Zgoda na przetwarzanie danych osobowych jest jedną z przesłanek, które pozwalają na zgodne z prawem przetwarzanie danych osobowych (art. 6 ust. 1 lit. a rozporządzenia ogólnego).
Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża przyzwolenie na przetwarzanie danych. Zgoda na gruncie RODO może przybrać różne formy. Może to być dotychczas stosowane oświadczenie woli, wyrażone w sposób pisemny (tradycyjnie lub elektronicznie) lub ustnie. Może również polegać na zaznaczeniu odpowiedniego okienka wyboru, zaakceptowaniu regulaminu usługi lub serwisu, wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub zapisaniu się do newslettera.
UWAGA: Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie mogą oznaczać zgody (Motyw 32 RODO).
Zalecane jest odebranie zgody na przetwarzanie danych w formie pisemnej lub na zarejestrowanym (oczywiście za zgodą rozmówcy) nagraniu. Zagwarantuje to spełnienie zasady rozliczalności wynikającej bezpośrednio z RODO. Należy pamiętać, że na ADO ciąży obowiązek udowodnienia, że osoba, której danej dotyczą wyraziła zgodę na ich przetwarzanie.
Przy pozyskiwaniu zgody na przetwarzanie szczególnych kategorii danych (m. in. informujących o stanie zdrowia, orientacji seksualnej, ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, dane genetyczne lub biometryczne) koniecznym jest uzyskanie wyraźnej zgody osoby, której dane dotyczą, z tym, że RODO nie precyzuje, na czym ta wyraźność zgody miałaby polegać.
Język zgody
RODO wskazuje wyraźnie, że zapytanie o zgodę powinno być przedstawione jasnym, prostym i zrozumiałym językiem dostosowanym do odbiorcy. Niedopuszczalnym działaniem ADO jest więc umieszczanie skomplikowanych branżowych zwrotów, jeśli istnieje możliwość ich prostego i zrozumiałego wyrażenia. Zapytanie powinno zostać przedstawione w zwięzłej formie aby niepotrzebnie nie zakłócać korzystania z proponowanej usługi. Ponadto, w przypadku usług społeczeństwa informacyjnego (handel elektroniczny, serwisy informacyjne, portale społecznościowe, poczta email i inne usługi niezależnie od tego czy są płatne), ADO musi przedstawić treść zgody w sposób zrozumiały także dla osoby niepełnoletniej (która ukończyła 13 lat). Nie można zapomnieć, że ADO musi udowodnić, że zgoda została wyrażona dobrowolnie i ŚWIADOMIE, co będzie trudne w przypadku proponowania klientom bardzo zawiłych zwrotów i formuł.
Różne cele – oddzielna zgoda
Zgodnie z RODO zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest oddzielna zgoda na wszystkie te cele. Brak zgody lub zebranie nieważnych zgód może oznaczać odpowiedzialność finansową ADO – nawet 20 mln euro kary lub 4% całkowitego rocznego światowego obrotu firmy z poprzedniego roku obrotowego.
Dobrowolność zgody
RODO kładzie nacisk na dobrowolność wyrażonej zgody, co nie jest nowością w dotychczasowym porządku prawnym. Oceniając, czy proponowana formuła zgody została wyrażona dobrowolnie, należy wziąć pod uwagę czy od zgody nie jest uzależnione wykonanie umowy lub świadczenie usługi np. uzależnienie zawarcia umowy od wyrażenia zgody na przetwarzanie danych w celach marketingowych lub dodatkowe zbieranie zgody w przypadku, gdy istnieje inna przesłanka umożliwiająca przetwarzanie danych. Aby ocenić dobrowolność i świadomość wyrażonej zgody należy tak skonstruować zapytanie, aby osoba wyrażająca zgodę znała i rozumiała przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych.
UWAGA: Administrator musi udowodnić, że zgoda na przetwarzanie danych w określonym celu została pozyskana dobrowolnie, inaczej jest nieważna, co wiąże się z sankcjami finansowymi w wyniku naruszenia podstawowych zasad przetwarzania.
