Jak powinna wyglądać zgoda na przetwarzanie danych osobowych?

Ogólne rozporządzenie o ochronie danych osobowych nie zmieniło w znacznym stopniu aktualnie obowiązującej definicji zgody na przetwarzanie danych osobowych. Wprowadziło natomiast obok dotychczas funkcjonującej zgody w formie oświadczenia woli – możliwość uznania za ważną zgody wyrażonej w sposób dorozumiany poprzez wyraźne działanie potwierdzające. Wypracowane zostały także niezbędne elementy okazania zgody, a są nimi: dobrowolność, konkretność, świadomość i jednoznaczność.

  • Rafał Stępniewski
  • /
  • 23 stycznia 2018

Ogólne rozporządzenie o ochronie danych osobowych nie zmieniło w znacznym stopniu aktualnie obowiązującej definicji zgody na przetwarzanie danych osobowych. Wprowadziło natomiast obok dotychczas funkcjonującej zgody w formie oświadczenia woli – możliwość uznania za ważną zgody wyrażonej w sposób dorozumiany poprzez wyraźne działanie potwierdzające. Wypracowane zostały także niezbędne elementy okazania zgody, a są nimi: dobrowolność, konkretność, świadomość i jednoznaczność.

Zgoda dobrowolna

Wymóg dobrowolności zgody oznacza, że osoba, której dane dotyczą ma faktycznie wolny wybór co do udzielenia zgody oraz może jej odmówić lub ją wycofać w dowolnym czasie. RODO odmawia miana dobrowolności zgodzie, od której złożenia zostało uzależnione wykonanie umowy.

Dopuszczalne jest – z uwzględnieniem innych przepisów prawa – zachęcanie do wyrażenia zgody na przetwarzanie danych osobowych np. w celu uczestnictwa w programie lojalnościowym. Możliwe jest także zastosowanie umowy o świadczenie usług wzajemnych o charakterze niepieniężnym, mianowicie – zaoferowanie osobie np. darmowego e-booka lub dostępu do płatnej platformy w zamian za wyrażenie zgody na przetwarzanie danych w celach marketingowych.

Zgoda konkretna i odrębna

Administrator nie może odebrać ogólnej zgody na przetwarzanie danych osobowych bez określenia konkretnego celu (zgoda blankietowa). W klauzuli zgody powinien być określony cel przetwarzania danych osobowych oraz zakres tych danych.

Jeśli administrator chciałaby zapytać o zgodę na przetwarzanie danych osobowych w formie elektronicznej, wysłane do osoby pytanie powinno być wyraźne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi. Powinno też mieć charakter odrębny, np. od pozostałej korespondencji e-mailowej.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Zgoda świadoma

Z wymogiem świadomości zgody na przetwarzanie danych osobowych związany jest obowiązek informacyjny, jaki nakłada na administratora RODO. Osoba wyrażająca zgodę powinna co najmniej znać tożsamość administratora oraz zamierzone przez niego cele przetwarzania danych osobowych. Zgodnie z zasadą przejrzystości informacje przekazywane osobie, której dane dotyczą powinny być sformułowane w sposób zrozumiały, jasnym i prostym językiem. Istotna jest także dostępność tych treści – klauzule powinny być widoczne i wyczerpujące.

Zgoda jednoznaczna

Wymóg jednoznaczności oznacza, że nie mogą istnieć wątpliwości co do intencji osoby wyrażającej zgodę. Wyrażenie zgody może mieć formę oświadczenia woli lub wyraźnego działania potwierdzającego. Dopuszczalne jest zaznaczenie okna wyboru (checkboxa) podczas przeglądania strony internetowej, czy wybranie odpowiednich ustawień technicznych lub inna czynność – wskazująca akceptację osoby i możliwa do wykazania przez administratora.

Zakazaną praktyką pozostanie sformułowanie klauzul zgód w regulaminie i odebranie ich poprzez oświadczenie o akceptacji tego regulaminu. Wykluczone jest także odebranie zgody poprzez milczenie, dlatego rekomendowanym jest wyrażenie zgody w systemie double-opt-in, wymagającym określonej czynności od osoby, której dane dotyczą. Przykładowo zapisując się do newslettera osoba musi otworzyć link, przesłany na adres e-mail, który podała przy rejestracji.

Zgoda powinna mieć charakter uprzedni do rozpoczęcia przetwarzania danych, a więc powinna zostać odebrana w momencie zbierania danych.

