Najczęstsze błędy popełniane przy wdrażaniu RODO – część pierwsza (i nie ostatnia).

Najczęstsze błędy popełniane przy wdrażaniu RODO  – część pierwsza (i nie ostatnia).

Rozwiązaniem, które jest spotykane nagminnie – nawet w instytucjach o dość dużej skali działania – jest żądanie zgody na przetwarzanie danych osobowych tam, gdzie właściwa jest inna podstawa prawna.

Bardzo często można spotkać się z poglądem, że „na wszelki wypadek” lepiej jest zgodę mieć, niż nie mieć.

  • np. poprzez dodanie do umowy sprzedaży sformułowania „Nabywca wyraża zgodę na przetwarzanie danych osobowych przez Sprzedającego w celu niezbędnym do realizacji niniejszej umowy.

lub

  • w ogłoszeniu rekrutacyjnym: „Wyrażam zgodę na przetwarzanie danych osobowych w celach niezbędnych do przeprowadzenia procesu rekrutacji.

Nic bardziej mylnego – błędnie zidentyfikowana podstawa prawna będzie „odbijać się echem” w sformułowanych klauzulach informacyjnych, oraz przy ustalaniu okresów retencji danych – a zatem zwiększać ryzyko prawne, ponieważ każdy z tych błędów to potencjalna odrębna odpowiedzialność finansowa.

W pierwszym przypadku właściwą podstawą prawną nie jest zgoda, a art. 6 ust.1 lit. b RODO, czyli niezbędność do realizacji umowy – zgodę przy takie okazji można pobierać, ale tylko wtedy, gdyby dotyczyły innych, dodatkowych elementów, np. wysyłania maili reklamowych, zezwolenia na kontakt telefoniczny w celu przedstawienia ofert itd. –  dobrze opisują to (zazwyczaj bardzo ogólne, w tym przypadku jednak zaskakująco precyzyjne) wytyczne EROD nr 259 dotyczące zgód.

Jeżeli podanie określonej informacji jest warunkiem zawarcia umowy – to nie można jako podstawę przyjmować zgody (zgoda może być pozyskiwana wyłącznie na elementy dodatkowe, od których nie jest uzależnione zrealizowanie umowy).

Podobnie, jeżeli chodzi o drugi przypadek – nie pozyskuje się zgody na rozpatrzenia kandydatury do pracy w bieżącej rekrutacji – można ja pobrać na takie elementy dodatkowe jak dodanie do tworzonej głównej bazy kandydatów.

Jeżeli kandydat poda w aplikacji, np. w CV dodatkowe informacje, które wykraczają poza te, które są określone w art. 22[1] należy przyjąć, że poprzez samą czynność zamieszczenia wyraził zgodę dorozumianą (w Polsce zakazaną do 25 maja 2018 roku a dozwoloną właśnie po przyjęciu RODO do stosowania) – nie wolno natomiast zmuszać kandydatów do wyrażania zgód, ponieważ stanowi to zaprzeczenie ich istoty, a może być też poczytane za naruszenie art. 7 RODO, co stanowi niezależną podstawę do nałożenia kary pieniężnej.

Przyłącz się do konwersacji

1 komentarz

Dodaj komentarz