Kontakt
Aleksander Adamus

radca prawny
Phone: +48 12 428 61 34
E-Mail

Jako jedną z podstaw zgodnego z prawem przetwarzania danych osobowych Ogólne Rozporządzenie o Ochronie Danych (RODO) wymienia wyrażenie zgody na ich przetwarzanie przez osoby, których dane  dotyczą. RODO, które zacznie obowiązywać od 25 maja 2018 r., określa sposób, w jaki zgoda powinna być wyrażona,  zajmuje się także możliwością jej późniejszego wycofania.

Należy mieć na uwadze fakt, że zgoda stanowi równoważną i autonomiczną przesłankę legalności przetwarzania danych, a to oznacza, że jej uzyskanie nie będzie wymagane, gdy spełniony zostanie któryś z pozostałych warunków legalności przetwarzania danych osobowych wskazanych w art. 6 RODO. Obrazuje to sytuacja, gdy przetwarzanie danych jest niezbędne do wykonania umowy zawartej z osobą, której dane dotyczą. Wtedy przetwarzanie odbywa się zgodnie z prawem i nie ma konieczności uzyskania zgody. Administrator zobowiązany jest wskazać podstawę przetwarzania danych, nie powinien natomiast tych podstaw dublować. Jako przykład złej praktyki można wskazać sytuację, w której pozyskiwanie zgody jest warunkiem zawarcia umowy o świadczenie usług, ponieważ przetwarzanie danych, jako niezbędne do wykonania umowy, jest legalne (nie ma potrzeby odrębnego uzyskania zgody).

Dowolność formy wyrażenia zgody?

Forma wyrażenia zgody może być dowolna, musi jedynie stanowić świadome, dobrowolne, i jedno-znaczne potwierdzenie odnoszące się do konkretnej sytuacji. 

Wyrażenie zgody może polegać na:

  • zaznaczeniu okienka wyboru podczas przeglądania strony internetowej (okienka domyślnie zaznaczone nie powinny być traktowane jako wyrażenie zgody), 
  • wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego, 
  • każdym innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba (której dane dotyczą) zaakceptowała proponowane przetwarzanie jej danych osobowych. 

Dotychczas, na podstawie  ustawy o ochronie danych osobowych (UODO) dorozumienie udzielenia zgody było zabronione, natomiast RODO przewiduje możliwość domniemania zgody, o ile można jednoznacznie określić intencję osoby, której dane dotyczą.

Jak budować komunikaty dotyczące przetwarzania?

Wyrażenie zgody powinno być dobrowolne i świadome, przez co rozumie się że osoba, której dane dotyczą zna przynajmniej tożsamość administratora oraz cele przetwarzania danych osobowych. Zgodnie z preambułą RODO dla osób fizycznych powinno być jasne, że i w jakim zakresie przetwarza się  ich dane osobowe. Wszelkie komunikaty i informacje związane z przetwarzaniem danych muszą być łatwo dostępne, zrozumiałe oraz sformułowane prostym i jasnym językiem. 

Wyrażenia zgody nie można uznawać za dobrowolne, jeśli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru i nie może odmówić ani wycofać zgody bez konsekwencji. Nie sposób mówić o dobrowolności np. gdy od zgody na przetwarzanie danych uzależnione jest wykona-nie umowy (w tym świadczenie usługi), jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy. W praktyce ustalenie, czy wyrażenie zgody nastąpiło dobrowolnie może być trudne, zwłaszcza w sytuacji nierównej relacji między osobą, której dane dotyczą, a administratorem. W tym wypadku przetwarzanie danych powinno odbywać się na innej podstawie niż zgoda, bo faktyczna nierówność stron może poddawać w wątpliwość istnienie swobody w podejmowaniu decyzji.

Kiedy mogę wycofać zgodę na przetwarzanie danych?

Wycofanie zgody musi być równie łatwe jak jej wyrażenie. Przepisy RODO wprost przewidują prawo do wycofania udzielonej zgody w dowolnym momencie, o czym osoby, których dotyczą przetwarzane dane należy poinformować jeszcze przed wyrażeniem przez nie zgody. 

Należy zaznaczyć, że wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Wówczas jednak administrator powinien zaprzestać przetwarzania i usunąć dane osobowe, jeżeli nie są one już niezbędne do celów, w których były zbierane lub przetwarzane.

Porównanie obecnego reżimu prawnego z wchodzącymi w życie 25 maja 2018 r. regulacjami prowadzi do wniosku, iż uzyskane dotychczas zgody w większości pozostaną w mocy. Zgodnie z motywem 171 preambuły RODO, jeśli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE (obowiązującej obecnie) osoba, której dane dotyczą nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom rozporządzenia. Dzięki temu administrator ma możliwość kontynuowania przetwarzania po dacie rozpoczęcia stosowania rozporządzenia. Uzyskane zgody powinny jednak spełniać standardy RODO m.in. w zakresie łatwości ich wycofania, jak i zawierać informację o możliwości wycofania zgody w dowolnym momencie.

RODO a UODO

RODO liberalizuje pewne kwestie uregulowane w obowiązującej ustawie, przykładowo w zakresie wspomnianej już możliwości dorozumiewania zgody. Dorozumiewanie zostało wprost wykluczone w UODO, natomiast na podstawie rozporządzenia dopuszczalne jest wyrażenie zgody poprzez działania osoby, ujawniające zgodę na przetwarzanie danych w sposób wyraźny

RODO, w odróżnieniu od polskiej ustawy, nie przewiduje także obowiązku uzyskania zgody w formie pisemnej w celu przetwarzania szczególnych kategorii danych osobowych (np. dotyczących zdrowia). Z uwagi na ich szczególnie wrażliwy charakter, przetwarzanie tych danych jest co do zasady zabronione. Zakaz może zostać uchylony tylko po spełnieniu określonych warunków, w tym na podstawie uzyskania wyraźnej zgody osoby, której dane dotyczą, przy czym prawo państwa członkowskiego może zdecydować o bezwzględnym charakterze takiego zakazu – wówczas dane nie będą mogły być przetwarzane nawet za zgodą osoby zainteresowanej. 

Jeżeli interesują Państwa szczegóły omawianego tematu, specjaliści Rödl & Partner pozostają do Państwa dyspozycji w tej i każdej innej kwestii dotyczącej nowych przepisów RODO.

28.02.18