zawarcie w nich jedynie niezbędnych elementów. Szybki rzut oka przez potencjalnego klienta na gąszcz klauzul do zaznaczenia, gdzie każda z nich jest rozbudowana i sugeruje trudności w czytaniu ze zrozumieniem, słusznie wywołuje sprzeciw i reakcję obronną. Tymczasem całkowicie wystarczające jest wskazanie w treści klauzuli zgody na przetwarzanie danych osobowych: (i) celu przetwarzania danych, (ii) zakresu danych, które będą podlegały przetwarzaniu oraz (iii) danych podmiotu, który będzie je przetwarzał. Natomiast warto pamiętać o tym, iż obligatoryjnych elementów omawianej klauzuli nie stanowią informacje takie jak: (i) źródło uzyskania danych osobowych oraz (ii) wskazanie podstawy prawnej, na podstawie jakiej zgoda jest wymagana (zarówno w formie wskazania na sam akt normatywny, jak i na skonkretyzowaną podstawę w postaci artykułu czy paragrafu).

Z kolei odnosząc się do klauzuli zgody na przesyłanie informacji handlowych drogą elektroniczną, która wymagana jest w oparciu o ustawę z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, należy wskazać, iż najczęściej zgoda ta będzie dotyczyła adresu e-mail, do którego nastąpi odniesienie. Warto również zastanowić się, czy przesyłane informacje handlowe będą dotyczyły jedynie podmiotu, któremu osoba wyraża zgodę, czy również innym podmiotom trzecim, przykładowo współpracującym z administratorem danych.

Natomiast w nawiązaniu do zasygnalizowanej klauzuli zgody na podjęcie kontaktu przy użyciu telekomunikacyjnych urządzeń końcowych czy automatycznych systemów wywołujących w celu marketingu bezpośredniego źródłem obowiązku pozyskania takiej klauzuli jest ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne. Dane podlegające przetwarzaniu w związku z tym zakresem działalności marketingowej obejmują przykładowo telefon oraz adres e-mail.

Ponadto w odniesieniu do wszelkich klauzul, istotne jest przestrzeganie zakazu wprowadzania check-boxów zawierających klauzulę zgody, która byłby uprzednio zaznaczona (zaakceptowana). Obowiązuje bowiem opcja opt-in, a nie opcja opt-out. Wyobraźmy sobie osobę, która tworząc konto w sklepie internetowym, otwiera zakładkę, na której znajdują się klauzule do akceptacji, zaś klauzula zgody jest automatycznie zaznaczona, więc osoba ta de facto zostaje pozbawiona możliwości podjęcia swobodnej decyzji. Jeśli nie zauważy tego oznaczenia lub przez nieuwagę przed zapoznaniem się z treścią strony, kliknie przycisk zapisujący i akceptujący dotychczasowe ustawienia, dojdzie do uznania, iż właśnie „wyraziła” zgodę zgodnie z treścią klauzuli. Warto więc mieć na uwadze, iż co do konstrukcji strony internetowej, kwestią koniecznie wymagającą usunięcia jest funkcjonujący na stronie mechanizm automatycznego zaznaczenia check-box’ ów z klauzulami.

Powyższe zasygnalizowane kwestie stanowią jedynie część węzłowych wątpliwości wynikających z praktyki konstruowania klauzul. Ich analiza pod kątem zgodności z przepisami prawa – zwłaszcza przepisami odnoszącymi się do ochrony danych osobowych – powinna być obligatoryjną częścią audytu bezpieczeństwa informacji przeprowadzonego w podmiocie będącym administratorem danych osobowych. Warto nie tylko zabiegać o zbadanie klauzul stosowanych dotychczas, ale – w razie konieczności – o opracowanie również kompletu prawidłowych klauzul, które pozwolą administratorowi danych prowadzić działalność w pełnym zakresie, z poszanowaniem celów ochrony danych osobowych.

Paweł Leśny

Katarzyna Barszczewska