Transakcje internetowe i komunikacja za pośrednictwem globalnej sieci stanowią obecnie ważny aspekt prowadzenia firmy, z którym wiąże się przetwarzanie danych osobowych. Z przetwarzaniem danych osobowych związane są natomiast różne obowiązki, które spoczywają na administratorach tych danych. Zapewne z powyższego względu pojawia się w sieci pytanie, czym jest oświadczenie o przetwarzaniu danych osobowych.
Oświadczenie o przetwarzaniu danych osobowych
Na wstępie należy uzmysłowić sobie, że na gruncie przepisów prawa nie występuje pojęcie oświadczenia o przetwarzaniu danych osobowych. Z prawnego punktu widzenia oświadczenie o przetwarzaniu danych osobowych może wiązać się z dwoma zagadnieniami:
a) ze zgodą na przetwarzanie danych osobowych oraz
b) z klauzulą informacyjną o przetwarzaniu danych osobowych.
Zgoda na przetwarzanie danych osobowych związana jest z prawidłowym przygotowaniem przez administratora danych formularza zgody, a następnie zaakceptowania jego zapisów przez osobę, której dane dotyczą. Klauzula informacyjna natomiast odnosi się do prawidłowego sporządzenia wymaganych prawem informacji dla osoby, której dane osobowe są lub mają być przetwarzane.
Zgoda nie zawsze będzie potrzebna
Jeżeli chodzi o pierwsze zagadnienie, to na wstępie należy podkreślić, że zgoda na przetwarzanie danych osobowych wyrażona przez osobę, której dane dotyczą jest najbardziej nadużywaną i nieprawidłowo wykorzystywaną podstawą do przetwarzania danych osobowych. Przede wszystkim, należy mieć na uwadze, że zgoda osoby, której dane dotyczą jest jedną z pięciu podstawowych przesłanek przetwarzania danych osobowych. Wśród nich można wyróżnić przetwarzanie danych osobowych niezależnie od zgody na podstawie ich niezbędności do realizacji umowy lub z uwagi na obowiązek wynikający ze szczególnych przepisów prawa.
W praktyce oznacza to, że nie ma potrzeby proszenia o zgodę przyszłego kontrahenta na przetwarzanie jego danych osobowych w celu zawarcia umowy, , jeżeli są one niezbędne do realizacji umowy.
Zgoda na przetwarzanie danych osobowych
Jeżeli jednak nie możemy powołać się na żadną przesłankę przetwarzania danych osobowych, musimy faktycznie pozyskać zgodę osoby, której dane dotyczą na przetwarzanie jej danych osobowych w określonym celu. Szczegóły dotyczące zasad korzystania z przesłanki zgody znajdują się w następujących przepisach:
a) art. 7 pkt 5 ustawy o ochronie danych osobowych,
b) motywy 42 i 43 oraz art. 4 pkt 11, art. 7 oraz art. 8 Rozporządzenia UE nr 2016/679 tzw. ogólnego rozporządzenia o ochronie danych (dalej jako RODO).
Postanowienia RODO mają tę zaletę, że w sposób bardziej rozbudowany niż ustawa przedstawiają kwestię pozyskiwania zgody.
Cel przetwarzania danych osobowych
Prawidłowy wzór zgody na przetwarzanie musi bezwzględnie zawierać cel, dla którego przetwarzane są dane osobowe. Co więcej, GIODO stoi na stanowisku, że każdy cel przetwarzania danych osobowych powinien być wyodrębniony, aby osoba, której dane dotyczą, mogła podjąć decyzję, czy zgadza się na wszystkie cele przetwarzania, czy tylko na niektóre. Jednak tak restrykcyjne podejście do sprawy może budzić uzasadnione wątpliwości praktyczne, jeżeli osoba, której dane dotyczą, może świadomie i dobrowolnie podjąć decyzję, czy zgadza się na wszystkie cele objęte zgodą. Może ona bowiem uznać, że w ogóle nie będzie wyrażać zgody na przetwarzanie danych w celach opisanych w zgodzie.
Jeżeli bowiem osoba, której dane dotyczą widzi, że może zgodzić się na kilka celów albo po prostu się nie zgodzić w ogóle, to dobrowolność i świadomość zgody jest zachowana. Z tej perspektywy umieszczenie kilku celów w jednej formule zgody wydaje się być uzasadnione. Niemniej jednak według aktualnego stanowiska GIODO jeden cel oznacza jedną zgodę. Dodatkowo treść postanowień RODO zdaje się potwierdzać aktualne stanowisko GIODO. Nie jest to jednak kwestia jednoznaczna. Niezależnie od powyższego klauzula zgody na przetwarzanie danych musi być sformułowania jasno i jednoznaczne.
Klauzula informacyjna
W przypadku drugiego zagadnienia, które jest niezależne od zgody na przetwarzanie danych osobowych, administrator musi zawsze spełnić wynikający z przepisów obowiązek informacyjny wobec osoby, której dane dotyczą. W zależności od tego, jak administrator danych zebrał dane osobowe – czy nastąpiło to od osoby, której dane dotyczą, czy też od osoby trzeciej – jest on zobowiązany do przekazania osobie, której dane dotyczą wymaganych prawem informacji.
Informacje te przewiduje art. 24 i art. 25 ustawy o ochronie danych osobowych oraz od 25 maja 2018 roku art. 13 i art. 14 RODO. Co istotne, RODO znacznie rozszerza katalog informacji, które należy przedłożyć osobie, której dane dotyczą w przypadku pozyskiwania od tej osoby danych osobowych. Niewątpliwie więc, od 25 maja 2018 roku klauzule informacyjne będą wymagały przekazywania dodatkowych informacji, takich jak np. okres przechowywania danych osobowych, czy też informacji o prawie do wniesienia skargi do właściwego organu nadzorczego w zakresie ochrony danych osobowych.
Nowe przepisy dotyczące zgody na przetwarzanie danych
Rozszerzenie katalogu przekazywanych informacji wydaje się być zasadne. Może jednak powstać praktyczny problem z komunikatywnym przekazaniem tych wszystkich danych osobie, której dane dotyczą – w szczególności dziecku. RODO wymaga bowiem, aby informacje te przekazać w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Niestety zachowanie zwięzłego, zrozumiałego, przejrzystego oraz prostego języka przekazu może być bardzo trudne w połączeniu z wymaganą ilością informacji, które należy przekazać osobie, której dane dotyczą.
Zgoda na przetwarzanie danych osobowych – wzór
Podsumowując wszystkie powyższe uwagi, zgoda na przetwarzanie jest jedną z pięciu równorzędnych przesłanek przetwarzania danych osobowych, natomiast obowiązek informacyjny obciąża administratora danych osobowych zawsze podczas zbierania danych od osoby, której dane dotyczą.