Tak wynika z ustawy o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.). Naruszyło ją jedno z biur podróży. W swoim zgłoszeniu uczestnictwa w wycieczce nie zamieszczało osobnej klauzuli zgody na przetwarzanie danych osobowych.
Zgłoszenie było tak sformułowane, że miało stanowić jednocześnie zgodę na przetwarzanie danych klienta w celach marketingowych i handlowych, a nawet na ich udostępnienie osobom trzecim i przekazanie za granicę w celach, w których dane te zostały zebrane. Podpisujący formularz klient miał się też zgadzać na przetwarzanie danych innych osób, które zgłaszał.
Klauzula była nieprecyzyjna, bo nie wiadomo było, czy chodziło o zgodę na wykorzystanie do celów marketingowych produktów turystycznych, czy też usług innych podmiotów.
Tymczasem ustawa wymaga, aby zgoda na przetwarzanie danych osobowych nie była dorozumiana z oświadczenia woli o innej treści. Nie wolno też odbierać zgody na przetwarzanie danych od osoby, której te dane nie dotyczą. Taką zgodę wolno wyrazić tylko zainteresowanemu - inaczej jest ona bezskuteczna.
Gdy dane mają być przetwarzane w celach marketingowych produktów lub usług innych podmiotów, trzeba przewidzieć możliwość wyboru innej decyzji, niezależnej od zgody dawanej biuru podróży.
