Kiedy zgoda na przetwarzanie danych jest ważna?

Zgoda podmiotu danych jest jedną z sześciu przesłanek określonych w art. 6 ust. 1 RODO, które legalizują proces przetwarzania danych. Jak każda z przesłanek może być stosowana autonomicznie. Administrator danych zarówno podczas bieżącej działalności lub audytu / wdrożenia RODO powinien za każdym razem rozważyć jednak, czy zgoda w konkretnym przypadku stanowi najodpowiedniejszą możliwą przesłankę przetwarzania danych.

Zgoda może być podstawą prawną przetwarzania danych tylko wtedy, gdy osoba, której dane dotyczą, ma możliwość sprawowania kontroli oraz rzeczywistą możliwość wyboru. Nie wyrażenie zgody nie może skutkować negatywnymi konsekwencjami. Administrator ma obowiązek spełnić wszelkie wymogi uzyskania ważnej zgody, ponieważ tylko w takim przypadku stanowić ona będzie narzędzie zapewniające podmiotom danych kontrolę nad przetwarzaniem ich danych osobowych.

Jaka powinna być zgoda?

Art. 4 pkt 11 RODO definiuje zgodę jako:

  • dobrowolne,

  • konkretne,

  • świadome,

  • jednoznaczne

okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Oprócz definicji w art. 4 pkt 11 RODO, rozporządzenie przewiduje dodatkowe wytyczne w art. 7 i motywach 32, 33, 42 i 43 wskazujące, jak administrator musi podstępować, aby zapewnić zgodność z głównymi elementami wymogu zgody.

Dobrowolna

Cecha dobrowolności zgody oznacza możliwość dokonania rzeczywistego wyboru przez osoby, których dane dotyczą, w kwestii udzielenia zgody na przetwarzanie danych oraz sprawowanie kontroli nad tymi danymi. Co więcej, jeśli osoba, której dane dotyczą jest zmuszona do wyrażenia zgody lub może ponieść negatywne konsekwencje jej niewyrażenia, wówczas zgoda będzie nieważna i nie będzie mogła stanowić ważnej podstawy przetwarzania.

Zgoda ukryta w nienegocjowanej części warunków również nie może być uznana za dobrowolną.

Przykładem braku dobrowolności podanym przez Grupę Roboczą art. 29 (obecnie Europejska Rady Ochrony Danych, dalej EROD) jest aplikacja mobilna do edycji zdjęć, która wymaga aktywacji GPS w celu korzystania z jej usług. Aplikacja informuje, że będzie te dane wykorzystywać do reklamy behawioralnej. Należy podkreślić, że ani geolokalizacja, ani reklama behawioralna nie są niezbędne do świadczenia usługi edycji zdjęć i wykraczają poza niezbędny zakres danych.

Kilka celów w jednej zgodzie

Należy również podkreślić, że w przypadku kilku celów przetwarzania danych podmiot danych powinien mieć możliwość wyrażenia zgody na każdy cel z osobna.

Motyw 43 RODO stanowi, że zgody nie uważa się za dobrowolną, jeżeli proces uzyskania zgody nie pozwala osobom, których dane dotyczą, na wyrażenie odrębnej zgody na poszczególne operacje przetwarzania danych.

Oznacza to, że zakazane jest łączenie kilku celów przetwarzania danych w jednej klauzuli zgody, np. administrator nie może w jednej klauzuli prosić o wyrażenie zgody na kontakt w celu marketingowym oraz udostępnianie danych geolokalizacji.

Brak równorzędnej pozycji

Motyw 43 RODO zwraca uwagę na jeszcze jeden aspekt zgody, który może świadczyć o braku dobrowolności. Jest to sytuacja, w której między osobą wyrażającą zgodę a administratorem danych występuje wyraźny brak równowagi sił, np. gdy administratorem jest organ publiczny. Oznacza to, że organy publiczne nie powinny opierać przetwarzania danych na zgodzie podmiotu danych, albowiem w takiej relacji osoba, której dane dotyczą, najczęściej może nie mieć alternatywnych możliwości akceptacji warunków zaproponowanych przez administratora.

Grupa Robocza art. 29 (obecnie EROD) zwraca uwagę, że powyższe nie oznacza całkowitego zakazu przetwarzania danych w oparciu o przesłankę zgody przez organy publiczne. Możliwe jest to w sytuacji, gdy np. gmina prosi o udostępnienie adresów e-mail mieszkańców oraz zgodę na przesyłanie na te e-maile informacji o utrudnieniach w ruchu drogowym spowodowanych remontem drogi przeprowadzanym przez gminę. Jeśli nie ma obowiązku wyrażenia takiej zgody, a e-maile będę przetwarzane tylko w tym jednym celu, trudno mówić o braku równowagi sił w tej relacji, skoro obywatele, którzy nie wyrażą zgody nie zostaną pozbawieni żadnej kluczowej usługi, a stan remontów będą mogli sprawdzić np. na stronie internetowej.

