Blog

Powrót
Następny
Poprzedni

Zgoda na przetwarzanie danych osobowych w świetle GDPR

Jakie warunki powinna spełniać zgoda na przetwarzanie danych w świetle przepisów ogólnego rozporządzenia o ochronie danych (GDPR, RODO)? Jakie nowe wymagania wprowadziło GDPR wobec oświadczeń zgody?

 

 

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ( GDPR, RODO) posługuje się „nową” definicją zgody. Stosownie do art. 4 pkt 11 zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

 

W odniesieniu do aktualnie obowiązującej definicji zawartej w art. 7 pkt 5 ustawy o ochronie danych osobowych nastąpiło pewne „złagodzenie” formy zgody. Obecnie przez „zgodę” rozumie się wyłącznie oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Ponadto zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, a także zgoda może być odwołana w każdym czasie.

 

Tym samym w GDPR sformułowanie „oświadczenie woli” zastąpiono „okazaniem woli” które może przybrać formę „oświadczenia lub wyraźnego działania potwierdzającego”, którym osoba której dane dotyczą „przyzwala na przetwarzanie dotyczących jej danych osobowych”.

 

Nowy przepis lepiej przystaje do realiów związanych z przetwarzaniem danych przy użyciu nowych technologii, np. w Internecie.

 

W motywie 32 preambuły ogólnego rozporządzenia o ochronie danychzostały wskazane trzy możliwe sposoby wyrażenia zgody:

  • wyrażenie zgody może polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej,
  • wyrażenie zgody może polegać na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego
  • wyrażenie zgody może polegać na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.

 

Jednoznacznie wskazane zostało także, że milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody. Zgoda powinna także dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy. Pierwszy i ostatni sposób wyrażenia zgody w zasadzie są powszechnie stosowane także obecnie.

 

Z kolei w motywie 42 preambuły ogólnego rozporządzenia o ochronie danych wskazano warunki jakie powinny zostać spełnione, aby przetwarzanie danych mogło odbywać się na podstawie zgody:

  1. administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania,
  2. w przypadku pisemnego oświadczenia składanego w innej sprawie powinny istnieć gwarancje, że osoba, której dane dotyczą, jest świadoma wyrażenia zgody oraz jej zakresu
  3. oświadczenie powinno mieć zrozumiałą i łatwo dostępną formę, być sformułowane jasnym i prostym językiem i nie powinno zawierać nieuczciwych warunków
  4. osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych aby wyrażenie zgody było świadome
  5. jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji, wyrażenia zgody nie należy uznawać za dobrowolne.

 

W motywie 43 preambuły GDPR określono, iż zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna. Powoływany wcześniej motyw 32 GDPR precyzuje także, że na każdy cel przetwarzania danych powinna być udzielona osobna zgoda.

 

GDPR wymaga, aby informacja o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem była przekazywana osobie której dane dotyczą w momencie zbierania danych (jako element obowiązku informacyjnego, pierwotnego lub wtórnego – odpowiednio art. 13 ust. 2 lit c i art. 14 ust. 2 lit. d GDPR). Obecnie w przypadku zbierania danych na podstawie zgody należy tylko poinformować o dobrowolności podania danych (art. 24 ustawy o ochronie danych osobowych). Niektórzy administratorzy danych już teraz informują, o tym, że osoba może w dowolnym momencie wycofać zgodę. Większość jednak mając na uwadze swój interes tj. "lepiej aby klient nie otrzymywał takiej informacji wprost, bo może chcieć z niej skorzystać" nie podawała informacji o możliwości wycofania zgody.

 

Obecnie jest to o tyle istotne, że zgodnie z motywem 171 preambuły GDPR przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów. Jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia.

 

GIODO w swojej publikacji dostępnej pod adresem http://www.giodo.gov.pl/1520281/id_art/10014/j/pl wskazuje, iż: „wydaje się, że większość otrzymanych dotychczas zgód zachowa ważność także pod rządami ogólnego rozporządzenia. Pod warunkiem, że poinformowano osobę, której dane dotyczą o możliwości wycofania zgody w dowolnym momencie, a wycofanie zgody jest równie łatwe jak jej wyrażenie.”

 

Generalny Inspektor Ochrony Danych zwraca uwagę, że „pamiętając o zasadzie rozliczalności, warto dokumentować wszelkie czynności związane z pozyskiwaniem zgód – np. kiedy, w jakich okolicznościach i komu udzielona została zgoda oraz w jaki sposób spełniono obowiązek informacyjny”.

 

Przepisy ogólnego rozporządzenia o ochronie danych, przewidują, że zgoda na przetwarzanie danych może stanowić zarówno przesłankę przetwarzania danych zwykłych oraz danych wrazliwych (sensytywnych). W odniesieniu do danych wrażliwych w przeciwieństwie do obencej regulacji ustawy o ochronie danych osobowych nie będzie wymagane pozyskanie zgody na piśmie, co z punktu widzenia administratorów danych jest zmianą niewątpliwie korzystną.

 

Zupełnie nowe rozwiązania w zakresie pozyskiwania zgód dotyczą osób niepełnoletnich. Stosownie do art. 8 ogólnego rozporządzenia o ochronie danych "w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody. Państwa członkowskie mogą obniżyć granicę wieku (do 13 lat). (ust. 1)"; ust. 2 "W takich przypadkach administrator, uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała."

 

Motyw 58 preambuły GDPR (RODO) w odniesieniu do dzieci stanowi m.in. "Zważywszy że dzieci zasługują na szczególną ochronę, wszelkie informacje i komunikaty – gdy przetwarzanie dotyczy dziecka – powinny być sformułowane tak jasnym i prostym językiem, by dziecko mogło je bez trudu zrozumieć."

 

 

Podsumowując - zdecydowana większość warunków dotyczących wyrażenia zgody wskazana w RODO obowiązuje już u nas obecnie. Mając na uwadze nowe obowiązki prawne oraz wymagania motywu 171 preamuły odnośnie zgód zbieranych wcześniej, a które mają być aktualne także po 24 maja 2017 roku niezbędnym jest dokonanie przeglądu aktualnie stosowanych rozwiązań i opracowanie nowych klauzul i procedur uwzględniających potrzebę realizacji wymogów wynikających z GDPR.

 

Podkreślić trzeba, że brak zgód, lub zbieranie ich w sposób niezgodny z postanowieniami RODO może prowadzić do bardzo poważanej odpowiedzialności finansowej. Zgodnie z art. 83 ust. 5 lit a RODO naruszenia podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

 

Henryk Hoser

aplikant adwokacki

 

Zapraszamy do zapoznania się z naszymi innymi publikacjami dotyczącymi zgody na przetwarzanie danych zawartymi w portalu www.odoserwis.pl:

 

 

 

 

 

Podziel się: