W jednym ze sklepów kosmetycznych do dwóch kas ustawiły się kolejki jak w czasach PRL-u: długie, stłoczone i nerwowe. Przy jednej z nich kasjerka prosi osoby z zakupami, aby podawały swój PESEL. Chodziło o zarejestrowanie promocyjnego zakupu, gdy klient nie ma przy sobie karty sklepu uprawniającej do nabycia towaru ze zniżką.
Pierwsza pani śmiało wyrecytowała ten tajny numer, więc bliżej stojące osoby słyszały, że jest z Mikołowa, a jej numer zaczyna się od 67... Ale druga klientka chciała być dyskretna i podała PESEL ściszonym głosem. Ekspedientka go nie dosłyszała, więc poprosiła, aby podać numer jeszcze raz: głośno i wyraźnie. W tym momencie osoba kupująca żachnęła się i zażądała kartki, na której mogłaby zapisać PESEL, bo przecież nie wiadomo, kto stoi w kolejce i do czego może mu się przydać ten numer.
W tym momencie zaczęła się dyskusja: czy ekspedientki mogą domagać się podawania przez klienta - zwłaszcza publicznie i głośno - numeru PESEL? O jakie dane może nas prosić ekspedient-ka przy kasie? Jaką mamy pewność, że te dane nie zostaną wykorzystane do innych celów, bo w takim momencie nikt nas nie pyta, czy godzimy się na ewentualne wykorzystywanie i przetwarzanie danych osobowych. A czy karty lojalnościowe uprawniające do zakupów ze zniżką powinny zawierać wszystkie dane osobowe klienta wraz z numerem PESEL, a nawet odręcznym podpisem, takim samym, jaki złożyliśmy np. w banku jako wzór podpisu?
Odpowiedzi, które publikujemy poniżej, zostały przygotowane dla Czytelników DZ w biurze prasowym Generalnego Inspektora Ochrony Danych Osobowych w Warszawie.
Kupujemy tańsze produkty w zamian za dane osobowe...
Małgorzata Kałużyńska-Jasak - dyrektor Zespołu Rzecznika Prasowego Generalnego Inspektora Ochrony Danych Osobowych
Należy odnieść się do dwóch istotnych kwestii.
Pierwsza - to nieuprawnione i wręcz niestosowne zacho-wanie sprzedawczyni, która - jeśli nawet ma prawo zapytać klienta o PESEL - to jest zobowiązana do zachowania poufności tej informacji. Oznacza to, że pozyskanie numeru PESEL powinno się odbyć w taki sposób, by osoby postronne nie miały możliwości jego poznania.
Druga kwestia wymagająca omówienia, to przetwarzanie naszych danych osobowych w celu skorzystania ze zniżek na zakup produktów czy usług - w ramach tzw. programów lojalnościowych. Jak wynika z docierających do Generalnego Inspektora Ochrony Danych Osobowych sygnałów, nie tylko zakres żądanych danych na te potrzeby przez konkretne podmioty jest różny, ale też wskazywane są różne podstawy prawne ich pozyskiwania. Teoretycznie zatem numer PESEL, jako jedna z danych identyfikujących konkretną osobę, może być gromadzo-ny pod warunkiem, że administrator wykaże się niezbędnością jego posiadania. Jednak odpowiedź na pytanie: czy wykorzystywanie tej, jak i innych danych w konkretnym przypadku jest uprawnione, może być udzielona po dokładnym zbadaniu warunków umowy, jakie zawiera firma z klientem.
Umieszczanie na karcie takich danych, jak np. numer PESEL czy podpis, może powodować osłabienie ich ochro-ny, np. w przypadku zagubienia karty. Zatem należy podchodzić do tego z dużą ostrożnością, by nie spotkać się z zarzutem nieodpowiedniego zabezpieczenia przetwarzanych danych.
Jeśli chodzi o wykorzystywanie danych klienta w innym ce-lu niż korzystanie przez niego z programu lojalnościowego, mo-że się ono odbywać pod warunkiem, że na to się zgodzi i zostanie uprzednio poinformowany o szczegółach. Musi więc wiedzieć: kto, w jakim zakresie i celu bę-dzie przetwarzał jego dane. JJ
Zgoda na przetwarzanie nie musi być pisemna, ale...