Brak równowagi sił został w RODO podniesiony również w kontekście zatrudnienia. Pracodawca ma o wiele silniejszą pozycję niż pracownik, więc w tym kontekście zgoda również nie powinna stanowić podstawowej przesłanki przetwarzania danych. Trudno byłoby bowiem wykazać dobrowolność zgody pracownika, który w razie odmowy może się liczyć z negatywnymi konsekwencjami ze strony pracodawcy. Zgoda na przetwarzanie danych pracowników powinna być zbierana tylko wtedy, gdy pracodawca będzie w stanie wykazać, że pracownik miał rzeczywistą możliwość wyrażenia lub niewyrażenia zgody i żadna z tych opcji nie będzie posiadała negatywnych następstw.

Konkretna

Kolejną obligatoryjną cechą zgody wyrażonej przez podmiot jest „konkretność”, tzn. że zgoda musi posiadać:

  • jasno określony cel, który zapobiega rozrostowi przetwarzania danych na inne cele;

  • szczegółowe zapytanie o zgodę;

  • wyraźne oddzielenie informacji związanych z uzyskaniem zgody na działania w zakresie przetwarzania danych od informacji dot. innych kwestii.

Omówiona wyżej cecha zgody ma na celu zapewnienie przejrzystości oraz kontroli dla podmiotu danych. Przede wszystkim stanowi zabezpieczenie przed rozrastaniem się celów, dla których zgoda została zebrana.

Oznacza to, że jeśli administrator zebrał dane w celu kontaktu z podmiotem danych, to nie może rozszerzyć samodzielnie tego celu na wysyłanie wiadomości marketingowych. Zgodnie z koncepcją ograniczenia celu, zgoda może obejmować różne czynności przetwarzania danych, o ile operacje te służą temu samemu celowi. Konkretna zgoda może być uzyskana tylko, jeżeli osoby, których dane dotyczą, zostaną konkretnie poinformowane o planowanych celach przetwarzania.

Jeżeli administrator przetwarza dane na podstawie zgody i chciałby wykorzystać je do innego celu niż ten, w którym zostały zebrane, musi on poprosić podmiot danych o wyrażenie nowej zgody.

Szczegółowość zapytania o zgodę przejawia się w tym, że administrator musi zapewnić możliwość wyrażenia odrębnej zgody na każdy z celów przetwarzania danych (mechanizm opt-in). Oznacza to, że konkretna zgoda musi być wyrażona z osobna na każdy konkretny cel przetwarzania.

Przed wyrażeniem zgody na każdy z celów podmiot danych powinien mieć możliwość zapoznać się z informacjami na temat przetwarzania swoich danych.

Świadoma

Aby podmiot danych mógł wyrazić zgodę w sposób świadomy, musi zostać na początku poinformowany o kluczowych elementach z punktu widzenia przyszłego przetwarzania danych. Zdaniem Grupy Roboczej art. 29 (obecnie EROD) są to minimalnie następujące informacje:

  • tożsamość administratora,

  • cel każdej operacji przetwarzania, dla której prosi o zgodę,

  • jakie dane (jaki rodzaj danych) będą zbierane i wykorzystywane,

  • istnienie prawa do wycofania zgody,

  • informacje na temat wykorzystywania danych do decyzji opartych jedynie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, zgodnie z artykułem 22 ust. 2, oraz

  • jeżeli zgoda dotyczy przekazywania – informacje na temat możliwych zagrożeń związanych z przekazywaniem danych do krajów trzecich w przypadku braku decyzji stwierdzającej odpowiedni stopień ochrony oraz odpowiednich zabezpieczeń (art. 49 ust. 1 lit. a).

Grupa Robocza art. 29 (obecnie EROD) podkreśla, że jest to minimalny zakres informacji, co oznacza, że w niektórych sytuacjach może on być niewystarczający. Zakres niezbędnych informacji, które powinny zostać przekazane podmiotowi danych przed wyrażeniem zgody, należy każdorazowo badać dla konkretnej sytuacji.

Jednoznaczna

Przepisy RODO literalnie wskazują, że zgoda wymaga dokonania przez osobę, której dane dotyczą, oświadczenia lub wyraźnego działania potwierdzającego zgodę, co oznacza, że może być ona udzielona tylko poprzez aktywne działanie lub deklarację. Nie mogą zaistnieć żadne wątpliwości co do tego, że podmiot danych udzielił zgody na określone przetwarzanie.

Wyraźne działanie potwierdzające oznacza, że osoba, której dane dotyczą, podjęła działanie celowe i ukierunkowane na wyrażenie zgody na określone przetwarzanie. Motyw 32 RODO statuuje, że zgodę można uzyskać w formie pisemnego lub (zarejestrowanego) ustnego oświadczenia, w tym drogą elektroniczną.

Powyższe ma wpływ na to, że domyślnie zaznaczone okna wyboru (pola opt-out) nie będą stanowiły wyrażenia zgody, tak jak każde milczenie lub bezczynność po stronie podmiotu danych. Aby zgoda była ważna, osoba, której dane dotyczą, musi dokonać aktywnego działania zmierzającego do udzielenia zgody. Istotny jest również fakt, że zgoda nie może zostać uznana za jednoznaczną, jeśli była zawarta poprzez akceptację umowy lub ogólnych warunków usług.

Wycofanie zgody

Prawo do wycofania zgody zajmuje ważne miejsce w RODO. W art. 7 ust. 3 RODO określono, że administrator danych musi zapewnić możliwość wycofania zgody w dowolnym momencie przez osobę, której dane dotyczą, w sposób równie łatwy, jak ten, w który zgoda została wyrażona. Nie oznacza to, że sposoby te muszą być dokładne identyczne.

Podanym przez Grupę Roboczą art. 29 (obecnie EROD) przykładem niezagwarantowania powyższego prawa jest działanie administratora danych, który przy sprzedaży biletów online prosi o wyrażenie zgody na przetwarzanie danych w celu marketingowym. Wyrażenie zgody odbywa się poprzez kliknięcie w odpowiedni banner TAK/NIE. Administrator informuje, że podmioty danych mają możliwość wycofania udzielonej zgody i w tym celu mogą skontaktować się telefonicznie z biurem obsługi czynnym w standardowych godzinach pracy.

Zdaniem Grupy Roboczej art. 29 (obecnie EROD) wycofanie zgody w tym przypadku wymaga połączenia telefonicznego w godzinach pracy, co jest bardziej uciążliwe niż jedno kliknięcie myszki potrzebne do wyrażenia zgody za pośrednictwem platformy sprzedaży biletów online, dostępnej 24 godziny na dobę.

Zgoda dziecka

RODO szczególną ochroną otacza dane dzieci. Artykuł 8 RODO wprowadza dodatkowe obowiązki w celu zapewnienia wyższego poziomu ochrony danych dzieci w odniesieniu do usług społeczeństwa informacyjnego dla osób, które nie ukończyły 16 lat. Artykuł ten ma zastosowanie, gdy łącznie są spełnione dwie przesłanki:

  1. przetwarzanie dotyczy usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku;

  2. przetwarzanie jest oparte na zgodzie.

Jeżeli dziecko ma mniej niż 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadku, gdy zgoda została udzielona lub zatwierdzona przez osobę sprawującą władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody. Państwa członkowskie mogą obniżyć granicę wieku, który niweluje wymóg potwierdzenia zgody przez rodzica lub opiekuna do 13 lat. W Polsce utrzymano wiek określony przepisami RODO, tj. 16 lat.

W celu uzyskania „świadomej zgody” od dziecka, administrator musi wyjaśnić, jak ma zamiar przetwarzać zgromadzone dane, przy użyciu języka, który jest jasny i zrozumiały dla dzieci. W odniesieniu do potwierdzenia przez osobę posiadającą władzę rodzicielską, RODO nie zapewnia praktycznych sposobów uzyskania zgody rodzica. Administratorzy danych muszą samodzielnie podjąć decyzję w kwestii weryfikowania zgód dzieci. Zdaniem Grupy Roboczej art. 29 (obecnie EROD) w sytuacjach niskiego ryzyka weryfikacja posiadania władzy rodzicielskiej za pośrednictwem poczty elektronicznej może być wystarczając, jednakże w przypadkach wyższych ryzyk mogą być niezbędne dodatkowe kroki w celu weryfikacji posiadanych informacji.

Podsumowanie

Pomimo, że zgoda wydaje się jedną z podstawowych przesłanek przetwarzania danych, jest ona także obarczona największymi obostrzeniami. Wymogi stawiane prawidłowemu zbieraniu zgód są bardzo restrykcyjne, albowiem mają na celu umożliwić podmiotowi danych sprawowanie kontroli nad przetwarzaniem jego danych.

Zgody nie można w żaden sposób na osobie, której dane dotyczą, wymusić ani obarczyć jej negatywnymi konsekwencjami za brak zgody. Wyrażenie zgody na przetwarzanie danych jest fakultatywnym uprawieniem podmiotu danych, nigdy jego obowiązkiem. Podmiot ten musi także zostać na wielu płaszczyznach poinformowany o szczegółach przetwarzania jego danych oraz o przysługujących mu prawach. Bardzo istotne znaczenie ma prawo do wycofania zgody, które powinno być w spełnieniu równie łatwe, jak wyrażenie zgody. Szczególną ostrożność powinniśmy zachować w przypadku odbierania zgody od dzieci, która powinna być potwierdzona przez opiekunów.

Reklama

Poprzedni artykułJedynie 20.000 Euro kary za wyciek danych osobowych 2 MLN rekordów? Wyjaśniamy dlaczego.
Następny artykułJak prawidłowo udostępnić dane kontaktowe IOD?
Jesteśmy firmą wspierającą małych i średnich przedsiębiorców w bezpiecznym i legalnym przetwarzaniu przez nich danych osobowych. Na eRODO.pl dzielimy się swoją wiedzą i doświadczeniem.

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

The reCAPTCHA verification period has expired. Please reload the page.