Spełnienie obowiązków wynikających z RODO w zakresie zapytania o zgodę będzie nie lada wyzwaniem dla administratora danych. Wymaga to od administratorów kreatywności i indywidualnego podejścia. Z jednej strony, należy zapewnić jasną i zwięzłą formę zapytania, nie zakłócając korzystania z usługi, z drugiej należy spełnić rozbudowany obowiązek informacyjny (art. 13 i 14 RODO – więcej o obowiązku informacyjnym w kolejnym artykule), co zwiększa objętościowo klauzulę zgody i może utrudniać użytkownikowi zrozumienie treści.
Wycofanie zgody
Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. ADO jest zobowiązany do poinformowania osoby, której dane dotyczą o tym prawie przed wyrażeniem zgody. Taką informację należy więc zamieścić w treści zapytania o zgodę lub jako odpowiedni zapis w regulaminie. Należy pamiętać jednak, że na ADO ciąży obowiązek udowodnienia, że osoba, która wyraziła zgodę, została poinformowana o swoim prawie przed wyrażeniem tej zgody.
Wycofanie zgody musi być tak samo łatwe jak jej wyrażenie. Jeśli ADO pozyskuje zgodę na przetwarzanie danych w formie elektronicznej, to również zapewnia odwołanie jej w tej samej formie. Niedopuszczalnym działaniem jest utrudnianie wycofania zgody w taki sposób, że wyrażanie zgody następuje w formie elektronicznej, a odwołanie tylko poprzez wysłanie pocztą pisemnego oświadczenia. Najbardziej optymalnym rozwiązaniem byłoby udostępnienie możliwości odwołania zgody we wszystkich dostępnych formach, tzn. elektronicznie (poprzez umieszczenie odpowiedniego linka), telefonicznie (np. przez dedykowaną infolinię) oraz tradycyjnie – poprzez operatora pocztowego. Wtedy klient sam może wybrać najbardziej dogodne dla niego rozwiązanie.
UWAGA: Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem, ALE: ADO musi być w stanie udowodnić i udokumentować fakt legalności przetwarzania danych w omawianym okresie.
Zapytanie o zgodę
Zgoda na przetwarzanie danych osobowych jest jedną z przesłanek, które pozwalają na zgodne z prawem przetwarzanie danych osobowych (art. 6 ust. 1 lit. a rozporządzenia ogólnego).
Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża przyzwolenie na przetwarzanie danych. Zgoda na gruncie RODO może przybrać różne formy. Może to być dotychczas stosowane oświadczenie woli, wyrażone w sposób pisemny (tradycyjnie lub elektronicznie) lub ustnie. Może również polegać na zaznaczeniu odpowiedniego okienka wyboru, zaakceptowaniu regulaminu usługi lub serwisu, wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub zapisaniu się do newslettera.
Zalecane jest odebranie zgody na przetwarzanie danych w formie pisemnej lub na zarejestrowanym (oczywiście za zgodą rozmówcy) nagraniu. Zagwarantuje to spełnienie zasady rozliczalności wynikającej bezpośrednio z RODO. Należy pamiętać, że na ADO ciąży obowiązek udowodnienia, że osoba, której danej dotyczą wyraziła zgodę na ich przetwarzanie.
Przy pozyskiwaniu zgody na przetwarzanie szczególnych kategorii danych (m. in. informujących o stanie zdrowia, orientacji seksualnej, ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, dane genetyczne lub biometryczne) koniecznym jest uzyskanie wyraźnej zgody osoby, której dane dotyczą, z tym, że RODO nie precyzuje, na czym ta wyraźność zgody miałaby polegać.
