Niniejszym artykułem rozpoczynamy na naszym blogu nową serię, która poświęcona będzie podstawom przetwarzania danych osobowych. W tym miesiącu skupimy się na pierwszej z nich – czyli zgodzie osoby, której dane dotyczą. Natomiast kolejne przesłanki legalizujące przetwarzanie danych osobowych będą tematami naszych następnych artykułów, które sukcesywnie pojawiać się będą na naszym blogu.
Podstawy przetwarzania danych osobowych:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
Z artykułu czytelnik będzie mógł dowiedzieć się:
- Jak rozumieć podstawy przetwarzania danych osobowych
- Jaki jest charakter przesłanek na przetwarzanie danych osobowych
- Jakie wyróżnia się modele zgody
- Czy zgoda jest podstawą przetwarzania danych zwykłych
- Kiedy zgoda jest podstawą przetwarzania danych szczególnej kategorii
- Czy zgoda może być podstawą przetwarzania danych dotyczących wyroków skazujących i czynów zabronionych
- Jakie są warunki wyrażenia zgody
- Jaki są szczegółowe wymogi dotyczące pozyskanie zgody w formie pisemnej
- Jak wycofać zgodę
- W jaki sposób ocenić dobrowolność wyrażenia zgody
- Czy dziecko może udzielić zgody na przetwarzanie danych osobowych
Jak rozumieć podstawy przetwarzania danych osobowych
Jak słusznie wskazuje dr P. Litwiński „Ochrona danych osobowych polega między innymi na określeniu, kiedy dozwolone, a kiedy zabronione jest ich przetwarzanie” (P. Litwinski [w:] Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, 2021). Unijny prawodawca na gruncie przepisów RODO określił warunki, po spełnieniu których przetwarzanie danych osobowych jest zgodne z prawem. Zostały one uregulowane w trzech przepisach, które legalizują przetwarzanie danych różnej kategorii. Innymi słowy treść tych przepisów wskazuje, kiedy przetwarzanie danych osobowych jest dozwolone.
W art. 6 RODO zawarto reguły dotyczące tzw. danych zwykłych, takich jak np. imię, nazwisko czy adres zamieszkania. Przesłanki legalizujące przetwarzanie danych szczególnej kategorii (np. stan zdrowia, pochodzenie rasowe bądź etniczne oraz poglądy polityczne) zostały określone w art. 9 ust. 2 RODO. Natomiast art. 10 RODO reguluje przetwarzanie danych dotyczących wyroków skazujących i czynów zabronionych.
Przetwarzanie danych osobowych w oparciu o jedną z przesłanek określonych odpowiednio w art. 6, art. 9 ust. 2 oraz art. 10 RODO stanowi przejaw zasady zgodności z prawem.
Charakter przesłanek na przetwarzanie danych osobowych
Przesłanki legalizujące przetwarzanie danych osobowych, które zostały przez prawodawcę unijnego uregulowane w trzech wspomnianych wyżej przepisach, mają charakter samoistny. Oznacza to, że dla dopuszczalności przetwarzania danych osobowych w konkretnym celu wystarczy spełnienie którejkolwiek z nich, a nie wszystkich kumulatywnie. Co do zasady podstawy te są równoważne. To oznacza, że dla dopuszczalności przetwarzania danych nie jest istotne, w oparciu o którą z przesłanek administrator przetwarza dane osobowe. Jednakże realizacja pewnych celów bardzo często będzie wymuszała zastosowania tylko jednej z nich.
Można wręcz postawić tezę, że zgoda jako podstawa przetwarzania powinna być brana pod uwagę dopiero wtedy, gdy innych przesłanek nie da się zastosować. Ma to również związek z warunkami wyrażenia zgody jakie administrator musi spełnić, aby można ją było uznać za legalizującą przetwarzanie.
Modele zgody
Zgoda może opierać się na dwóch modelach. Pierwszy z nich, czyli opt-in zakłada konieczność aktywnego działania podmiotu danych poprzez uprzednie wyrażenie zgody. Drugi natomiast, czyli opt-out opiera się na założeniu, że brak sprzeciwu oznacza zgodę na przetwarzanie danych. Na podstawie tego modelu przetwarzanie danych jest domyślnie dopuszczalne, jeżeli podmiot danych się temu nie sprzeciwi. Model opt-out ma zastosowanie w przypadku art. 21 RODO. Przepis ten reguluje prawo do sprzeciwu wobec przetwarzania danych osobowych opartego na art. 6 ust. 1 lit. f RODO.
Prawodawca unijny w przepisach RODO legalizujących przetwarzanie danych osobowych przyjął pierwszy z modeli, czyli opt-in. Oznacza to, że brak sprzeciwu nie jest traktowany jako uzyskanie zgody. Zgoda na gruncie przepisów RODO musi mieć charakter aktywny. Model opt-in miał zastosowanie również w poprzedniej regulacji prawnej dotyczącej ochrony danych osobowych, czyli w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Zgoda osoby, której dane dotyczą jako podstawa przetwarzania danych osobowych
Definicję „zgody” reguluje art. 4 pkt. 11 RODO, zgodnie z którym pojęcie to „(…) oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”. Zgodnie z powyższą definicją osoba, której dane dotyczą powinna mieć swobodę jej wyrażenia lub odmowy.
