RODO w praktyce: Zasady zbieranie zgód na przetwarzanie danych osobowych

Art. 4 pkt 11 RODO stanowi, iż zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Jak wynika z treści powyższego artykułu, każda zgoda na przetwarzanie danych powinna charakteryzować się następującymi cechami:

  • dobrowolność,

  • konkretność,

  • świadomość,

  • jednoznaczność.

Omówimy poszczególne cechy charakteryzujące zgodę ważną w świetle przepisów rozporządzenia ogólnego o ochronie danych.

Dobrowolność

RODO bardzo duży nacisk kładzie na dobrowolność wyrażonej zgody. Dobrowolność tożsama jest z możliwością dokonania rzeczywistego wyboru oraz posiadania kontroli nad przetwarzanymi danymi osobowymi przez osobę, której dane dotyczą.

art. 7 ust. 4 RODO

Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

Rozporządzenie wprost wskazuje sytuacje, w których zgoda pozbawiona jest cechy dobrowolności.

Po pierwsze, zgoda nie może być warunkiem wykonania umowy. Administrator nie może żądać wyrażenia zgody na przetwarzanie danych w celu wykonania umowy, jeżeli przetwarzanie tych danych nie jest niezbędne do wykonania tej umowy.

Przykładem takiego działania może być zbieranie przez aplikację do słuchania muzyki danych dotyczących lokalizacji jej użytkowników w celu dalszego korzystania z usług tej aplikacji. Geolokalizacja nie stanowi w tym przypadku niezbędnego elementu do realizacji umowy (czyli de facto słuchania muzyki przez internet), jednakże aby nadal korzystać z aplikacji, użytkownicy muszą wyrazić zgodę na udostępnienie swojej lokalizacji. W związku z tym tak wyrażona zgoda nie posiada przymiotu dobrowolności, a tym samym należy uznać ją za nieważną.

Ponadto należy pamiętać, że jeżeli administrator posiada podstawę przetwarzania danych osobowych w postaci jakiejkolwiek innej przesłanki (np. wykonanie umowy), nie powinien on zbierać dodatkowo zgody na przetwarzanie danych osobowych. I tak na przykład sklep internetowy nie musi uzyskiwać od osoby, która zdecydowała się na zakup towaru w tym sklepie, zgody na przetwarzanie danych w celu realizacji zamówienia – podstawą do przetwarzania danych jest w tym przypadku wykonanie umowy, jaką kupujący zdecydował się zawrzeć ze sklepem internetowym, kupując w nim określony towar.

Obecnie wyżej opisaną praktykę zbierania zgód w celu realizacji zamówienia spotkać można w wielu sklepach sprzedających swoje towary przez internet.

Po drugie, istnieje małe prawdopodobieństwo, że zgoda będzie charakteryzowała się dobrowolnością w razie braku równowagi sił pomiędzy administratorem a osobą wyrażającą zgodę. Chodzi tu przede wszystkim o sytuacje, w których administratorem danych pytającym o zgodę jest podmiot publiczny lub pracodawca. Zgodnie z RODO w takich przypadkach zgoda nie powinna stanowić przesłanki legalizującej przetwarzanie danych osobowych.

Po trzecie, zgoda nie jest dobrowolna, jeśli osoba, której dane dotyczą, nie ma możliwości wyrażenia odrębnej zgody na poszczególne operacje przetwarzania danych. Innymi słowy zgoda dobrowolna musi charakteryzować się wysoką szczegółowością, tak aby osoba wyrażająca zgodę mogła dokonać świadomego i nieograniczonego wyboru co do celów oraz czynności przetwarzania jej danych osobowych.

Przykładem jest bardzo częste w praktyce połączenie klauzuli zgody na przetwarzanie danych osobowych w celach marketingowych oraz w celu przekazywania danych innym partnerom biznesowym administratora. Zgoda taka nie jest szczegółowa (łączy w sobie dwie zgody na dwa różne cele), w związku z czym nie nosi przymiotu dobrowolności, a więc należy uznać ją za nieważną w świetle przepisów RODO.

Innym przykładem jest sytuacja, w której osoba ubiegająca się o pracę w przedsiębiorstwie Y wyrażająca zgodę na przetwarzanie jej danych osobowych do celów rekrutacji musi ponadto obligatoryjnie wyrazić zgodę na udostępnienie swoich danych osobowych spółce X. Taka zgoda w świetle przepisów RODO uznana zostanie za nieważną.

