Czy można przetwarzać dane bez zgody?

14 dni temu 0 wyświetleń

Administrator może legalnie przetwarzać dane osobowe bez zgody, o ile posiada inną podstawę prawną określoną w art. 6 RODO. Przetwarzanie czy można przetwarzać dane bez zgody bez jakiejkolwiek podstawy prawnej stanowi przestępstwo zagrożone karą do 2 lat więzienia. Oprócz sankcji karnych, naruszenia RODO skutkują karami administracyjnymi sięgającymi 20 milionów euro lub 4% rocznego obrotu, co potwierdzają wysokie kary nakładane w 2024 i 2025 roku.

Komentarz 0 polubień

Może chcesz zapytać o to?Więcej

Czy można przetwarzać dane bez zgody? RODO a kary

Zrozumienie, czy można przetwarzać dane bez zgody, jest kluczowe dla uniknięcia poważnych problemów prawnych. Wiele osób błędnie uznaje zgodę za jedyny wymóg, ignorując istnienie alternatywnych podstaw prawnych. Poznanie przepisów pozwala chronić przedsiębiorstwo przed dotkliwymi sankciami finansowymi i odpowiedzialnością karną wynikającą z nieprawidłowego zarządzania informacjami wewnątrz organizacji.

Kiedy zgoda nie jest jedyną drogą do legalnego przetwarzania danych?

Tak, przetwarzanie danych osobowych bez zgody osoby, której dane dotyczą, jest w pełni legalne pod warunkiem, że administrator posiada inną podstawę prawną wymienioną w art. 6 RODO. Często wręcz nie powinno się prosić o zgodę, jeśli przetwarzanie jest niezbędne do wykonania umowy lub wynika z przepisów prawa. Przetwarzanie danych bez jakiejkolwiek podstawy prawnej jest jednak przestępstwem, za które grozi kara do 2 lat więzienia. ^[1]

W 2024 roku sporo skarg wpływających do organu nadzorczego dotyczyło rzekomego braku zgody.^[2] W praktyce wiele z tych postępowań zostaje umorzonych, ponieważ administratorzy skutecznie wykazują inne fundamenty prawne. Sam kiedyś myślałem, że bez słynnego checkboxa ani rusz. Pamiętam mój pierwszy audyt w małej firmie IT w Krakowie - chcieliśmy zbierać zgody nawet na wystawienie faktury! Prawnik niemal złapał się za głowę. To był moment, w którym zrozumiałem: zgoda to często ostatnia deska ratunku, a nie pierwszy wybór. Nadużywanie jej sprawia, że system staje się niewydolny. To błąd.

Pięć filarów legalności poza zgodą: Art. 6 RODO w praktyce

Zgoda (art. 6 ust. 1 lit. a) jest tylko jedną z sześciu równorzędnych przesłanek. Jeśli Twoja sytuacja pasuje do pozostałych pięciu, zgoda staje się zbędna, a czasem wręcz szkodliwa. Oto one:

Wykonanie umowy: Jeśli klient kupuje produkt w Twoim sklepie internetowym, musisz znać jego adres, aby wysłać paczkę. Prośba o zgodę w tym miejscu jest błędem logicznym - przetwarzanie jest niezbędne do realizacji zamówienia. Obowiązek prawny: Musisz przechowywać dane pracownika dla celów ZUS lub wystawić fakturę VAT? Robisz to, bo nakazuje Ci to prawo, a nie dlatego, że ktoś się na to zgodził.

Ochrona żywotnych interesów: W sytuacjach ratowania życia (np. po wypadku) lekarz nie czeka na podpisanie formularza RODO przed sprawdzeniem grupy krwi. Zadanie realizowane w interesie publicznym: Dotyczy głównie organów państwowych i urzędów. prawnie uzasadniony interes administratora: Najbardziej elastyczna, ale i najtrudniejsza podstawa.

W sektorze prywatnym większość procesów przetwarzania danych opiera się na wykonaniu umowy lub prawnie uzasadnionym interesie, a nie na zgodzie użytkownika.^[3] To fascynujące, jak bardzo różni się teoria od powszechnego przekonania. Większość firm, które odnoszą sukcesy w budowaniu zaufania, ogranicza liczbę zbieranych zgód do absolutnego minimum. Mniej znaczy bezpieczniej. Serio.

Prawnie uzasadniony interes – potężne narzędzie czy pułapka?

prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) pozwala na przetwarzanie danych, gdy jest to konieczne do celów wynikających z Twoich potrzeb jako administratora, o ile nie przeważają nad nimi prawa i wolności osoby, której dane dotyczą. Przykładem jest marketing bezpośredni do własnych klientów czy monitoring wizyjny w celu ochrony mienia. Ale uwaga - tu pojawia się haczyk, o którym wspomnę w sekcji o najczęstszych błędach poniżej.

Aby legalnie korzystać z tej podstawy, musisz przeprowadzić tzw. test równowagi (LIA - Legitimate Interest Assessment). Musisz udowodnić (najlepiej na piśmie), że Twoje cele są ważne, a ingerencja w prywatność minimalna. W mojej praktyce widziałem dziesiątki firm, które wpisywały uzasadniony interes in politykę prywatności, ale nie miały ani jednej strony dokumentacji testu równowagi. Podczas kontroli to prosta droga do kłopotów. Pamiętaj: jeśli nie masz testu na papierze, Twój interes prawny praktycznie nie istnieje.

Konsekwencje prawne i karne – co grozi za błąd?

Wiele osób uważa, że RODO to tylko kary finansowe. To tylko połowa prawdy. Owszem, kary administracyjne mogą sięgać do 20 milionów euro lub 4% rocznego światowego obrotu przedsiębiorstwa,^[4] co w 2024 i 2025 roku odczuło kilka dużych podmiotów w Europie, płacąc kwoty liczone w milionach. Jednak w Polsce mamy dodatkowy straszak: art. 107 ustawy o ochronie danych osobowych.

Przetwarzanie danych bez podstawy prawnej jest przestępstwem zagrożonym karą do 2 lat pozbawienia wolności. Jeśli dane są danymi wrażliwymi (np. o zdrowiu), kara wzrasta do 3 lat. To nie są żarty. Miałem okazję obserwować przypadek, gdzie błąd w konfiguracji bazy danych i brak podstawy do jej posiadania doprowadził do przesłuchań prokuratorskich całego zarządu. Emocje w takich chwilach są nie do opisania - to czysty stres i strach o przyszłość. Nikt nie chce być tym, który zapomniał sprawdzić podstawę prawną przed wysyłką masowego mailingu. Ryzykowna gra.

Zgoda vs. Umowa vs. Uzasadniony interes

Wybór odpowiedniej podstawy zależy od celu Twojego działania. Oto zestawienie najczęstszych ścieżek przetwarzania.

Zgoda (Art. 6 ust. 1 lit. a)

• Gdy nie ma innej podstawy (np. wysyłka newslettera do osoby niebędącej klientem)

• Wymaga udowodnienia, że była dobrowolna, konkretna i świadoma

• Może być wycofana w dowolnym momencie bez podania przyczyny

Wykonanie umowy (Art. 6 ust. 1 lit. b)

• Gdy dane są niezbędne do dostarczenia usługi lub produktu

• Niskie, o ile nie zbierasz danych nadmiarowych (niepotrzebnych do umowy)

• Trwa tak długo, jak długo trwa realizacja umowy i roszczenia z niej wynikające

Uzasadniony interes (Art. 6 ust. 1 lit. f)

• Marketing bezpośredni do klientów, monitoring, dochodzenie roszczeń

• Wymaga przeprowadzenia i udokumentowania testu równowagi (LIA)

• Możliwość wniesienia sprzeciwu przez osobę, której dane dotyczą

Zgoda jest najbardziej kłopotliwą podstawą, ponieważ można ją łatwo wycofać. Jeśli tylko możesz, opieraj się na umowie lub uzasadnionym interesie administratora - to fundamenty znacznie trudniejsze do podważenia w trakcie kontroli.

Perypetie Anny z bazą mailingową: Od paniki do porządku

Anna, właścicielka butiku odzieżowego w Warszawie, chciała wysłać ofertę promocyjną do 2.000 klientów, którzy zrobili u niej zakupy w ostatnim roku. Zaczęła panikować, gdy zdała sobie sprawę, że nie ma od nich oddzielnych zgód marketingowych zebranych podczas sprzedaży.

Początkowo Anna chciała wysłać maila z prośbą o zgodę, co samo w sobie mogłoby być uznane za niechcianą informację handlową. Bała się, że bez tego straci kontakt z klientami lub dostanie gigantyczną karę od urzędu.

Po konsultacji zrozumiała, że marketing bezpośredni własnych produktów do dotychczasowych klientów to klasyczny przykład prawnie uzasadnionego interesu. Zamiast spamować o zgody, przeprowadziła szybki test równowagi i wpisała odpowiednią informację do polityki prywatności.

Efekt? Anna wysłała mailing bez żadnych skarg, a jej sprzedaż w tym miesiącu wzrosła o 15% przy zerowym ryzyku prawnym. Dowiedziała się, że znajomość art. 6 RODO oszczędza czas i nerwy.

Ogólny obraz

Zgoda to nie jedyna droga

Istnieje 6 równorzędnych podstaw prawnych w art. 6 RODO - zawsze szukaj tej najstabilniejszej dla Twojego celu.

Brak podstawy to przestępstwo

Przetwarzanie danych bez żadnej z 6 przesłanek grozi karą do 2 lat więzienia oraz karami finansowymi do 20 milionów euro.

Jeśli chcesz działać bezpiecznie, warto sprawdzić, Kiedy nie jest wymagana zgoda na przetwarzanie danych osobowych?, by uniknąć niepotrzebnego ryzyka.

Dokumentuj test równowagi

Korzystając z uzasadnionego interesu, musisz mieć pisemny dowód na to, że Twoje cele są ważniejsze niż prywatność użytkownika.

Pamiętaj o celu

Dane zebrane w jednym celu (np. wysyłka towaru) nie mogą być bez dodatkowej podstawy użyte w innym celu (np. marketing partnerów).

Pytania z tej samej kategorii

Czy mogę przetwarzać dane bez zgody, jeśli znalazłem je w internecie?

To, że dane są publicznie dostępne (np. na LinkedIn), nie oznacza, że można je przetwarzać dowolnie. Nadal potrzebujesz podstawy prawnej, np. uzasadnionego interesu do kontaktu biznesowego, oraz musisz spełnić obowiązek informacyjny wobec tej osoby w ciągu 30 dni.

Co zrobić, gdy ktoś wycofa zgodę, a ja potrzebuję danych do celów podatkowych?

Wycofanie zgody nie oznacza, że musisz usunąć wszystkie dane. Po wycofaniu zgody marketingowej, zmieniasz podstawę prawną na obowiązek prawny (cele podatkowe) lub uzasadniony interes (obrona przed roszczeniami). Przechowujesz wtedy dane tylko w tym konkretnym celu.

Czy zgoda na marketing musi być osobna dla maila i telefonu?

Zgodnie z polskim prawem (ustawa o świadczeniu usług drogą elektroniczną), potrzebujesz oddzielnych zgód na kanały komunikacji (e-mail, telefon), nawet jeśli samo przetwarzanie danych opierasz na uzasadnionym interesie administratora.

Niniejszy artykuł ma charakter wyłącznie edukacyjny i nie stanowi porady prawnej. Przepisy dotyczące ochrony danych osobowych są skomplikowane i zależą od indywidualnych okoliczności każdego przypadku. Przed podjęciem jakichkolwiek decyzji dotyczących przetwarzania danych osobowych lub wdrożenia procedur RODO, zaleca się konsultację z licencjonowanym prawnikiem lub inspektorem ochrony danych.