Język zgody
RODO wskazuje wyraźnie, że zapytanie o zgodę powinno być przedstawione jasnym, prostym i zrozumiałym językiem dostosowanym do odbiorcy. Niedopuszczalnym działaniem ADO jest więc umieszczanie skomplikowanych branżowych zwrotów, jeśli istnieje możliwość ich prostego i zrozumiałego wyrażenia. Zapytanie powinno zostać przedstawione w zwięzłej formie aby niepotrzebnie nie zakłócać korzystania z proponowanej usługi. Ponadto, w przypadku usług społeczeństwa informacyjnego (handel elektroniczny, serwisy informacyjne, portale społecznościowe, poczta email i inne usługi niezależnie od tego czy są płatne), ADO musi przedstawić treść zgody w sposób zrozumiały także dla osoby niepełnoletniej (która ukończyła 13 lat). Nie można zapomnieć, że ADO musi udowodnić, że zgoda została wyrażona dobrowolnie i ŚWIADOMIE, co będzie trudne w przypadku proponowania klientom bardzo zawiłych zwrotów i formuł.
Różne cele – oddzielna zgoda
Zgodnie z RODO zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest oddzielna zgoda na wszystkie te cele. Brak zgody lub zebranie nieważnych zgód może oznaczać odpowiedzialność finansową ADO – nawet 20 mln euro kary lub 4% całkowitego rocznego światowego obrotu firmy z poprzedniego roku obrotowego.
Dobrowolność zgody
RODO kładzie nacisk na dobrowolność wyrażonej zgody, co nie jest nowością w dotychczasowym porządku prawnym. Oceniając, czy proponowana formuła zgody została wyrażona dobrowolnie, należy wziąć pod uwagę czy od zgody nie jest uzależnione wykonanie umowy lub świadczenie usługi np. uzależnienie zawarcia umowy od wyrażenia zgody na przetwarzanie danych w celach marketingowych lub dodatkowe zbieranie zgody w przypadku, gdy istnieje inna przesłanka umożliwiająca przetwarzanie danych. Aby ocenić dobrowolność i świadomość wyrażonej zgody należy tak skonstruować zapytanie, aby osoba wyrażająca zgodę znała i rozumiała przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych.
Spełnienie obowiązków wynikających z RODO w zakresie zapytania o zgodę będzie nie lada wyzwaniem dla administratora danych. Wymaga to od administratorów kreatywności i indywidualnego podejścia. Z jednej strony, należy zapewnić jasną i zwięzłą formę zapytania, nie zakłócając korzystania z usługi, z drugiej należy spełnić rozbudowany obowiązek informacyjny (art. 13 i 14 RODO – więcej o obowiązku informacyjnym w kolejnym artykule), co zwiększa objętościowo klauzulę zgody i może utrudniać użytkownikowi zrozumienie treści.
Wycofanie zgody
Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. ADO jest zobowiązany do poinformowania osoby, której dane dotyczą o tym prawie przed wyrażeniem zgody. Taką informację należy więc zamieścić w treści zapytania o zgodę lub jako odpowiedni zapis w regulaminie. Należy pamiętać jednak, że na ADO ciąży obowiązek udowodnienia, że osoba, która wyraziła zgodę, została poinformowana o swoim prawie przed wyrażeniem tej zgody.
Wycofanie zgody musi być tak samo łatwe jak jej wyrażenie. Jeśli ADO pozyskuje zgodę na przetwarzanie danych w formie elektronicznej, to również zapewnia odwołanie jej w tej samej formie. Niedopuszczalnym działaniem jest utrudnianie wycofania zgody w taki sposób, że wyrażanie zgody następuje w formie elektronicznej, a odwołanie tylko poprzez wysłanie pocztą pisemnego oświadczenia. Najbardziej optymalnym rozwiązaniem byłoby udostępnienie możliwości odwołania zgody we wszystkich dostępnych formach, tzn. elektronicznie (poprzez umieszczenie odpowiedniego linka), telefonicznie (np. przez dedykowaną infolinię) oraz tradycyjnie – poprzez operatora pocztowego. Wtedy klient sam może wybrać najbardziej dogodne dla niego rozwiązanie.
Ostatnie wpisy
O mnie
Magdalena Gujska
Kategorie