Zgoda jako podstawa przetwarzania danych osobowych. Czy zawsze jest konieczna?

W jakich przypadkach uzyskanie zgody na przetwarzanie danych osobowych jest obowiązkowe, a kiedy przetwarzanie jest możliwe mimo braku zgody osoby, której dane dotyczą? 

Zgoda jako podstawa przetwarzania danych osobowych. Czy zawsze jest konieczna?

Dorota Kraskowska

30 września 2020

Zgodnie z art. 6 RODO, przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadkach, gdy spełniony jest co najmniej jeden z następujących warunków:

  • Osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów. 

  • Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Nie trzeba zbierać zgody od klienta składającego zamówienie w sklepie internetowym. Przetwarzanie danych osobowych odbywa się w celu realizacji umowy sprzedaży, która została zawarta z klientem sklepu.

  • Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Taka sytuacja będzie miała miejsce np. podczas przetwarzania danych osobowych pracownika przez zakład pracy. 

  • Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej (ochrona życia i zdrowia). Przykładem może być przetwarzanie danych podczas sytuacji kryzysowych, kataklizmów, katastrof.

  • Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

  • Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Interesy te nie mogą jednak być nadrzędne wobec interesów lub podstawowych praw i wolności osoby, której dotyczą, w szczególności dziecka.

Zbieranie zgody nie jest więc potrzebne, jeśli dane osobowe są przetwarzane w wymienionych wyżej sytuacjach, ponieważ przetwarzanie danych osobowych jest w tych przypadkach niezbędne do realizacji jednego z celów wskazanych w RODO.

Warunki wyrażenia zgody

RODO określa niezbędne elementy okazania zgody. Według art. 4 pkt. 11: zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. 

Wymóg dobrowolności zgody oznacza, że osoba, której dane dotyczą ma wolny wybór co do udzielenia zgody oraz może jej odmówić lub ją wycofać w dowolnym czasie. Konkretność oznacza, że w klauzuli zgody powinien być określony cel przetwarzania danych osobowych oraz zakres tych danych. Pytanie o zgodę powinno być wyraźne i zwięzłe i nie może zakłócać korzystania z danej usługi. Zgoda musi być wyrażona świadomie, czyli osoba wyrażająca zgodę powinna znać tożsamość administratora (obowiązek informacyjny) oraz cele przetwarzania danych osobowych. Informacje powinny być sformułowane w sposób zrozumiały, jasnym i prostym językiem. Wymóg jednoznaczności oznacza, że nie mogą istnieć wątpliwości co do intencji osoby wyrażającej zgodę. Wyrażenie zgody może mieć formę oświadczenia woli lub wyraźnego działania potwierdzającego. Dopuszczalne jest zaznaczenie okna wyboru (checkboxa) podczas przeglądania strony internetowej, wybranie odpowiednich ustawień technicznych lub inna czynność wskazująca akceptację osoby (możliwa do wykazania przez administratora).

Wymuszona zgoda jest nieważna

Do wymuszania zgody na przetwarzanie danych dochodzi bardzo często, np. strony internetowe uzależniają dalsze korzystanie z informacji od pozyskania zgody użytkownika na przetwarzanie jego danych osobowych albo korzystanie z aplikacji jest możliwe dopiero po wyrażeniu zgody. Częstą praktyką jest również zamieszczenie klauzuli zgody w różnego rodzaju formularzach, które klient musi podpisać, np. we wniosku o udzielenie kredytu. W tak skonstruowanym formularzu klient nie ma możliwości odmowy wyrażenia zgody. 

Zgoda uzyskana w ten sposób, czyli poprzez wymuszenie, jest nieważna. 

Zgodnie z art. 79 RODO, jeśli uważasz, że twoje dane osobowe są przetwarzane niezgodnie z prawem, masz prawo dochodzić swoich praw przed sądem powszechnym. Jeśli poniosłeś szkodę majątkową lub niemajątkową w wyniku przetwarzania twoich danych osobowych niezgodnie z prawem, możesz domagać się odszkodowania od administratora. 

Kiedy zgoda na przetwarzanie danych jest konieczna?

Administrator nie może odebrać ogólnej zgody na przetwarzanie danych osobowych bez określenia konkretnego celu. W klauzuli zgody musi być określony cel przetwarzania danych osobowych oraz zakres danych podlegających przetwarzaniu.

Zgoda osoby, której dane dotyczą jest przesłanką legalizującą w następujących sytuacjach:

  1. przetwarzanie danych zwykłych,

  2. przetwarzanie szczególnych kategorii danych,

  3. zautomatyzowane podejmowanie decyzji (profilowanie),

  4. przekazywanie danych do państw trzecich (należących do Europejskiego Obszaru Gospodarczego).

Najpowszechniejsze cele przetwarzania danych, dla których konieczne jest pozyskanie zgody to wysyłanie newsletterów, organizacja konkursów czy uczestnictwo w programach lojalnościowych.

Przetwarzanie szczególnej kategorii danych osobowych

Zgodnie z art. 9 ust. 1 RODO, zabrania się przetwarzania szczególnej kategorii danych osobowych, tzw. danych wrażliwych. Należą do nich dane ujawniające pochodzenie rasowe, etniczne, poglądy polityczne, informacje na temat przynależności do związków zawodowych, przekonania religijne, światopoglądowe, a także dane dotyczących zdrowia, orientacji seksualnej, dane biometryczne i genetyczne.  

RODO dopuszcza przetwarzanie szczególnej kategorii danych osobowych, jeśli będzie spełniona jedna z przesłanek wymienionych w art. 9 ust. 2 RODO, np. osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach lub przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej. Zgoda na przetwarzanie takich danych musi być świadoma, dobrowolna i możliwa do wycofania w każdym momencie.

Niezbędna zgoda w przypadku profilowania 

Wyraźna zgoda na przetwarzanie danych osobowych jest obowiązkowa w przypadku, gdy administrator danych osobowych przewiduje profilowanie, czyli będzie zbierać informacje o konsumencie na podstawie jego zachowań w sieci. Zgodnie z art. 4 pkt 4 RODO, profilowanie to dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

RODO wyróżnia dwie formy profilowania: zwykłe z udziałem czynnika ludzkiego oraz zautomatyzowane (oceny i podjęcie decyzji wykonują programy komputerowe).

Jeśli administrator danych osobowych planuje profilowanie, musi spełnić obowiązek informacyjny wobec osób których dane dotyczą, czyli poinformować w jasny i precyzyjny sposób, że taki proces będzie miał miejsce i jakie będą jego konsekwencje. Kolejnymi obowiązkami administratora stosującego profilowanie są: umożliwienie osobie, której dane dotyczą, wniesienia sprzeciwu wobec profilowania (art. 21 ust. 1 i 2 RODO) oraz realizacja prawa dostępu do przetwarzanych danych ich właścicielowi (art. 15 RODO ust.1 h). 

EROD aktualizuje wytyczne dotyczące zgodyEROD aktualizuje wytyczne dotyczące zgody Rafał Stępniewski

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!