Jedną z podstaw do przetwarzania danych osobowych jest zgoda, osoby, której dane dotyczą. Dla zwykłych danych osobowych podstawa ta wynika z treści art. 6 ust. 1 lit. a) a dla danych osobowych szczególnych kategorii z treści art. 9 ust. 2 lit. a) Rozporządzenia ogólnego o ochronie danych osobowych (dalej Rozporządzenie RODO)1.
Warto podkreślić, iż zgoda osoby, której dane dotyczą nie jest jedyną podstawą do przetwarzania danych osobowych. W praktyce może się okazać, iż podstawą zbierania danych osobowych jest np. obowiązek prawny, jaki ciąży na Administratorze ochrony danych, wykonanie umowy czy prawnie uzasadniony interes Administratora. Przykładowo wykorzystanie danych osobowych może być w celu dochodzenie i obrony roszczeń, a tym samym podstawą prawną do przetwarzania – wykorzystania danych osobowych będzie art. 6 ust. 1 lit. f) Rozporządzenia RODO.
Przetwarzając dane osobowe na podstawie zgody należy spełnić m.in. następujące wymagania:
- zasady ogólne opisane w art. 5 Rozporządzania RODO;
- warunki wyrażenia zgody określone w art. 7 Rozporządzania RODO;
- warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego;
- wyraźna zgoda na przetwarzanie danych osobowych szczególnych kategorii – art. 9 ust. 2 lit. a) Rozporządzania RODO
Zgoda – definicja wg. Rozporządzenia RODO
Zgodnie z definicją z art. 4 pkt. 11 Rozporządzania RODO:
„zgoda” osoby, której dane dotyczą oznacza:
- dobrowolne,
- konkretne,
- świadome
- jednoznaczne okazanie woli,
którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. W przypadku dokonywania takiego aktu za pośrednictwem Internetu wykorzystanie lub rozpowszechnianie danych może przybierać różne formy. Jednak podstawą do uznania udzielenia zgody przez osobę musi być taki sposób, któremu jednoznacznie można przypisać znamiona świadomego działania. Nie wystarczy więc sama obecność na stronie internetowej jako domniemane potwierdzenie, gdyż będzie to potraktowane jako przetwarzanie danych osobowych bez zgody zainteresowanego.
W motywie 32 Rozporządzenia RODO wskazano, iż zgoda dla przetwarzania zwykłych danych osobowych może mieć formę np.
- pisemną
- elektroniczną
- ustnego oświadczenia
W praktyce może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.
Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody.
Wykorzystanie danych osobowych
Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy (Motyw 32 Rozporządzania RODO).
Przetwarzanie zwykłych danych osobowych wymaga zgody osoby, której dane dotyczą. Natomiast przetwarzanie danych osobowych szczególnej kategorii wymaga „wyraźnej” zgody osoby, której dane dotyczą.
Co to znaczy wyraźna zgoda? Wg. słownika języka polskiego przymiotnik wyraźny oznacza: łatwo zauważalny, dający się łatwo i jednoznacznie zrozumieć.
Zgoda a zasada rozliczalności
Istotną rolę w przetwarzaniu danych osobowych zgodnie z Rozporządzeniem RODO odgrywa zasada rozliczalności. Technicznie rzecz ujmując, chodzi o to, aby Administrator na każdym etapie przetwarzania danych osobowych mógł się wykazać z przestrzegania Rozporządzenia ogólnego o ochronie danych osobowych.
Obowiązek wykazania, iż osoba, której dane dotyczą wyraziła zgodę na ich przetwarzanie wynika z treści art. 7 ust. 1 Rozporządzania RODO.
Ten obowiązek administratora danych osobowych dotyczy także wyraźnej zgody na przetwarzanie danych osobowych szczególnych kategorii np. o stanie zdrowia.
Wycofanie zgody
Możliwość wycofania zgody wynika wprost z przepisu art. 7 ust. 3 Rozporządzania RODO, mianowicie:
- Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę.
- Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.
- Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę.
- Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
W praktyce wycofanie zgody, oznacza, iż dalsze wykorzystywanie danych osobowych, które zostały zebrane na podstawie zgody a Administrator danych osobowych nie posiada innej podstawy jest naruszeniem ochrony danych osobowych.
Przetwarzanie danych osobowych bez zgody – podsumowanie
Przetwarzanie danych osobowych bez zgody wiąże się z poważnymi konsekwencjami finansowymi. Naruszenie podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9 podlega administracyjnej karze pieniężnej w wysokości:
- do 20 000 000 EUR,
- w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego,
przy czym zastosowanie ma kwota wyższa.
Dodatkowo Ustawa o ochronie danych osobowych z 10 maja 2018 r. przewiduje także odpowiedzialność karną. Zgodnie z art. 107 :
Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
- Ułatwiamy osobom fizycznym wycofanie zgody w dowolnym momencie i nagłaśniamy, w jaki sposób można to zrobić np. w klauzuli informacyjnej.
- Podejmujemy działania w zakresie wycofywania zgody tak szybko, jak to możliwe.
- Nie karzemy osób, które chcą wycofać swoją zgodę.
- Sprawdzamy zgody w celu sprawdzenia czy związek, przetwarzanie i cele nie uległy zmianie.
- Prowadzimy przejrzystą dokumentację, aby wykazać zgodę.
- Prośba o zgodę powinna być widoczna, zwięzła, oddzielona od innych warunków i łatwa do zrozumienia (ułatwi to także wywiązanie się z obowiązku rozliczalności).
- Zbierając zgodę pamiętamy o obowiązku informacyjnym !!!!
1 Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.