W celu uzyskania dobrowolnej i szczegółowej zgody należy oddzielić różne cele przetwarzania danych, a następnie sformułować klauzulę zgody osobną dla każdego z celów.

Po czwarte, zgoda nie może być uznana za dobrowolną, jeśli odmówienie jej udzielenia bądź jej wycofanie powoduje niekorzystne konsekwencje po stronie osoby, której dane dotyczą. Przykładem takich niekorzystnych konsekwencji są dodatkowe koszty czy obniżenie jakości usługi. Administrator powinien być w stanie udowodnić, że osoba, której dane dotyczą, może swobodnie odmówić udzielenia zgody lub wycofać zgodę już udzieloną bez pogorszenia jej sytuacji.

Konkretność

W celu wypełnienia wymogu konkretności zgody administrator powinien w sposób wyraźny określić cele przetwarzania, umożliwić udzielenie odrębnej zgody na każdy z tych celów oraz wyraźnie oddzielić informacje związane z uzyskaniem zgody na przetwarzanie danych od informacji dotyczących inny kwestii.

art. 7 ust. 2 RODO

Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Wymóg konkretności zgody ściśle wiąże się z zasadą celowości – wskazanie konkretnego, wyraźnego celu przetwarzania danych osobowych stanowi zabezpieczenie przed stopniowym rozmyciem lub rozszerzeniem celów, dla których zgoda została zebrana na samym początku (tzw. function creep, czyli rozrost funkcji). Zgoda może obejmować różne operacje przetwarzania danych, jednakże pod warunkiem, że operacje te służą temu samemu celowi.

Na przykład zgoda w celach marketingowych może obejmować co najmniej gromadzenie, przechowywanie i wykorzystywanie danych osobowych.

W przypadku gdy administrator przetwarza dane osobowe na podstawie zgody i chciałby przetwarzać je w nowym celu, musi zwrócić się do osoby, której dane dotyczą, o udzielenie nowej zgody na ten cel. Pierwotna zgoda nigdy nie będzie legitymizować nowych celów przetwarzania danych.

Ponadto, aby zgoda została uznana za konkretną, musi być wrażona na każdy ze wskazanych celów przetwarzania danych z osobna (czyli musi być szczegółowa).

I wreszcie zgoda konkretna to taka, którą da się wyraźnie oddzielić od oświadczeń składanych przez daną osobę w innych celach niż przetwarzanie danych osobowych.

Świadomość

Zgoda na przetwarzanie danych powinna być udzielona w sposób świadomy, to znaczy, że osoba udzielająca zgodę powinna wiedzieć, na co dokładnie się zgadza.

motyw 42 preambuły RODO

Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych.

Jeszcze przed uzyskaniem zgody administrator powinien poinformować osobę, której dane dotyczą, co najmniej o tożsamości administratora, celu przetwarzania, istnieniu prawa do wycofania zgody oraz ewentualnym profilowaniu.

Jednoznaczność

Zgodę spełniającą wymóg jednoznaczności da się wyodrębnić od innych treści. Przykładowo zgoda na przetwarzanie danych osobowych w celach marketingowych nie może być wpleciona w treść regulaminu czy umowy zawieranej z osobą, której dane dotyczą. Zgoda nie może być domniemana ani dorozumiana z oświadczenia woli innej treści.

Ważna zgoda musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla osoby, której dane dotyczą, w momencie jej wyrażania.

Aleksandra Marek

Artykuł stanowi fragment lekcji nr. 2 e-kursu: Rodo w praktyce - zapraszamy do udziału w e-kursie!

Wszystkie artykuły z tego działu »

WASZE KOMENTARZE (0)

Dodaj nowy komentarz

komentarz:
podpis:
 

Drodzy Użytkownicy podatki.biz. Choć czytamy uważnie Wasze komentarze, nie odpowiadamy na pytania w kwestiach szczegółowych. Zadając je, kierujecie je nie do nas, a do innych Użytkowników podatki.biz. Jeżeli chcecie wyjaśnić lub rozwiązać jakiś problem, zachęcamy do skorzystania z naszego forum dyskusyjnego - www.podatki.biz/forum

Zespół podatki.biz

Napisz komentarz...