Wyrażenie zgody przez osobę fizyczną jest w świetle przepisów RODO jednym ze sposobów na uzasadnienie przetwarzanie danych osobowych. Oprócz zgody należy także chociażby wspomnieć o tym, że przetwarzanie danych osobowych może być obowiązkiem lub uprawnieniem administratora. Dlaczego zgoda jest tak ważnym elementem systemu ochrony danych osobowych i jak często się z niej korzysta? Jak często jest też nadużywana? O tym w dzisiejszym wpisie.
Zgoda, wg art. 4 ust. 1 pkt 11 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, to:
Dobrowolne oświadczenie woli oznacza takie, które nie zostało wymuszone. Osoba fizyczna musi posiadać wybór co do wyrażenia zgody na przetwarzanie jej danych osobowych.
okazanie woli w formie oświadczenia lub wyraźnego działania potwierdzającego, pozwala na przetwarzanie dotyczących jej danych osobowych.
Forma wyrażenia zgody zależy od okoliczności. Zgodę można wyrazić poprzez złożenie oświadczenia woli lub wyraźnego działania potwierdzającego. Czym jest działanie potwierdzające? Może być nim pojawiająca się na ekranie klauzula informacyjna, na którą składają się dane o przetwarzaniu danych osobowych i wymóg jej zaakceptowania bądź obowiązek zaznaczenia kwadraciku, którym potwierdza się zapoznanie z klauzulą informacyjną, do której link może znajdować się na innej stronie. Jednak czy taka praktyka jest zgodna z Rozporządzeniem?
W zw. z motywem 32 RODO należy stwierdzić, iż co do zasady zaznaczanie okienka może być działaniem potwierdzającym równoznacznym z wyrażeniem zgody. Jednak należy zastrzec, że system takiego okienka nie może opierać się na domyślnym jego zaznaczeniu. Oznacza to, że osoba fizyczna musi sama takie okienko zaznaczyć nawet jeśli treść klauzuli informacyjnej znajduje się w innym miejscu. Domyślnie zaznaczone okienko nie może być równoznaczne z wyrażeniem zgody na przetwarzanie danych osobowych.
To zależy…
Zgodnie z art. 8 ust. 1 RODO w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody.
Jednak Państwa członkowskie mają uprawnienie przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat. Tak tez jest w Polsce, gdzie Ustawodawca odniósł się do norm prawa cywilnego i zdolności do czynności prawnych – zgodnie z tym granica wieku w której dziecko może samo decydować o korzystaniu z usług społeczeństwa informacyjnego bez autoryzacji rodzica/opiekuna została ustalona na 13 lat.
W przypadku relacji pomiędzy urzędem a interesantem nie można mówić o dobrowolnej zgodzie. Wydanie decyzji (załatwienie sprawy) jest obowiązkiem organu, co oznacza, że przetwarzanie danych osobowych danej osoby fizycznej jest obowiązkiem tego podmiotu.
RODO wyraźnie wskazuje (chociażby w motywie 43) na nierówność podmiotów względem siebie. Organ władzy publicznej cechuje nadrzędność nad obywatelem, stąd zgoda mogłaby zostać uznana jako wymuszona. W każdym razie, z pewnością nie spełniałaby wskazanych wyżej cech. Organ władzy publicznej w zakresie realizacji swoich uprawnień i kompetencji (dominium) przetwarza dane osobowe na innej podstawie niż zgoda.
Przede wszystkim należy podkreślić, że zgoda nie jest jedyną podstawą przyznająca uprawnienie do przetwarzania danych osobowych.
Właściwie jest ona ostatnią podstawą, której należy szukać, choć w RODO powołaną jako pierwszą, a możliwość z jej korzystania wynika z wyczerpania poprzednich podstaw prawnych. Zatem, odwołując się do art. 6 ust.1 RODO należy wymieć pozostałe przesłanki legalizujące. Są nimi niezbędność do:
Jak twierdzi Prezes UODO i przed czym także przestrzega, nie należy mylić podstaw legalizacyjnych. Sytuacje takie mogą rodzić przykre skutki.
Cechą charakterystyczną przetwarzania danych osobowych na podstawie zgody jest możliwość (uprawnienie) do jej odwołania, tzn. wycofania. Osobie fizycznej przysługuje także uprawnienie do bycia zapomnianym. Po skorzystaniu z uprawnienia przetwarzanie nie powinno być możliwe. Jednakże, niewyrażenie zgody nie jest równoznaczne z nieprzetwarzaniem danych osobowych. Mogą być one przetwarzane na innej podstawie spośród wyżej wymienionych. Jak podkreśla Prezes UODO, niedopuszczalnym jest odbieranie zgody na przetwarzanie danych osobowych jeśli istnieje inna przesłanka, na podstawie której administrator będzie mógł przetwarzać dane osobowe (w takim samym zakresie i celu).
Prezes UODO przestrzega także i wskazuje, że w pewnych przypadkach wymóg udzielenia zgody na przetwarzanie danych osobowych może stanowić naruszenie zasady przejrzystości i rzetelności. Dzieje się tak gdy odbierając zgodę na przetwarzanie danych osobowych istnieje inna przesłanka legalizacyjna. Może to prowadzić do dalszego, nieświadomego dla osoby fizycznej, przetwarzania danych osobowych pomimo cofnięcia przez nią zgody.
Zachęcamy do zapoznania się ze stanowiskiem Prezesa UODO, które znajduje się tutaj.
