Zgoda na przetwarzanie danych osobowych - kiedy jest wymagana? Radca prawny z kancelarii prawnej we Wrocławiu wyjaśnia kiedy nalezy uzyskać zgodę na przetwarzanie danych osobowych. Podstawową przesłanką legalizującą przetwarzanie danych osobowych jest zgoda na przetwarzanie danych osobowych (art. 6 pkt 1 lit. a RODO). Z nią też najczęściej mamy do czynienia w życiu codziennym – po wejściu w życiu RODO ciągle jesteśmy pytani o zgodę na przetwarzanie danych osobowych.
Administratorzy danych osobowych najchętniej decydują się na tę podstawę przetwarzania danych osobowych, gdyż jest ona także najłatwiejsza do wykazania.
RODO zawiera definicję zgody, zgodnie z którą jest to dobrowolne, konkretne, świadome, a także jednoznaczne okazanie woli. Szczegółowe warunki wyrażenia zgody na przetwarzanie danych osobowych określa art. 7 RODO.
Forma wyrażenia zgody na przetwarzanie danych osobowych wg RODO
Przepisy RODO wskazują, że zgoda osoby, której dane dotyczą powinno być okazaniem woli w formie oświadczenia lub wyraźnego działania potwierdzającego. Jednak przepisy RODO nie zastrzegają formy pisemnej do wyrażenia takiej zgody. Jednak należy pamiętać, że to na administratorze ciąży obowiązek wykazania, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie jej danych osobowych. Dla tego warto, pomimo możliwości uzyskania zgody w dowolny sposób i za pośrednictwem dowolnych mediów np. ustnie w trakcie rozmowy telefonicznej, postarać się uzyskanie zgody w formie pisemnej, co pomoże udowodnić, że dane osobowe są przetwarzane w sposób zgodny z prawem. Administrator powinien posiadać następuję informacje związane z faktem uzyskania zgody:
1) dane osoby, która udzieliła zgody,
2) kiedy została udzielona,
3) forma jej udzielenia,
4) jakie informacje zostały przekazane osobie, której dane dotyczą (pouczenie o przysługujących prawach, cel przetwarzania danych, kategorie odbiorców danych itp.),
5) jakie informacje zostały udzielone o sposobie,
6) czy zgoda została wycofana i kiedy została wycofana.
Dobrowolność wyrażenia zgody
Przede wszystkim wyrażenie zgody musi nastąpić dobrowolnie. Szczególnie bierze się pod uwagę, czy od wyrażenia zgody na przetwarzania danych osobowych nie jest uzależnione wykonanie umowy, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy. Przepis ten jest przykładem realizacji zasad ogólnych przetwarzania danych osobowych.
Należy zaznaczyć, że wyrażenie woli musi być działaniem. Milczenie, czyli brak jakiekolwiek działania, nie może zostać uznane za wyrażenie zgody. Podobnie należy potraktować domyślne zaznaczone okienka wyboru (tzw. checkboxy) na stronach internetowych. Tutaj także brak jakiekolwiek działania, a zatem nie może to zostać uznane za wyrażenie zgody (tak też motyw 32 Preambuły). Wobec tego jest to system opt-in, który wymaga aktywności od osoby, która wyraża zgodę na przetwarzanie jej danych osobowych.
Zgodnie z pkt 4 art. 7 RODO ocena dobrowolności wyrażenie zgody polega na zbadaniu, czy od wyrażenie zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy. Przepis ten nakłada przede wszystkim na administratora sformułowaniu kilku zgód w zależności od celów, do których dane osobowe są zbierane, ale także powoduje, że nie zgodne z prawem jest wymaganie zaznaczenie wszystkich okienek wyboru.
O zachowaniu wymogu dobrowolności zgody, można mówić w dalszym ciągu jeżeli administrator podejmuje działania zachęcające osoby fizyczne do wyrażenia zgody np. poprzez udzielenie dodatkowego rabatu. Jeżeli zostaną wszystkie inne wymogi zgody, to brak jest przeszkód, aby tego rodzaju zgodę uznać za dobrowolnie wyrażoną.
