Sektor Fin-Tech a RODO
Ministerstwo Cyfryzacji wydało w ostatnim czasie poradnik dla sektora Fin-Tech, w którym pokazano przedsiębiorcom, jak powinni dostosować się do unijnego rozporządzenia o ochronie danych osobowych.
W pierwszej części opisano działania dotyczące marketingu. Porównano dwa porządki prawne – RODO i ustawę o świadczeniu usług drogą elektroniczną (tzw. UŚUDE) i ich wpływ na ważność zgody i możliwość od jej odstąpienia. Wskazano, iż, wbrew powszechnej praktyce, przetwarzanie danych osobowych nie wymaga co do zasady odebrania zgody i może odbywać się w oparciu o prawnie uzasadnione interesy przedsiębiorcy. Należy jednak pamiętać, że odbiorca ma prawo złożenia sprzeciwu wobec przetwarzania danych dla celów marketingowych.
Przewodnik odpowiada również na wiele wątpliwości związanych z otrzymywaniem danych wrażliwych, które są przekazywane przez klientów z ich własnej inicjatywy. Chodzi głównie o informacje, o które administratorzy nie zwracają się, a mimo to je otrzymują. Otóż, zgodnie z przewodnikiem, administrator nie ma obowiązku usunięcia tych danych, o ile z przyczyn technicznych nie jest możliwe usunięcie ich bez usunięcia danych podstawowych. Taka sytuacja będzie miała miejsce, jeżeli dane wrażliwe i inne dane znajdą się w jednym piśmie klienta.
Poradnik dotyka także problemu usunięcia danych osobowych z kopii zapasowych. Przechowywanie kopii jest jednym z technicznych sposobów zabezpieczenia danych osobowych. Dane te powinny być usunięte razem z całą kopią zapasową, kiedy ustaną podstawy przetwarzania wszystkich danych. Przed tą chwilą, kopie te muszą być niejako „wyłączone z przetwarzania”, czyli przetwarzanie tych danych powinno zostać ograniczone jedynie do przechowywania. Co więcej, nawet mimo konkretnego żądania osoby, której dane są przetwarzane, nie należy kasować ich w sposób selektywny z integralnej kopii zapasowej. Ministerstwo odpowiedziało również na problem podstawy prawnej przy organizowaniu konkursu. Jednocześnie stwierdzono, iż na cele przeprowadzenia konkursu, podstawą przetwarzania jest art. 6 ust. 1 lit. f RODO, a więc prawnie uzasadniony interes administratora.
Zachęcamy do przeczytania całego przewodnika znajdującego się na stronie Ministerstwa Cyfryzacji - https://www.gov.pl/web/cyfryzacja/przewodnik-po-rodo
DJ