Jeśli chodzi o klauzulę zgo-dy na przetwarzanie danych osobowych, warto zauważyć, że ustawa o ochronie danych osobowych nie wymaga, aby była to zgoda pisemna (może być też ustna), ale dla celów dowodowych lepiej będzie, gdy jest ona złożona na piśmie.
Przy wyrażaniu zgody najważniejsze jest jednak, aby osoba była świadoma, na co się godzi, tzn. komu, w jakim celu i w jakim zakresie udostępnia swoje dane osobowe.
Na potwierdzenie powyższych stwierdzeń warto przytoczyć orzecznictwo Naczelnego Sądu Administracyjnego.
W wyroku z 19 stycznia 2001 r. (sygn. akt II SA 2748/00) sąd stwierdził, że zgoda na przetwarzanie da-nych osobowych w celach marketingowych powinna być zawarta w odrębnym oświad-czeniu o wyrażeniu zgody; natomiast nie powinna zawierać się w treści zgody na realizację warunków umowy zawieranej z administratorem.
Z kolei w wyroku z 4 kwietnia 2003 r. (sygn. akt II SA 2135/2002) NSA wskazał, że "Zgoda (...) musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania (...)".
Natomiast w wyroku z 11 kwietnia 2003 r. (sygn. akt: II SA 3942/2004) NSA orzekł, że: "(...) zgoda (...) nie może mieć charakteru abstrakcyjnego, lecz winna odnosić się do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania (...)".
Także w literaturze przedmiotu podkreśla się, że: "Zgoda nie powinna mieć charakteru abstrakcyjnego, nie może dotyczyć przetwarzania danych osobowych »w ogóle«. Chodzi zatem o to, by odnosiła się do skonkretyzowanego stanu faktycznego, obejmowała tylko określone dane oraz sprecyzo-wany sposób i cel ich przetwa-rzania"(J. Barta. P. Fajgielski, R. Markiewicz, Ochrona Danych Osobowych. Komentarz, Zakamycze 2004, str. 420). JJ
Można się sprzeciwić, jeśli dane są używane do marketingu
Nasi Czytelnicy sądzą często, że raz udostępnione dane osobowe stają się jakby własnością firmy, której je powierzyliśmy. A przecież tak nie jest.
Ustawa o ochronie danych osobowych gwarantuje nam, że zgodę na przetwarzanie danych osobowych możemy w każdej chwili wycofać.
Warto też wiedzieć, że us-tawa o ochronie danych osobowych zobowiązuje każdego administratora danych, a więc także firmę organizującą programy lojalnościowe, aby należycie o nie dbał i chronił interesy osób, których te dane dotyczą. W szczególności ustawa nakazuje administratorowi, aby zbierał dane tylko w takim zakresie, jaki jest niezbędny dla osiągnięcia celu ich przetwarzania oraz aby wykorzystywał dane tylko w tym celu, dla którego je zebrał.
Nie może on zatem wykorzystywać danych dla innych, nieoznaczonych z góry celów (art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych). JJ
Nie można żądać danych osobowych, gdy nie da się ich skutecznie chronić
Chroń swoje dane i wiedz, że:
Każdej osobie, której dane są przetwarzane, przysługuje pra-wo ich kontroli (art. 32 ust.
1 ustawy). Wyraża się ono m.in. możliwością wniesienia sprzeciwu wobec ich wykorzystania w celach marketingowych lub przekazywania innemu administratorowi danych. (...)
W przypadku wniesienia sprzeciwu dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. Administrator może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby, w celach objętych sprzeciwem (art. 32 ust. 3 ustawy). JJ
*DŁUGOTERMINOWA PROGNOZA POGODY NA PAŹDZIERNIK 2013
*KULTOWA DZIELNICA: Wybierz swoją dzielnicę i zagłosuj w plebiscycie
*Najpiękniejsze Polki w Kalendarzu Charytatywnym 2014 [ODWAŻNE ZDJĘCIA]
*Najlepsze przepisy na pyszne dania GOTUJ Z DZIENNIKIEM ZACHODNIM
Dołącz do nas na Facebooku!
Publikujemy najciekawsze artykuły, wydarzenia i konkursy. Jesteśmy tam gdzie nasi czytelnicy!
Dołącz do nas na X!
Codziennie informujemy o ciekawostkach i aktualnych wydarzeniach.
Kontakt z redakcją
Byłeś świadkiem ważnego zdarzenia? Widziałeś coś interesującego? Zrobiłeś ciekawe zdjęcie lub wideo?