Co prawda, przy okazji składania życzeń świątecznych dochodzi do przetwarzania danych osobowych adresatów (takich jak imię nazwisko, adres zamieszkania, adres poczty elektronicznej), ale wymienianie się życzeniami w okresie świątecznym jest działaniem powszechnie akceptowanym, a czasami wręcz oczekiwanym - także w kontaktach biznesowych. Ale nie zawsze.

Zdarza się, szczególnie w kontaktach biznesowych, że niektórzy partnerzy lub klienci ze względu na swoje poglądy nie życzą sobie składania życzeń o charakterze religijnym, a miły gest może ich urazić. Warto więc, zanim wyśle się życzenia, sprawdzić ten fakt.

- To jednak nie zwalnia administratora z wywiązywania się z obowiązków wynikających z RODO. Dlatego również proces wysyłania kartek świątecznych oraz prezentów powinien być przez administratorów właściwie przemyślany. Lepiej zawczasu uwzględnić wymagania przepisów prawa niż (pomimo dobrych chęci) poprzez nieprzemyślane działanie doprowadzić do jego naruszenia, które może wiązać się z negatywnymi konsekwencjami - ostrzega Urząd Ochrony Danych Osobowych.

Jedną z podstaw przetwarzania danych osobowych może być zgoda - art. 6 ust. 1 lit. a RODO. Często jest ona wyrażona choćby wtedy, gdy klient czy kontrahent zgodził się na otrzymywanie korespondencji pocztą. Należy jednak pamiętać, że zgodnie z RODO musi być ona: dobrowolna, konkretna, świadoma oraz jednoznacznie okazać wolę, osoby, której dane dotyczą. Może być wyrażona w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwalając tym samym na przetwarzanie dotyczących jej danych osobowych. Jednocześnie, należy poinformować, że zgodę taką można wycofać w każdym dowolnym momencie i musi to być tak samo łatwe jak jej wyrażenie.

Inną podstawą do przetwarzania danych osobowych przy wysyłaniu kartek świątecznych może być również prawnie uzasadniony interes administratora - art. 6 ust. 1 lit. f RODO. W omawianym kontekście, przykładowo można wskazać, że tym uzasadnionym interesem będzie utrzymywanie dobrych relacji biznesowych z klientami.

Bez względu na wybraną podstawę przetwarzania danych administrator musi spełnić obowiązek informacyjny wobec swoich kontrahentów (art. 13 RODO). Nie dotyczy to sytuacji, w których te osoby zostały już wcześniej poinformowane o tym, że ich dane będą przetwarzane w tym celu.

- Jest to jeden z podstawowych obowiązków administratora, który musi być zrealizowany najpóźniej w momencie pozyskiwania tych danych - zaznacza UODO.

I dodaje, że w kontekście przesłanki uzasadnionego interesu istotne jest, aby w obowiązku informacyjnym zostało wskazane m.in. prawo do wniesienia sprzeciwu. Oznacza to, że w takiej sytuacji, administrator nie będzie mógł przetwarzać danych osobowych do określonych celów, np. wysyłki korespondencji i tym samym kartek świątecznych.

Dane ciągle zagrożone

Zaledwie 28 proc. firm spełnia wymogi związane z Rozporządzeniem o Ochronie Danych Osobowych (RODO). Sytuacja w obszarze instytucji publicznych też nie jest dobra. Kontrola przeprowadzona przez NIK wykazała, że aż 70 proc. z nich nie jest w stanie zapewnić bezpieczeństwa przetwarzanych informacji.

Wielu przedsiębiorców nie do końca jednak zdaje sobie sprawę z tego, jak powinno wyglądać dostosowanie do przepisów związanych z ochroną danych osobowych, zwłaszcza, że regulacje prawne pozostawiają duże pole do interpretacji i nie określają jasno, w jaki sposób dane powinny być przechowywane.

Drugim bardzo ważnym aspektem pozostaje nałożenie na pracodawców obowiązku utworzenia etatu Inspektora Ochrony Danych. Przedsiębiorstwa z sektora MŚP nie mogą sobie w wielu przypadkach pozwolić na utworzenie nowych miejsc pracy. W związku z tym, odpowiedzialne za administrowanie danymi zostały osoby, które nie posiadają odpowiedniego przeszkolenia ani wiedzy. Poszerzenie obowiązków pracownika o ochronę danych osobowych sprawiło, że jest ona traktowana jako zadanie dodatkowe, do wykonania po godzinach pracy.