Przetwarzanie danych osobowych na podstawie zgody

Kiedy przetwarzanie danych jest legalne?

Katalog przesłanek zapewniających legalność przetwarzania danych osobowych zawiera art. 6 RODO. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z warunków opisanych w tym przepisie. Przede wszystkim przetwarzanie danych jest dopuszczalne, wtedy gdy osoba, której dane dotyczą wyrazi na to zgodę. Zgoda nie może być dorozumiana lub domniemana, musi być również zapewniona możliwość jej odwołania, w każdym czasie. Zgoda może być dokumentowana poprzez podpis na klauzuli zgody, zaznaczenie checkboxa na formularzu internetowym, przesłanie zgody mailem. Przykładami klasycznych zgód są: zgoda umieszczona w CV na przetwarzanie danych w celach rekrutacyjnych, zgoda na marketing i udział w konkursie, zgoda na publikację wizerunku w internecie.

Ponadto przetwarzanie jest dopuszczalne, jeżeli jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Przykładem takich umów są np. umowa najmu, zlecenia, na wywóz śmieci, umowa na usługi telekomunikacyjne. RODO stanowi również, że legalne jest przetwarzanie danych osobowych niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze np. wynikającego z Kodeksu pracy czy też Prawa bankowego. Przetwarzaniem zgodnym z prawem będzie też przetwarzanie niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej. Powyższa zasada ma zastosowanie np. w przypadku systemów ostrzegania przed klęskami żywiołowymi.

Legalną przesłankę do przetwarzania danych osobowych stanowi też przetwarzanie, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Chodzi tu o przetwarzanie danych osobowych w celu ochrony zdrowia, opieki socjalnej czy też przez instytucje dysponujące pomocą 500+. Ostatnia z przesłanek opisanych w art. 30 RODO ma miejsce w sytuacji, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Jako przykłady takiego przetwarzania podaje się marketing bezpośredni, windykację, rejestry korespondencji, księgi wejść i wyjść.

Zgody na przetwarzanie według RODO

Unijne rozporządzenie nie zmienia warunków pozwalających uznać dane oświadczenie za prawnie wiążącą zgodę. Stanowi ono, że zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, której dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie mogą zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach.

GIODO stoi na stanowisku, że większość otrzymanych dotychczas zgód zachowa ważność także po wejściu w życie unijnego rozporządzenia. Pod warunkiem że osoby, których dane są przetwarzane, zostaną poinformowane o możliwości wycofania zgody w dowolnym momencie, a wycofanie zgody będzie równie łatwe jak jej wyrażenie. GIODO zachęca do przeglądu stosowanych klauzul i mechanizmów pozyskiwania zgody i upewnienia się, że spełniają wymagania określone w ogólnym rozporządzeniu i że nie ma potrzeby zbierania zgód raz jeszcze. GIODO wskazuje, że warto dokumentować wszelkie czynności związane z pozyskiwaniem zgód, np. kiedy, w jakich okolicznościach i komu udzielona została zgoda oraz w jaki sposób spełniono obowiązek informacyjny.

Jeżeli osoba, której dane dotyczą, wyraża zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Osoba, której dane mają być przetwarzane musi mieć prawo w dowolnym momencie swoją zgodę wycofać. Wycofanie zgody nie może wpływać na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, musi być o tym poinformowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy m.in. od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

Zgoda nie może być więc domniemana ani dorozumiana z innego oświadczenia woli. To zaś oznacza, że zgoda na przetwarzanie danych musi być składana odrębnie od wszelkich innych zgód i oświadczeń. Zgoda musi być przy tym dobrowolna, konkretna oraz świadoma. Niedopuszczalne będzie więc, co obecnie jest częstą praktyką, domyślne zaznaczanie okienka zgody na stronach internetowych przez administratorów danych. Czynność zaznaczenia pola ze zgodą musi wykonać osoba, której dane będą przetwarzane. Niedopuszczalne jest też łączenie zgód. Przykładowo zgoda na przetwarzanie danych osobowych w celach marketingowych i zgoda na przesyłanie informacji handlowych muszą być udzielane oddzielnie. Klauzula zgody musi być skonstruowana w ten sposób aby osoba, której dane dotyczą miała jasność w jakim celu jej dane będą przetwarzane, np. w celach marketingowych, rekrutacyjnych, promocyjnych.

Podobnie jak obecnie, o czym często zapominają administratorzy danych, niedopuszczalne będzie uzależnianie zawarcia umowy od wyrażenia zgody na przetwarzanie danych np. w celach marketingowych. Trzeba również pamiętać, że osoby, których dane dotyczą muszą mieć możliwość odwołania zgody w każdym czasie, a o takim uprawnieniu trzeba je będzie informować, już na samym początku. Odwołanie zgody musi też być jak najprostsze. Odwołanie zgody nie będzie miało wpływu na czynności przetwarzania podjęte w czasie gdy zgoda był udzielona.

Zupełnie nowym zagadnieniem, które reguluje RODO jest kwestia wyrażania zgody przez dzieci, w przypadku usług społeczeństwa informacyjnego. Unijne przepisy stanowią, że w przypadku takich usług oferowanych bezpośrednio dziecku, zgodne z prawem będzie przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. W przypadku dzieci młodszych przetwarzanie będzie zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyrazi lub zaaprobuje ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody. Administrator danych będzie musiał, uwzględniając dostępną technologię, weryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.