Obowiązek wykazania odebrania zgody

Fakt odebrania zgody powinien być jednak możliwy do udowodnienia. Obowiązek ten wpisuje się w zasadę rozliczalności, na której oparte są nowe przepisy unijne. Administratorzy danych otrzymali dużą dowolność w zakresie ochrony procesów przetwarzania danych osobowych, z tym, że powinni być w stanie wykazać, że faktycznie realizują nałożone przez rozporządzenie wymogi. Dlatego w przypadku zbierania zgód w formie pisemnej należy archiwizować podpisane formularze. W przypadku odbierania zgód w formie elektronicznej, np. za pomocą checkboxa, system informatyczny powinien zapisywać adres IP oraz datę zaznaczenia checkboxa. Dopuszczalne jest również zbieranie zgody na przetwarzanie danych osobowych w rozmowie telefonicznej. Rozmowa taka powinna być jednak nagrywana, o czym uprzednio należy poinformować osobę, której dane dotyczą.

Prawo cofnięcia zgody

Odwołanie zgody powinno być tak łatwe jak jej wyrażenie. W błąd wprowadza praktyka zbierania zgody na przetwarzanie danych osobowych w celu realizacji umowy. Powiązane z dobrowolnością wyrażenia zgody prawo do jej cofnięcia nie może być w takim przypadku zrealizowane wobec osoby, która jest stroną umowy. Mimo odwołania zgody, administrator będzie miał bowiem prawo dysponować danymi osoby, aby np. rozpatrzyć reklamację towaru zakupionego w ramach umowy.

Nie zawsze trzeba zbierać zgodę

Każde przetwarzanie danych osobowych powinno odbywać się na konkretnej podstawie prawnej. Zgoda osoby, której dane dotyczą jest przesłanką legalizującą:

  1. przetwarzanie danych zwykłych;
  2. przetwarzanie danych szczególnych kategorii (tzw. danych wrażliwych);
  3. zautomatyzowane podejmowanie decyzji, w tym profilowanie;
  4. przekazywanie danych do państwa trzeciego (czyli należącego do Europejskiego Obszaru Gospodarczego – EOG).

Wyraźna zgoda jest obowiązkowa w przypadku, gdy administrator danych osobowych przewiduje profilowanie i/lub transfer danych osoby poza obszar EOG. Co do samego przetwarzania danych osobowych, może ono obywać się również na innej podstawie prawnej przewidzianej w RODO. Zbieranie zgody nie będzie więc konieczne, jeśli przetwarzanie danych osobowych jest niezbędne do realizacji jednego z celów wskazanych w rozporządzeniu. Będą to:

  1. Realizacja umowy, której stroną jest osoba, której dane dotyczą lub podjęcie na żądanie osoby, której dane dotyczą czynności niezbędnych do zawarcia umowy. Na przykład nie ma konieczności zbierania zgody od osoby, która dokonuje zamówienia w sklepie internetowym w zakresie realizacji umowy sprzedaży, która została z tą osobą zawarta.
  2. Zrealizowanie ciążącego na administratorze obowiązku wynikającego z przepisów prawa. Na przykład przetwarzanie danych pracownika w związku z zatrudnieniem.
  3. Ochrona żywotnych interesów osoby, której dane dotyczą. Na przykład w sytuacjach kryzysowych – kataklizmów i katastrof, gdy przetwarzanie danych ma na celu ochronę życia i zdrowia osoby.
  4. Wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
  5. Wykonanie celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią. Interesy te nie mogą jednak być nadrzędne wobec interesów lub podstawowych praw i wolności osoby, której dotyczą, w szczególności dziecka.

Podsumowując, jeśli przetwarzanie danych osobowych odbywa się w którymś ze wskazanych w rozporządzeniu celów lub za zgodą osoby, to jest ono zgodne z prawem. Wszystkie wskazane przesłanki są równoprawne. W istocie, zanim administrator sformułuje klauzulę zgody w pierwszej kolejności powinien wziąć pod uwagę, czy nie istnieje możliwość powołania się na inną przesłankę. Bezzasadne będzie bowiem zbieranie zgody w przypadku, gdy ta zgoda nie jest wymagana. Częstym błędem jest zbieranie zgody na przetwarzanie danych osobowych w celu realizacji umowy. Należy najpierw rozważyć czy przetwarzanie danych jest niezbędne dla realizacji któregoś z celów wymienionych enumeratywnie w rozporządzeniu. Jeśli administrator danych osobowych chce przetwarzać dane osobowe w innym celu, powinien na to otrzymać zgodę od osoby, której dane dotyczą. Najpowszechniejsze cele przetwarzania danych, dla których wymagana jest zgoda to np. organizacja konkursu, uczestnictwo w programie lojalnościowym, wysyłanie newslettera.

Podstawa prawna:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

O autorze

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Zapraszamy do kontaktu
Tagi: RODO w firmie RODO
Powiązane posty
Popularne Tagi

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!