Konkretność zgody wg RODO
Radca prawny wyjaśnia, że zgodna powinna być konkretna, tj. powinna posiadać precyzyjnie sformułowaną informację określającą cel przetwarzania i zakres przetwarzania danych osobowych. Ściśle powiązane z tym wymogiem jest zapewnienie, aby osoba, której dane dotyczą świadomie okazała swoją wolą. Osoba, której dane dotyczą, wyrażając zgodę na przetwarzanie jej danych osobowych, powinna wiedzieć w jakim celu administrator będzie przetwarzał jej cel. Niezwykle istotne jest także określenie zakresu przetwarzania danych, co pozwoli na określenie granic poza którymi administrator nie powinien przetwarzać danych osobowych.
Zgoda może obejmować przetwarzanie danych osobowych w jednej lub większej liczbie określonych celów. Brak jest podstaw do przyjmowania odmiennego poglądu. Jednakże zgoda może obejmować kilka celów przetwarzania, jeśli nie jest to sprzeczne z zasadą dobrowolności. W sytuacji, kiedy administrator danych pragnie uzyskać zgodę na kilka różnych celów przetwarzania np. wykonania umowy sprzedaży oraz rozsyłania newslettera, to takie działanie należy uznać za sprzeczne z przepisami RODO. Zatem przesłanka konkretności powinna być postrzegana w ścisłym związku z przesłanką dobrowolności.
Świadomość zgody
Cecha ta wymaga przekazania osobie wyrażającej zgodę na przetwarzanie danych osobowych wszystkich informacji przewidzianych w art. 13 RODO. Jednak w motywie 43 Preambuły stwierdzono, że osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych. Świadomość zgody jest powiązana z jej konkretnością. Aby zgoda była świadoma, musi być konkretna i na odwrót.
Jednoznaczność zgody
Jednoznaczność ściśle dotyczy samego wyrażenia woli przez osobę, której dane dotyczą. Oświadczenie o wyrażeniu zgody musi przejawiać w sposób wyraźny jej zamiar. Jeśli wystąpią jakiekolwiek wątpliwości co do okazania woli przez osobę wyrażającą zgodę, to brak jest już jednoznaczności. Tę cechę wyrażenia zgody należy zawsze rozpatrywać wspólnie z formą wyrażenia woli, o której była mowa powyżej.
Uprzedniość wyrażenia zgody
Zgoda osoby, której dane dotyczą, musi zostać wyrażona przed rozpoczęciem przetwarzania danych przez administratora. Jeżeli administrator będzie chciał zmienić cel przetwarzania danych, to będzie musiał uzyskać na przetwarzanie danych w nowym celu. Również w tym przypadku zgoda powinna mieć charakter uprzedni.
Formułowanie prośby o wyrażenie zgody
W przypadku formułowania zgód, należy pamiętać, że powinny być one wyraźnie oddzielone od innych treści. RODO zatem uniemożliwia praktyki wplatania zgód w długie regulaminy, których nikt nie jest w stanie doczytać. Ukrycie oświadczenie zgody powoduje uznanie jej za niewiążące. Język prawny i język prawniczy jest dla większości osób mało przejrzysty, trudny i meczący. RODO kładzie kres tworzeniu skomplikowanych pod względem językowym i formy zgód. Powoduje to konieczność takiego sformułowania treści zgody, aby była ona zrozumiała dla każdej osoby. A zatem zapytanie o zgodę powinno być łatwo zrozumiałe i wyraźnie widocznie.
Zgoda na przetwarzanie szczególnych kategorii danych osobowych
RODO nakłada tylko jeden dodatkowy warunek związany z uzyskaniem zgody na przetwarzanie szczególnej kategorii danych osobowych, tj. wyraźność zgody.
Cofnięcie zgody na przetwarzanie danych osobowych
Istotnym uprawnieniem osoby, która wyraziła zgodę na przetwarzanie jej danych osobowych jest prawo do cofnięcie zgody, również w określonym zakresie, tj. w konkretnym celu. Może to uczynić w dowolnym momencie. RODO nakłada na administratora także obowiązek zapewnienia możliwości wycofania zgody w sposób co najmniej równie łatwy jak jej udzielenie.
Wycofanie zgody nie wpływa nie zgodność z prawem przetwarzania danych, którego dokonano przed cofnięciem zgody. Skutkiem odwołania zgody jest brak możliwości przetwarzania danych osobowych na podstawie zgody w przyszłości, czyli po cofnięciu zgody.
Potrzebujesz porady z zakresu przetwarzania danych osbowych. Napisz do naszej Kancelarii prawnej, doradzimy Ci w jaki sposób postępować z danymi osobowymi.