Europejska Rada Ochrony Danych Osobowych („ERODO”) wydała niedawno wytyczne w sprawie umów online jako podstawy przetwarzania danych. Dokument ten ma istotne znaczenie w zakresie działania podmiotów na rynku internetowym – sklepów, platform sprzedażowych i dostawców usług cyfrowych. Czy przedsiębiorcy świadczący usługi online powinni wobec tego zweryfikować swoje umowy i regulaminy?

Umowa a dane niezbędne do jej wykonania

ERODO zajęła się kwestią umowy zawieranej online jako podstawy prawnej przetwarzania danych osobowych. Na pierwszy plan wysuwa się podział na dane, bez których nie da się świadczyć usługi oraz dane pozostałe. ERODO podkreśla, że podmioty świadczące usługi drogą internetową mogą przetwarzać dane osobowe na podstawie umowy zawartej z daną osobą tylko w zakresie niezbędnym do wykonywania tej umowy. Innymi słowy gdy na przykład numer telefonu nie jest konieczny, a jedynie przydatny, aby umowa była prawidłowo wykonywana, to dla zgodnego z prawem przetwarzania numeru telefonu podanego w umowie należy uzyskać odrębną zgodę udzieloną przez osobę, której dane dotyczą. Co równie ważne, jeśli umowa zakłada kilka różnych usług, to nie jest to jeszcze podstawa do przetwarzania łącznie wszystkich przekazanych danych. Wytyczne ERODO stanowią w zasadzie podkreślenie zasady wynikającej z RODO, a mianowicie zasady minimalizacji danych – tj. przetwarzania adekwatnego, stosownego oraz ograniczonego do tego, co niezbędne do celów, w których są przetwarzane.

Umowa zgodna z prawem

Przetwarzanie tylko tych danych, które są niezbędne do wykonania usługi to jednak nie wszystko. Aby umowa i zawarte w niej warunki były prawidłową podstawą do przetwarzania danych osobowych, nie może być wątpliwości, co do ważności tej umowy. Ważność należy rozpatrywać nie tylko z punktu widzenia zdolności do zawarcia danej umowy, ale także z perspektywy przepisów konsumenckich. Jeśli bowiem umowa zawarta z konsumentem – która zasadniczo nie podlega negocjacji – będzie zawierała niedozwolone klauzule, a w konsekwencji będzie nieważna, to nie będzie również prawidłową podstawą do przetwarzania danych osobowych.

Przetwarzanie w celu poprawy usług oraz reklamy behawioralne

W wytycznych zwrócono też uwagę na kwestie gromadzenia danych w celu ulepszania świadczonych usług. ERODO podkreśliła, że jest to niezgodne z prawem, ponieważ klient zgodził się na świadczenie usług w oferowany dotychczas sposób i brak jest podstaw do przyjęcia, że przetwarzanie danych w tym celu jest obiektywnie konieczne.

Również przetwarzania danych osobowych w celach związanych z reklamą behawioralną nie można uznać za konieczne dla wykonywania umowy (nawet jeśli tak wyświetlana reklama pośrednio finansuje świadczenie usługi). Na uwadze należy mieć również, że osoby, których dane dotyczą, mają prawo do sprzeciwienia się przetwarzaniu ich danych dla celu marketingu bezpośredniego.

I co dalej?

Wytyczne pokazują, że RODO ma wpływ nie tylko w zakresie danych osobowych, ale również pośrednio na prawo kontraktów. Dlatego też ważne jest zweryfikowanie przez podmioty świadczące usługi drogą internetową ich umów i regulaminów – czy aby na pewno są zgodne z najnowszymi wytycznymi ERODO, tak, aby świadczenie przez nich usług było sprawne i zgodne z prawem.