Przesłanki legalizujące przetwarzanie danych osobowych są niezbędne, aby móc zagwarantować, że przetwarzanie odbywa się zgodnie z prawem. Jedną z przesłanek legalizujących przetwarzanie danych osobowych według RODO jest zgoda osoby, której dane dotyczą, częstym tego przypadkiem jest klauzula CV.
Rozporządzenie zawiera definicję legalną zgody. Artykuł 4 punkt 11 RODO stanowi, że zgoda musi łącznie spełniać cztery warunki. Musi być:
- dobrowolna;
- konkretna;
- świadoma;
- jednoznaczne wyrażać wolę.
Co oznacza dobrowolność zgody?
Dobrowolność zgody jest oceniana w kontekście sytuacyjnym. Jako punkt wyjścia należy przyjąć tezę, że jeżeli odmowa udzielania zgody wywoła negatywne konsekwencje dla odmawiającej osoby, to nie będzie to zgoda dobrowolna. Konsekwencje te mogą być różnorakie: od zwiększenia ceny produktu lub usługi, aż po brak możliwości uczestnictwa w projekcie.
W praktyce powstaje wątpliwość czy jeżeli zgoda jest bezpośrednio związana z daną usługą to odmowa jej wyrażenia jest negatywną konsekwencją. Przykładem może być zapisanie się na szkolenie, które wymaga podania danych do wystawienia faktury. W takiej sytuacji trzeba zwrócić uwagę na dwa aspekty. Po pierwsze czy istnieje inna przesłanka niż zgoda, na podstawie której dane osobowe mogą być przetwarzane. Trzeba przeanalizować artykuł 6 RODO. W tym przykładzie (zapisanie się na szkolenie) będzie to przesłanka zawarta w art. 6 ust. 1 lit. b: „przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą”. W takim wypadku nie jest konieczne pozyskiwanie zgody. Co więcej nie powinno się tego robić, na co wprost wskazują wytyczne Grupy Roboczej art. 29. Po drugie należy zbadać czy ilość pozyskiwanych danych jest minimalna dla realizacji celu. W przypadku szkolenia może być to imię, nazwisko i e-mail lub inny środek kontaktu (raczej nie ma potrzeby pozyskiwania innych danych, np. adresu zamieszkania).
Warto również pamiętać, że dobrowolność zgody jest związana z jej formą. Kiedy, przykładowo, uczestnictwo w wycieczce zależy od udzielenia zgody na przetwarzanie danych dla celów marketingowych – to w takim przypadku zgoda nie będzie uznawana za dobrowolną. Aby spełnić warunek dobrowolności konieczne jest takie sformułowanie treści zgody, aby brak jej wyrażenia nie uniemożliwiał uczestnictwa w wydarzeniu (zgoda na zbieranie danych, koniecznych do zorganizowania wyjazdu, oddzielona od zgody na przetwarzanie danych do celów marketingowych).
Co oznacza konkretność zgody?
Konkretność zgody odnosi się do jej precyzyjnego sformułowania. Zgoda powinna wprost wskazywać cele, w jakich dane będą przetwarzane. Za konkretną nie jest uważana zgoda, która jest częścią umowy, a także zgoda będąca częścią regulaminów świadczenia usług.
Możliwość wyrażenia zgody na przetwarzanie danych osobowych powinna być wyraźnie rozdzielona od treści normatywnej umów lub innych aktów.
Co oznacza, że zgoda ma być świadoma?
Zgoda jest świadoma, jeśli osoba, która ją wyraża zostanie poinformowana:
- kto będzie przetwarzał jej dane osobowe,
- w jakim celu będą przetwarzane,
- jakie uprawnienia jej przysługują.
Kiedy wyrażenie woli dotyczące zgody jest jednoznaczne?
Jednoznaczne wyrażenie woli oznacza, że dana osoba będzie musiała podjąć działanie w celu wyrażenia zgody. Niedopuszczalne jest zatem przyjęcie, że milczenie lub brak działania oznacza zgodę. Zgoda nie może być również opcją domyślną (np. domyślnie odznaczona w formularzu internetowym).
