Wytyczne GR Art. 29 dotyczące zgody

Zgodnie z art. 6 RODO zgoda jest jedną z sześciu równorzędnych podstaw przetwarzania danych osobowych. Administrator, rozpoczynając proces przetwarzania danych osobowych, musi dokonać oceny czy zgoda będzie legalną podstawą przetwarzania w tym procesie, czy też należy wybrać inną podstawę. Grupa Robocza Artykułu 29 w wytycznych dotyczących zgody uszczegóławia i rozszerza istniejące dotychczas opinie dotyczące zgody.

RODO w art. 4 ust. 11 definiuje zgodę jako: „dobrowolne, konkretne, świadome
i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.

Dobrowolna – oznacza, że osoba, której dane dotyczą, ma realną możliwość wyboru, a jeśli nie ma takiej możliwości, czuje się zmuszona do wyrażenia zgody lub poniesie negatywne konsekwencje, jeżeli zgody nie wyrazi, wówczas zgoda taka jest nieważna. Poniżej przedstawiono sytuacje, które zdaniem GR Art. 29 mają wpływ na dobrowolność wyrażenia zgody.

GR Art. 29 zwraca uwagę na brak równowagi sił w przypadku wykorzystania zgody jako podstawy prawnej przetwarzania przez organy publiczne. Zgodnie z motywem 43 RODO jeśli administratorem danych jest organ publiczny, to często istnieje wyraźny brak równowagi sił w relacji między administratorem a osobą, której dane dotyczą. Dlatego też GR Art. 29 uważa, że istnieją inne podstawy prawne przetwarzania, które są bardziej odpowiednie dla organów publicznych. Jednak nie wyklucza ona całkowicie wykorzystania zgody jako podstawy prawnej przetwarzania. Podobna sytuacja braku równowagi sił występuje w relacji pracodawca – pracownik. Dlatego też zdaniem GR Art. 29 przetwarzanie danych przyszłych i obecnych pracowników jest problematyczne, gdyż jest mało prawdopodobne, aby zgoda wyrażona była dobrowolnie. Jednak i w tym przypadku nie jest wykluczone, iż pojawią się sytuacje, kiedy pracodawca będzie mógł  wykorzystać zgodę jako legalną podstawę przetwarzania.

Zgodnie z art. 7 ust. 4 RODO na dobrowolność wyrażenia zgody ma wpływ sytuacja „połączenia” zgody z innymi oświadczeniami. Zgoda musi zostać przedstawiona w sposób wyraźnie odróżniający ją od innych kwestii.

Kolejną kwestią wpływającą na dobrowolność wyrażenia zgody jest szczegółowość, czyli uzyskanie przez administratora oddzielnej zgody na wszystkie cele przetwarzania, jeśli przetwarzanie służy różnym celom. Jeśli administrator połączył kilka celów przetwarzania
i nie uzyskał odrębnej zgody na przetwarzanie dla każdego z tych celów, wówczas nie może być mowy o dobrowolności wyrażenia zgody.

Administrator, zdaniem  GR Art. 29, musi być także w stanie wykazać, że możliwe jest wycofanie zgody bez niekorzystnych konsekwencji dla osoby, która tę zgodę wyraziła, np. wycofanie zgody nie wymaga dodatkowych kosztów od osoby, której dane dotyczą i tym samym nie powoduje niekorzystnych konsekwencji (motyw 42 RODO).

Konkretna – wymóg, aby zgoda była konkretna, ma na celu zapewnienie kontroli użytkownika oraz przejrzystości dla osoby, której dane dotyczą. Zgodnie z wytycznymi GR Art. 29, aby zapewnić prawidłowość wyrażonej zgody z elementem „konkretna” muszą zostać spełnione przez administratora poniższe warunki:

  1. określenie konkretnego, wyraźnego celu przetwarzania danych;
  2. zachowanie szczegółowości w zapytaniach o zgodę (uzyskanie oddzielnej zgody na każdy cel przetwarzania);
  3. wyraźne oddzielenie zapytań o zgodę od innych oświadczeń.

Świadoma – RODO wskazuje, iż zgoda musi być świadoma. Wymóg ten polega na przekazaniu przez administratora szczegółowych informacji osobom, których dane dotyczą, zanim uzyska on od nich zgodę. Umożliwi to osobom podjęcie świadomej decyzji
i zrozumienia na co wyrażają zgodę oraz realizacji prawa do wycofania zgody. Zdaniem GR Art. 29 do uzyskania świadomej zgody konieczne są co najmniej poniższe informacje:

  • tożsamość administratora;
  • cel każdej operacji przetwarzania, dla której prosi się o zgodę;
  • rodzaj danych jakie będą zbierane i wykorzystywane;
  • informacja o przysługującym prawie do wycofania zgody;
  • informacje na temat wykorzystania danych do decyzji opartych na zautomatyzowanym przetwarzaniu, w tym profilowaniu;
  • w przypadku jeśli zgoda jest przekazywana – informacje na temat ewentualnych zagrożeń związanych z przekazywaniem danych do krajów trzecich w przypadku braku decyzji stwierdzającej odpowiedni stopień ochrony oraz odpowiednich zabezpieczeń.

RODO nie określa, w jakim kształcie informacje muszą być przekazane, aby spełniony był wymóg świadomej zgody. Jednak zgodnie z art. 7 ust. 2 i motywem 32 RODO, administratorzy prosząc o zgodę, powinni zawsze używać jasnego i prostego języka. Oznacza to, iż informacje powinny być zrozumiałe dla przeciętnej osoby, zwłaszcza jeśli odbiorcami będą osoby nieletnie.

Jednoznacznego okazania woli – RODO jednoznacznie wskazuje, iż zgoda wymaga oświadczenia od osoby, której dane dotyczą lub działania potwierdzającego, co w efekcie przekłada się na wymóg, iż zgoda musi być wyrażona poprzez aktywne działanie lub deklarację. Zgodnie z art. 4 ust. 11 RODO ważna zgoda wymaga „jednoznacznego okazania w formie oświadczenia lub wyraźnego działania potwierdzającego”. Oznacza to, iż osoba, która wyraziła zgodę na przetwarzanie jej danych, musiała w tym celu podjąć celowe działanie.

Zatem, nim administrator rozpocznie przetwarzanie danych osobowych, na które potrzebna jest zgoda, musi ją uzyskać przed rozpoczęciem przetwarzania. A zgoda ta, by była legalna, musi spełniać wyżej opisane wymogi RODO dotyczące jej wyrażenia.

Joanna Peryt

Autor

Joanna Peryt

Od ponad 10 lat pracuje w Audytelu, gdzie jako konsultant zrealizowała wiele audytów bezpieczeństwa danych osobowych oraz projektów wdrożeniowych. Pełni rolę Inspektora ochrony danych dla wielu klientów Audytela. Posiada certyfikat auditora wewnętrznego ISO 27001 (Bezpieczeństwo Informacji).

Z tej samej kategorii

Kategorie