Ochrona danych osobowych w firmie i szkolenia ABI
RODOzgoda

RODOzgoda

technology-4256272_1280

Wyrażenie zgody przez osobę fizyczną jest w świetle przepisów RODO jednym ze sposobów na uzasadnienie przetwarzanie danych osobowych. Oprócz zgody należy także chociażby wspomnieć o tym, że przetwarzanie danych osobowych może być obowiązkiem lub uprawnieniem administratora. Dlaczego zgoda jest tak ważnym elementem systemu ochrony danych osobowych i jak często się z niej korzysta? Jak często jest też nadużywana? O tym w dzisiejszym wpisie.

Cechy zgody

Zgoda, wg art. 4 ust. 1 pkt 11 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, to:

  1. Dobrowolne

    Dobrowolne oświadczenie woli oznacza takie, które nie zostało wymuszone. Osoba fizyczna musi posiadać wybór co do wyrażenia zgody na przetwarzanie jej danych osobowych.

  2. Konkretne
    Konkretne oświadczenie woli to takie, które w sposób wyraźny oznacza wyrażenie zgody. Klauzula informacyjna powinna być skonstruowana tak by maksymalnie i w sposób wyczerpujący określała cele oraz zakres przetwarzania danych osobowych. Osoba fizyczna musi posiadać dostateczne informacje o tym kto, w jakim celu i jak przetwarza otrzymane dane osobowe.
  3. Świadome
    Świadome oświadczenie woli – osoba fizyczna przekazując swoje dane osobowe musi otrzymać w sposób dostatecznie zrozumiały informacje co dzieje się z danymi osobowymi, które udostępnia. Na tej podstawie może zdecydować się na ich przekazanie podmiotowi. Jeśli decyzja nie zostanie świadomie podjęta przez osobę fizyczną może ona wywołać negatywne konsekwencje dla tejże osoby.
  4. Jednoznaczne
    Jednoznaczne oświadczenie woli musi zostać przekazane w sposób precyzyjny i niebudzący wątpliwości co do chęci jego złożenia. Czyli zgadzamy się na konkretny cel, w zakresie którego nasza zgoda jest niezbędna.

okazanie woli w formie oświadczenia lub wyraźnego działania potwierdzającego, pozwala na przetwarzanie dotyczących jej danych osobowych.

Forma wyrażenia zgody zależy od okoliczności. Zgodę można wyrazić poprzez złożenie oświadczenia woli lub wyraźnego działania potwierdzającego. Czym jest działanie potwierdzające? Może być nim pojawiająca się na ekranie klauzula informacyjna, na którą składają się dane o przetwarzaniu danych osobowych i wymóg jej zaakceptowania bądź obowiązek zaznaczenia kwadraciku, którym potwierdza się zapoznanie z klauzulą informacyjną, do której link może znajdować się na innej stronie. Jednak czy taka praktyka jest zgodna z Rozporządzeniem?

Domyślne „zaznaczanie” okienka

W zw. z motywem 32 RODO należy stwierdzić, iż co do zasady zaznaczanie okienka może być działaniem potwierdzającym równoznacznym z wyrażeniem zgody. Jednak należy zastrzec, że system takiego okienka nie może opierać się na domyślnym jego zaznaczeniu. Oznacza to, że osoba fizyczna musi sama takie okienko zaznaczyć nawet jeśli treść klauzuli informacyjnej znajduje się w innym miejscu. Domyślnie zaznaczone okienko nie może być równoznaczne z wyrażeniem zgody na przetwarzanie danych osobowych.

Czy dzieci mogą samodzielnie wyrazić zgodę?

To zależy…

Zgodnie z art. 8 ust. 1 RODO w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody.

Jednak Państwa członkowskie mają uprawnienie przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat. Tak tez jest w Polsce, gdzie Ustawodawca odniósł się do norm prawa cywilnego i zdolności do czynności prawnych – zgodnie z tym granica wieku w której dziecko może samo decydować o korzystaniu z usług  społeczeństwa informacyjnego bez autoryzacji rodzica/opiekuna została ustalona na 13 lat.

Dobrowolna zgoda w relacji z Urzędem?

W przypadku relacji pomiędzy urzędem a interesantem nie można mówić o dobrowolnej zgodzie. Wydanie decyzji (załatwienie sprawy) jest obowiązkiem organu, co oznacza, że przetwarzanie danych osobowych danej osoby fizycznej jest obowiązkiem tego podmiotu.

RODO wyraźnie wskazuje (chociażby w motywie 43) na nierówność podmiotów względem siebie. Organ władzy publicznej cechuje nadrzędność nad obywatelem, stąd zgoda mogłaby zostać uznana jako wymuszona. W każdym razie, z pewnością nie spełniałaby wskazanych wyżej cech. Organ władzy publicznej w zakresie realizacji swoich uprawnień i kompetencji (dominium) przetwarza dane osobowe na innej podstawie niż zgoda.

Zgodę trzeba wyrazić czy nie trzeba? Hym…

Przede wszystkim należy podkreślić, że zgoda nie jest jedyną podstawą przyznająca uprawnienie do przetwarzania danych osobowych.

Właściwie jest ona ostatnią podstawą, której należy szukać, choć w RODO powołaną jako pierwszą, a możliwość z jej korzystania wynika z wyczerpania poprzednich podstaw prawnych. Zatem, odwołując się do art. 6 ust.1 RODO należy wymieć pozostałe przesłanki legalizujące. Są nimi niezbędność do:

  1.  wykonania umowy, której stroną jest osoba, której dane dotyczą lub podjęcie działań na żądanie tej osoby przed zawarciem umowy;
  2. wypełnienia obowiązku prawnego ciążącego na administratorze;
  3. ochrony żywotnych interesów osoby, której dane dotyczą lub innej;
  4. wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  5. celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (poza wyjątkami).

Pomieszanie z poplątaniem – kwestia zgody

Jak twierdzi Prezes UODO i przed czym także przestrzega, nie należy mylić podstaw legalizacyjnych. Sytuacje takie mogą rodzić przykre skutki.

Cechą charakterystyczną przetwarzania danych osobowych na podstawie zgody jest możliwość (uprawnienie) do jej odwołania, tzn. wycofania. Osobie fizycznej przysługuje także uprawnienie do bycia zapomnianym. Po skorzystaniu z uprawnienia przetwarzanie nie powinno być możliwe. Jednakże, niewyrażenie zgody nie jest równoznaczne z nieprzetwarzaniem danych osobowych. Mogą być one przetwarzane na innej podstawie spośród wyżej wymienionych. Jak podkreśla Prezes UODO, niedopuszczalnym jest odbieranie zgody na przetwarzanie danych osobowych jeśli istnieje inna przesłanka, na podstawie której administrator będzie mógł przetwarzać dane osobowe (w takim samym zakresie i celu).

Prezes UODO przestrzega także i wskazuje, że w pewnych przypadkach wymóg udzielenia zgody na przetwarzanie danych osobowych może stanowić naruszenie zasady przejrzystości i rzetelności. Dzieje się tak gdy odbierając zgodę na przetwarzanie danych osobowych istnieje inna przesłanka legalizacyjna. Może to prowadzić do dalszego, nieświadomego dla osoby fizycznej, przetwarzania danych osobowych pomimo cofnięcia przez nią zgody.

Zachęcamy do zapoznania się ze stanowiskiem Prezesa UODO, które znajduje się tutaj.

 

Biuro IT Law Solutions