Jedną z podstaw prawnych do przetwarzania danych osobowych jest zgoda osoby, której dane dotyczą. Wraz z wejściem w życie Ogólnego Rozporządzenia o ochronie danych osobowych (RODO) zgoda na przetwarzanie danych osobowych nabiera jeszcze większego znaczenia. Jak administrator danych osobowych powinien pozyskać zgodę na przetwarzanie danych osobowych?
Zgoda na przetwarzanie danych osobowych – definicja
Definicję zgody na przetwarzanie danych osobowych zawiera art. 4 pkt 11 RODO. Zgodnie z tym przepisem zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli. Okazanie woli musi mieć postać oświadczenia lub wyraźnego działania potwierdzającego przyzwolenie na przetwarzanie danych osobowych. Innymi słowy, RODO wymaga, aby zgoda była świadomym i jednoznacznym okazaniem woli, którego treścią jest upoważnienie do przetwarzania danych osobowych. Świadomość zgody należy traktować jako sytuację, w której osoba zdaje sobie sprawę z konsekwencji udzielenia upoważnienia do przetwarzania danych osobowych. Zgoda nie może być udzielona pod przymusem, co oznacza, że wszelkie uzależnienie zawarcia umowy lub świadczenia usług od wyrażenia zgody na przetwarzanie danych osobowych jest niedozwolone. Zgoda może zostać wyrażona bądź to w formie oświadczenia, bądź jednoznacznego działania. Tym samym możliwe będzie wyrażenie zgody np. przez podpisanie stosownego oświadczenia czy zaznaczenie chceckboxa dotyczącego przetwarzania danych.
Obowiązki administratora
Ważne jest, aby administrator danych osobowych mógł wykazać, że pozyskanie zgodny na przetwarzanie danych osobowych odbyło się zgodnie z wymogami RODO. To na administratorze danych osobowych będzie ciążył obowiązek dowodowy przy jakimkolwiek sporze odnośnie legalności wyrażenia zgody. Administrator danych osobowych musi również pamiętać, że podstawą do przetwarzania danych osobowych może być zgoda wyrażona w konkretnych celach. Przykładowo, jeżeli administrator chce przetwarzać dane osobowe dla celów marketingowych oraz dla celów archiwizacyjnych, to powinien uzyskać zgodę na każdy z tych celów przetwarzania. RODO wyraźnie stanowi, że podstawą przetwarzania danych może być zgoda udzielona w jednym lub większej liczbie określonych celów. Jeżeli cele przetwarzania danych osobowych nie będą określone, to zgoda może być uznana za nieskuteczną.
Sankcje za naruszenie warunków zgody
RODO wprowadza sankcje pieniężne za naruszenie zasad przetwarzania danych osobowych. Jednocześnie, warunki pozyskania zgody są traktowane jako podstawowe zasady przetwarzania i zagrożone są wyższymi karami. Ich wysokość może sięgać 20.000.000 euro. Brak spełnienia warunków pozyskania zgody na przetwarzanie danych osobowych może również uniemożliwić uzyskanie przez administratora certyfikatu ochrony danych osobowych. Certyfikaty ochrony danych osobowych świadczą o tym, że administrator przetwarza dane zgodnie z prawem.
Nie wiesz, czy Twoja organizacja przetwarza dane zgodnie z prawem? Masz wątpliwości do co stosowania RODO? Skontaktuj się z nami!
