Zgoda jako jedna z podstaw przetwarzania danych osobowych

przetwarzanie danych

Rozporządzenie unijne (RODO), które zostało przyjęte w kwietniu 2016 r., wprowadza znaczące zmiany w stosunku do wciąż obowiązującej ustawy o ochronie danych osobowych. Dotyczą one między innymi sposobu wyrażania zgody na przetwarzanie danych osobowych oraz jej treści.

Należy podkreślić, iż zgoda na gruncie RODO ma charakter autonomiczny i stanowi równoprawną przesłankę przetwarzania danych osobowych, podobnie jak prawnie usprawiedliwiony cel administratora danych czy przepis prawa.

Zgodnie z definicją zawartą w art. 4 pkt. 11 Rozporządzenia „zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.

Porównując tę definicję z definicją zgody zawartą w art. 7 pkt. 5. ustawy o ochronie danych osobowych, zgodnie z którą poprzez zgodę osoby, której dane dotyczą, rozumie się „oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści”, możemy zauważyć, iż zgoda na gruncie RODO może być odebrana zarówno w formie oświadczenia, jak i wyraźnego działania potwierdzającego.

Odnośnie pierwszej formy odebrania zgody na przetwarzanie danych od osoby, której dane dotyczą, to jest ona zgodna w tym zakresie z obecną treścią zgody opisaną w ustawie o ochronie danych osobowych. Natomiast wymagania co do drugiej formy zgody zostały opisane w Motywie 32. preambuły w następujący sposób: Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych, i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia (…).

Zatem zgoda musi być wyrażona dobrowolnie, świadomie, poprzez jednoznaczne przyzwolenie osoby na przetwarzanie jej danych osobowych przez dany podmiot. Zarówno ustawodawca unijny, jak i polski nie wskazują, iż zgoda taka musi być udzielona w formie pisemnej.

Choć w przepisach nie ma wymogu dot. formułowania zgody, to jednak istotne jest w jaki sposób została ona sformułowana. Zgodnie z art. 7 pkt. 2 „Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca”.

Rozporządzenie kładzie bardzo duży nacisk na to, by zgoda wyrażona była w konkretnym celu i jeśli ten cel miałby ulec zmianie, to Administrator danych powinien zadbać o to, by osoba wyraziła oddzielną zgodę na każdy z celów przetwarzania danych.

RODO, podobnie jak uodo, przewiduje możliwość odwołania zgody w każdym momencie. Różnica polega na tym, że zgodnie z RODO administrator danych zobowiązany jest poinformować o możliwości wycofania zgody jeszcze przed jej wyrażeniem oraz musi zapewnić, że „wycofanie zgody będzie równie łatwe jak jej wyrażenie”. Oznacza to, że administrator danych, planując zbieranie zgód, powinien zastanowić się nad mechanizmem pozwalającym ich odwołanie. W praktyce oznacza to, iż w taki sam sposób, w jaki zgoda została wyrażona, powinna móc być odwołana.

Na Administratorze danych będzie spoczywał ciężar udowodnienia, że osoba wyraziła zgodę na przetwarzanie danych. Należy zatem tak zaplanować sposób zbierania zgody, aby w razie skargi czy sporu móc udowodnić fakt jej pozyskania. Dlatego też, w celach dowodowych, warto odebrać taką zgodę na piśmie lub w innej formie umożliwiającej ewentualne udowodnienie pozyskania zgody na przetwarzanie danych od osoby, której dotyczą.

Istotną zmianą, jaką wprowadza Rozporządzenie, są odrębne regulacje dot. wyrażenia zgody przez dziecko. Zgodnie z art. 8 pkt. 1 „Jeżeli zastosowanie ma art. 6 ust. 1 lit. a), w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody.”

Państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat. Warto podkreślić, iż Polska skorzystała z tego uprawnienia.

Kluczową kwestią jest odpowiedź na pytanie czy zgody wyrażone na gruncie uodo zachowają swoją ważność na gruncie RODO. Zgodnie z motywem 171 preambuły ”(…) Jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia (…)”. Oznacza to, iż po 25 maja 2017 r. możliwe będzie przetwarzanie danych na podstawie zebranych zgód pod warunkiem, że zostały one wyrażone zgodnie z przepisami RODO.

Joanna Peryt

Autor

Joanna Peryt

Z uwagi na posiadaną wiedzę specjalizuje się w zagadnieniach związanych z ochroną danych w prawie pracy. Przez kilkanaście lat zrealizowała wiele audytów bezpieczeństwa danych osobowych oraz projektów wdrożeniowych. Pełniła rolę Inspektora ochrony danych dla wielu klientów Audytela.