Zgoda na przetwarzanie danych

W nowym cyklu będziemy prezentować wybrane zagadnienia RODO wraz z naszymi krótkimi autorskimi komentarzami. Na początek – zgoda na przetwarzanie danych osobowych.

Komentarz Certyfikatów

Przepisy art. 6 i 7 oraz  pkt 32, 42 i 43 preambuły RODO normują jedną z podstaw do przetwarzania danych osobowych – zgodę na przetwarzanie danych osobowych. Zgoda jest istotną podstawą do przetwarzania danych osobowych, a jej pozyskanie jest dość sformalizowane.

Najważniejszymi elementami zgody są:

– dobrowolność, rozumiana jako spontaniczne i swobodne wyrażenie woli przetwarzania danych,

-świadomość wyrażenia zgody, rozumiana jako wiedza, osoby której dane dotyczą o akceptacji przetwarzania jej danych,

– odwołaność – zgoda na przetwarzanie danych może być w każdej chwili odwołana.

Zgoda może być wyrażona również w Internecie – tutaj pomocne będą checkboxy lub inne równoważne rozwiązania dokumentujące udzielenie zgody. Zgoda może być również wyrażona w innej formie – na piśmie lub ustanie. Jednak zgody nie można domniemywać, co oznacza, że w braku wyraźnej zgody, administrator nie może przyjąć, że zgoda została wyrażona.

Pamiętać trzeba, że zgoda narzucona przez administratora np. poprzez zaznaczone przez niego checkboxy lub inne działania, które powodują że dobrowolność wyrażenia zgody nie jest rzeczywista. W konsekwencji taka zgoda nie kwalifikuje się jako legalnie pozyskane oświadczenie i nie może stanowić podstawy prawnej do przetwarzania danych.

Wyrażając zgodę, administrator musi ujawnić swoją tożsamość. Oznacza to, że administrator danych osobowych powinien dokładnie określić swoją formę prawną oraz adres siedziby.

Administrator musi również być w stanie wykazać, kiedy zgoda została wyrażona. Będzie to miało znaczenie przy ewentualnych sporach lub kontroli Urzędu Ochrony Danych Osobowych.

Jeżeli administrator pozyskuje zgodę w Internecie, to rekomendowane jest, aby odwołanie zgody mogło nastąpić tym samym kanałem.

Brzmienie omawianych norm prawnych jest następujące:

Artykuł 6

Zgodność przetwarzania z prawem

  1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a)osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.

Artykuł 7

Warunki wyrażenia zgody

  1. Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
  2. Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca.
  3. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
  4. Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

Preambuła

(32)

Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

(42 )

Jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania. W szczególności w przypadku pisemnego oświadczenia składanego w innej sprawie powinny istnieć gwarancje, że osoba, której dane dotyczą, jest świadoma wyrażenia zgody oraz jej zakresu. Zgodnie z dyrektywą Rady 93/13/EWG oświadczenie o wyrażeniu zgody przygotowane przez administratora powinno mieć zrozumiałą i łatwo dostępną formę, być sformułowane jasnym i prostym językiem i nie powinno zawierać nieuczciwych warunków. Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych. Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.

(43)

Aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna.

 

Leave a Reply

Twój adres e-mail nie zostanie opublikowany.