Dane osobowe należą do wrażliwych informacji, które regulowane są odpowiednimi przepisami prawnymi. Ich przetwarzanie podlega szczególnemu reżimowi, stąd firmy nie mogą na to sobie pozwolić bez uprzedniego uzyskania odpowiednich zgód i zezwoleń. Równie ważne jest to w jaki sposób będę później korzystały ze zdobytych informacji.
Dane osobowe
Zgodnie z treścią art. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/we (ogólne rozporządzenie o ochronie danych) (RODO) dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Z kolei przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Wykorzystywanie danych osobowych klientów
Dane osobowe klientów poszczególnych firm mogą być wykorzystywane tylko za pełną ich zgodą. Osoba, która zechce zostać klientem danego przedsiębiorstwa musi zezwolić na przetwarzanie swoich danych, zwyczajowo dzieje się to poprzez złożenie stosownego oświadczenia na piśmie lub ustnie. W niektórych przypadkach istnieją od powyższej reguły pewne wyjątki.
Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
- osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów,
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Przetwarzanie danych osobowych jest uprawnione, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 6 ust. 1 rozporządzenia RODO. Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 4 pkt 2 rozporządzenia, w tym w szczególności do ich udostępnienia. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich.
Firmy mają możliwość wykorzystywania danych swoich klientów nawet wtedy, gdy ci nie złożyli stosownych oświadczeń, jednak zawarli jakiekolwiek umowy z przedsiębiorstwem. To właśnie na podstawie kontraktów firmy mogą wykorzystywać dane swoich klientów, aczkolwiek powinno się to odbywać tylko dla celów realizacji danej umowy. Niezależnie od zawarcia zobowiązania firma musi spełnić obowiązek informacyjny RODO, tj. musi przedstawić swojemu klientowi informację dotyczącą administratora danych osobowych, cel przetwarzania danych, podstawę prawną, zamiar przekazywania innym podmiotom, czas przechowywania oraz prawa osoby, której dane są przetwarzane.
Polityka prywatności firmy
Aby przetwarzanie danych osobowych było w pełni zgodne z prawem firmy powinny stosować tzw. regulaminy oraz politykę prywatności. Są to dokumenty, w których gromadzi się zasady odnoszące się do formy przetwarzania danych osobowych oraz zawierające informacje kto i na jakich zasadach jest odpowiedzialny za tę kwestię.
Polityka prywatności może być sporządzona zarówno w formie elektronicznej (umieszczanej na stronie danej firmy), jak również i pisemnej (do wglądu w siedzibie przedsiębiorstwa). Ważne jest, aby była dostępna zarówno dla istniejących już, jak i przyszłych klientów.
