Zgoda osoby, której dane dotyczą w zakresie przetwarzania jej danych osobowych stanowi jedną z przesłanek legalności przetwarzania danych osobowych na gruncie przepisów Rozporządzenia Parlamentu Europejskiego i rady UE o ochronie danych osobowych 2016/679 (dalej, jako RODO lub Rozporządzenie).
Prawo do samostanowienia informacyjnego
Przesłanka zgody odgrywa znaczącą rolę w systemie ochrony danych osobowych, ponieważ podkreśla prawo jednostki do samostanowienia informacyjnego. Przepisy pozostawiają jej zatem możliwość podjęcia autonomicznej decyzji: czy, przez kogo, kiedy i jak jej dane osobowe będą przetwarzane. Jest też najbardziej wyraźną realizacją zasady autonomii informacyjnej uregulowanej w art. 51 ust. 1 Konstytucji RP oraz art. 8 ust. 2 Karty Praw Podstawowych UE.
Warunki wyrażenia zgody na przetwarzanie danych osobowych
RODO w art. 4 ust 11 zawiera definicję „zgody” osoby, której dane dotyczą. Oznacza ona dobrowolne, konkretne, świadome i jednoznaczne okazanie woli w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwalającego na przetwarzanie danych osobowych. Poniżej przedstawione zostaną wymagania, jakie musi spełnić administrator danych, aby możliwe było stwierdzenie, że zgoda w zakresie przetwarzania danych została udzielona w sposób skuteczny i zgodny z RODO.
Wyrażenie zgody przez osobę, której dane dotyczą, musi być dobrowolne, konkretne, świadome i jednoznaczne. Ustawodawca unijny tym samym nie dopuszcza możliwości wyrażenia zgody w sposób bierny, milczący czy też automatyczny. Jako nieskuteczne i sprzeczne z Rozporządzeniem, będą, zatem rozwiązania stosowane przez administratorów w Internecie, gdzie na stronie internetowej, użytkownicy nie będą sami zaznaczać okienek zgód, a w ustawieniach strony te okienka będą domyślnie zaznaczone. W motywie 32 do Rozporządzenia wskazano, bowiem, że wyrażenie zgody może polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny, zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach.
Jednocześnie wyrażenie zgody musi być czynnością oddzielną i odseparowaną od innych czynności, a klauzula zgody musi być przedstawiona w sposób jasny, zrozumiały i pozwalający wyróżnić fakt udzielenia zgody od innych kwestii. W efekcie tego, za niespełniające powyższych wymagań trzeba będzie uznać akceptację regulaminu, w którym jako jeden z punktów wskazano punkt dotyczący wyrażenia przez użytkownika zgody na przetwarzanie jego danych osobowych, w przypadku braku dodatkowego, oddzielnego zaakceptowania przez użytkownika klauzuli.
Jednocześnie podkreślenia wymaga fakt, że w przypadku, gdy przetwarzanie danych służy różnym celom, konieczne jest uzyskanie zgody na wszystkie te cele (stanowi to wyraz zasady związania celem).
Podkreślić też trzeba, że wyrażenie zgody musi mieć charakter uprzedni do czynności przetwarzania danych przez administratora. Jednakże zgoda może być udzielona w sposób warunkowy, a także mogą być do niej wprowadzone ograniczenia czasowe, terytorialne, czy też osobowe.
Odwołanie na takich samych zasadach jak udzielanie zgody
Należy pamiętać o tym również, że osoba, która wyraziła zgodę na przetwarzanie jej danych osobowych, nie jest bezterminowo związana udzieloną zgodą i ma prawo w każdym czasie odwołać tę zgodę. Administrator zobowiązany jest zapewnić, aby obwołanie zgody było tak samo łatwe jak jej udzielenie. Przykładowo, jeżeli zgoda została udzielona za pośrednictwem systemu teleinformatycznego podczas rozmowy z pracownikiem administratora, to cofnięcie zgody powinno być również możliwe w ten sam sposób. Skutkiem odwołania zgody jest brak możliwości dalszego przetwarzania danych przez administratora.
Zgoda wyrażona przez dzieci
Jedną z istotnych zmian, jakie wprowadza RODO, jest wyróżnienie możliwości udzielenia zgody na przetwarzanie danych osobowych przez dzieci w przypadku korzystania przez nie z usług społeczeństwa informacyjnego. Takimi usługami są przykładowo korzystanie z portali społecznościowych, czy zakładanie konta e-mail. Należy pamiętać, że brak konieczności uzyskania zgody rodzica w zakresie przetwarzania danych osobowych nie jest jednoznaczne z jednoczesnym brakiem konieczności uzyskania zgody na zawarcie umowy na gruncie przepisów prawa cywilnego. Przepisy RODO wskazują, że dopuszczalne jest samodzielne wyrażanie zgody na przetwarzanie danych osobowych przez dziecko po ukończeniu 16 roku życia, jednak państwa członkowskie mogą obniżyć ten wiek do granicy nie niższej niż 13 lat. Z takiego rozwiązania najpewniej skorzysta polski ustawodawca, zgodnie z projektem przedstawionym przez Ministerstwo Cyfryzacji.
Obowiązki informacyjne administratora danych
Uzyskanie przez administratora zgody w zakresie przetwarzania danych od osoby, której te dane dotyczą, nie zwalnia go z obowiązku nie tylko przestrzegania zasad określonych w RODO, lecz przede wszystkim wymaga spełnienia szeregu obowiązków informacyjnych. Administrator musi zatem wskazać m.in. następujące informacje:
- dane kontaktowe administratora i inspektora ochrony danych, – jeżeli został powołany;
- okres, przez który dane będą przechowywane;
- informacje o możliwości sprostowania, usunięcia i ograniczenia przetwarzania danych;
- informacje w zakresie możliwości cofnięcia zgody na przetwarzanie danych.
Niespełnienie powyższych wymagań może spowodować nałożenie kary finansowej na administratora przez organ nadzoru.
Zgoda nie jest jedyną podstawą do przetwarzania danych osobowych
Na koniec warto wspomnieć, że przesłanka zgody osoby, której dane dotyczą, nie jest uprzywilejowana wobec jakichkolwiek innych przesłanek do przetwarzania danych osobowych. , Administrator może bowiem opierać legalność przetwarzania przykładowo na niezbędności takiego działania w procesie świadczenie zamówionej usług. Mówimy tu zatem o tzw. równoprawność przesłanek legalizacyjnych, gdyż RODO nie rozróżnia hierarchiczności owych przesłanek i stawia je na równi.
Okres przejściowy dla starych zgód
Należy również zadać pytanie, czy przetwarzanie danych osobowych w oparciu o przesłankę zgody na podstawie obecnie obowiązujących przepisów będzie dalej dopuszczalne po rozpoczęciu obowiązywania RODO, tj. po dniu 25 maja 2018r.? Z uwagi na to, że Rozporządzenie nie wprowadza przepisów przejściowych stwierdzić trzeba, że odpowiedź na to pytanie znajdziemy w motywie 171. Przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów. Jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia.
RODO powraca, czyli co czeka firmy w zakresie ochrony danych osobowych