Sposób złożenia zgody
Według RODO zgoda może być złożona w innej formie niż pisemna. Dopuszczalna jest forma elektroniczna (np. poprzez e-mail, SMS, portale społecznościowe czy komunikatory). W pewnych wypadkach możliwa jest zgoda w formie ustnej, ale będzie ona miała charakter wyjątkowy.
Skutecznej zgody będzie mogła udzielić osoba z pełną zdolnością do czynności prawnych. Wyjątkiem są sytuacje dotyczące usług społeczeństwa informacyjnego – chodzi o umowy i inne usługi, które są zawierane lub przekazywane online. Dotyczy to np. gier online, świadczenia usług w chmurze, czy sprzedaży przez Internet. Więcej szczegółów na ten temat w artykule Zgoda dziecka na przetwarzanie danych.
Co powinna zawierać zgoda?
Nie ma żadnego wzoru zgody na przetwarzanie danych osobowych. W wytycznych Grupy Roboczej art. 29 można znaleźć informację, że zgoda powinna zawierać co najmniej:
- tożsamość administratora – dane podmiotu, który decyduje o celach i zasadach przetwarzania danych;
- cel każdej operacji przetwarzania, dla której prosi się o zgodę – tu wskazujemy po co nam dane określonej osoby: np. dla celów statystycznych, marketingu swoich usług;
- jakie dane będą zbierane i wykorzystywane – wskazujemy te, które osoba dostarcza bezpośrednio (np. wpisując do formularza swoje imię i nazwisko) oraz pozyskiwane pośrednio (np. adres IP);
- informacje o prawie do wycofania zgody (o wycofaniu/odwołaniu zgody piszemy poniżej);
- informacje na temat wykorzystywania danych do decyzji opartych jedynie na zautomatyzowanym przetwarzaniu, w tym profilowania – jeżeli przetwarzamy dane w ten sposób to należy poinformować o tym osobę, która nam dane przekazuje;
- jeżeli zgoda dotyczy przekazywania – informacje na temat możliwych zagrożeń związanych z przekazywaniem danych do krajów trzecich. Tę informację należy przekazać tylko w wypadku, gdy brak jest decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony w kraju, do którego dane są przekazywane.
Odwołanie zgody
RODO w art. 7 ust. 3 wskazuje, że zgoda może być odwołana w każdym momencie. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. Nie można nakładać negatywnych konsekwencji z tytułu cofnięcia zgody.
Odwołanie wywołuje skutek natychmiastowy, czyli od momentu otrzymania oświadczenia woli w tym zakresie nie można przetwarzać danych. Odwołanie nie wywołuje skutków wstecz. To znaczy, że operacje przetwarzania danych, które były dokonane w czasie gdy zgoda obowiązywała, są zgodne z prawem.
Każda zgoda na przetwarzanie danych osobowych może zostać odwołana.
Ważność już pozyskanych zgód po wejściu w życie RODO
Po uchwaleniu RODO powstały wątpliwość czy zgody pozyskane przed 25 maja 2018 r. zachowają dalej swoją ważność. Wątpliwości wynikają m.in. z faktu, że poprzedzające RODO przepisy nie nakładały obowiązku informowania o prawie do cofnięcia zgody – a jest to wymagane przez RODO. Niepewność rozwiało zarówno stanowisko Grupy Roboczej art. 29, jak i opinia polskiego Generalnego Inspektora Ochrony Danych Osobowych. Zgodnie z nimi stare zgody, co do zasady, utrzymają ważność. Należy jednak zbadać czy były one pozyskane zgodnie z zasadami dobrowolności, konkretności, świadomości i jednoznacznego wyrażenia zgody. Ponadto jeżeli zmieni się cel przetwarzania zebranych danych lub potrzebne będzie pozyskanie zgody na nowo z innych powodów, konieczne będzie zadośćuczynienie wszystkim obowiązkom wynikającym z RODO.
