EROD aktualizuje wytyczne dotyczące zgody
Europejska Rada Ochrony Danych (EROD) przyjęła 4 maja 2020 roku zaktualizowaną wersję przepisów dotyczących wyrażenia zgody. Rozszerzyła pojęcie warunkowości zgody i doprecyzowała wytyczne związane z jednoznacznością zgody w kontekście plików cookies.
- Rafał Stępniewski
- /
- 10 sierpnia 2020
Przypomnijmy na początek określone w Ogólnym rozporządzeniu o ochronie danych osobowych (RODO) niezbędne elementy okazania zgody. Według art. 4 pkt 11: Zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
Dobrowolność — wymóg dobrowolności zgody oznacza, że osoba, której dane dotyczą ma wolny wybór co do udzielenia zgody oraz może jej odmówić lub ją wycofać w dowolnym czasie. RODO odmawia miana dobrowolności zgodzie, od której złożenia zostało uzależnione wykonanie umowy.
Konkretność — w klauzuli zgody powinien być określony cel przetwarzania danych osobowych oraz zakres tych danych. Pytanie o zgodę powinno być wyraźne i zwięzłe, nie może zakłócać korzystania z usługi.
Świadomość - osoba wyrażająca zgodę powinna znać tożsamość administratora (po jego stronie obowiązek informacyjny) oraz zamierzone przez administratora cele przetwarzania danych osobowych. Zgodnie z zasadą przejrzystości informacje przekazywane osobie, której dane dotyczą, powinny być sformułowane w sposób zrozumiały, jasnym i prostym językiem.
Jednoznaczność — nie mogą istnieć wątpliwości co do intencji osoby wyrażającej zgodę. Wyrażenie zgody może mieć formę oświadczenia woli lub wyraźnego działania potwierdzającego. Dopuszczalne jest zaznaczenie okna wyboru (checkboxa) podczas przeglądania strony internetowej, wybranie odpowiednich ustawień technicznych lub inna czynność wskazująca akceptację osoby (możliwa do wykazania przez administratora).
Europejska Rada Ochrony Danych w wytycznych 05/2020 w sprawie zgody na mocy rozporządzenia 2016/679 ver. 1.1 umieściła wyjaśnienia dotyczące następujących zagadnień:
warunkowości zgody,
jednoznaczności zgody w kontekście cookie walls,
przewijania strony internetowej jako działania potwierdzającego udzielenie zgody na pliki cookies.
Warunkowość zgody
Rada rozszerzyła pojęcie warunkowości zgody jako elementu ważności zgody na przetwarzanie danych osobowych. Zgoda nie będzie uznana za dobrowolną, jeśli administrator będzie uzależniał świadczenie danej usługi od wyrażenia przez użytkownia zgody, a “jednocześnie istnieje możliwość wyboru między jego usługą, która obejmuje wyrażenie zgody a równoważną usługą oferowaną przez innego administratora danych”. Zgodnie z art. 7 ust. 4 RODO (warunki wyrażenia zgody) — “Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy”.
EROD wyraźnie zaznacza, że dostawcy usług nie mogą uniemożliwiać klientom dostępu do usługi ze względu na brak zgody.
Jednoznaczność zgody w kontekście cookie walls
Wytyczne EROD jasno określają, że cookie walls, czyli tzw. “ściany cookies” są niezgodne z RODO. Cookie walls to stosowana przez administratorów praktyka zmuszająca użytkowników do udzielenia zgody na zainstalowanie plików cookies w celu dostępu do treści zawartych na stronie internetowej. Chodzi o jednoznaczność zgody udzielonej przez osobę, której dane dotyczą w kontekście tzw: „cookie walls”. Jeśli korzystanie z usługi jest uzależnione od zaakceptowania plików cookies, to w takim przypadku użytkownik nie ma rzeczywistego wyboru i zgodna nie spełnia wymogu jednoznaczności. EROD podkreśla, że dostęp do usług/treści nie może być uzależniony od zgody użytkownika na przechowywanie informacji.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Scrolling jako wyrażenie ważnej zgody na cookies
Czy przewijanie (scrolling) strony internetowej może być uznane jako ważne wyrażenie zgody na pliki cookies? EROD zaznacza, że taka aktywność użytkownika nie spełnia wymogu jednoznacznego potwierdzającego działania, czyli nie może być uznana za ważne wyrażenie zgody na instalowanie plików cookies. Korzystanie ze strony internetowej nie nie jest tożsame z wyrażeniem przez użytkownika zgody na przetwarzanie jego danych osobowych.
Przy wyrażeniu zgody na przetwarzanie danych należy unikać wszelkich dwuznaczności — administrator musi zapewnić użytkownikom możliwość odróżnienia działania, w którym udzielona jest zgoda od innych działań, np. zgody na wysyłanie newslettera. Zgoda musi być wyraźnym aktem potwierdzającym wolę osoby, której dane dotyczą.
Co nowe wytyczne w sprawie zgody oznaczają dla przedsiębiorców?
Przedsiębiorcy powinni dostosować nowe wytyczne do swojej działalności, czyli sprawdzić stosowane przez nich mechanizmy pozyskiwania zgód. Analiza powinna dotyczyć następujących zagadnień:
czy dostęp do treści/usług jest uzależniony od zgody użytkownika na przetwarzanie danych osobowych,
czy w przypadku nieudzielenia zgody na zainstalowanie plików cookies użytkownik traci dostęp do treści na stronie,
czy użytkownik ma faktyczny wybór — zgody czy odmowy na instalowanie plików cookies,
czy pliki cookies są instalowane dopiero po wyrażeniu zgody użytkownika.
Wyrok TSUE: Tarcza Prywatności UE-USA nie zapewnia odpowiedniej ochrony danych osobowych -
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?