Zgoda osoby, której dane dotyczą jest jako pierwsza wymieniona w przepisach legalizujących przetwarzanie danych osobowych. Może być ona podstawą przetwarzania danych zwykłych (art. 6 ust. 1 lit. a RODO), danych wrażliwych (art. 9 ust. 2 lit. a RODO) oraz dotyczących wyroków skazujących oraz czynów zabronionych (art. 10 RODO).
Umiejscowienie zgody jako pierwszej wśród podstaw przetwarzania danych osobowych może być traktowane jako uznanie istotnego znaczenia tej przesłanki. Oparcie przetwarzania danych na zgodzie umożliwia uwzględnienie woli podmiotu danych. Jest to przejaw realizacji prawa do kontroli nad danymi osoby, której one dotyczą.
Niestety takie umiejscowienie zgody w przepisach mogło przyczynić się również do błędnego zrozumienia, że zgoda na przetwarzanie danych wymagana jest zawsze i wszędzie. Na przykład także w przypadku zawierania umowy z podmiotem danych, kiedy to właściwa podstawa przetwarzania jest inna (napiszemy o niej w następnym artykule z tej serii).
Zgoda jako podstawa przetwarzania danych zwykłych
Kwestię zgody reguluje art. 6 ust. 1 lit. a RODO, zgodnie z którym przetwarzanie danych jest zgodne z prawem gdy „osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów”.
Z treści komentowanego przepisu wynika, że wraz z udzieleniem zgody należy wskazać cel lub cele przetwarzania danych osobowych. Wskazanie celu stanowi wyraz zasady „ograniczenie celu” wyrażonej w art. 5 ust. 1 lit. b RODO. Zgodnie z nią dane osobowe muszą być:
„zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami”.
Zgoda wyrażona może być w jednym lub w wielu celach. Natomiast jeżeli celów jest więcej to każdy z nich powinien mieć odzwierciedlenie w osobnym oświadczeniu. Powinno być ono skonstruowane w sposób umożliwiający podmiotowi danych wyrażenie zgody na wybrany cel przetwarzania danych. Połączenie kilku celów w jednym oświadczeniu może prowadzić do wymuszenia zgody osoby, której dane dotyczą. Zgoda udzielona w taki sposób może być kwestionowana pod kątem jej dobrowolności.
Podkreślone to zostało w wyroku Naczelnego Sądu Administracyjnego z dnia 20 kwietnia 2021 r. (sygn. akt III OSK 161/21), zgodnie z którym „Jeżeli zgoda ma dotyczyć różnych kwestii związanych z przetwarzaniem danych osobowych, to zgoda powinna być wyrażona odrębnie dla każdej z nich”. W wyroku tym podtrzymano decyzję Prezesa UODO wskazującą na niedopuszczalność łączenia w jednym oświadczeniu zgody na przetwarzanie danych osobowych w celu marketingu bezpośredniego oraz używanie telekomunikacyjnych urządzeń końcowych na potrzeby prowadzenia marketingu.
Szczegółowe warunki wyrażenia zgody określa art. 7 RODO, który zostanie przybliżony w dalszej części naszej publikacji.
Zgoda jako podstawa przetwarzania danych szczególnej kategorii
Prawodawca unijny uznał, że przetwarzanie niektórych rodzajów danych może stanowić poważną ingerencję w sferę prywatności osób, których dane dotyczą oraz pociągać za sobą większe zagrożenia. Dlatego na gruncie przepisów RODO wyodrębniono dane szczególnej kategorii (zwane również wrażliwymi), których dopuszczalność przetwarzania została ograniczona.
Katalog danych szczególnej kategorii ma charakter zamknięty. Określa go art. 9 ust. 1 RODO, zgodnie z którym należą do niego dane:
- ujawniające pochodzenie rasowe lub etniczne;
- ujawniające poglądy polityczne;
- ujawniające przekonania religijne lub światopoglądowe;
- ujawniające przynależność do związków zawodowych;
- genetyczne;
- biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej;
- dotyczące zdrowia;
- dotyczące seksualności lub orientacji seksualnej.
Poprzez sformułowanie „ujawniające” lub „dotyczące” pracodawca unijny rozszerzył katalog informacji, które nie tylko stwierdzają określony stan, ale również pośrednio nań wskazują. Przykładowo z faktu regularnego stosowania insuliny można wywnioskować, że dana osoba choruje na cukrzycę.
Treść art. 9 ust. 1 RODO wprowadza generalny zakaz przetwarzania danych szczególnej kategorii. Natomiast ust. 2 określa sytuacje, w których możliwe jest przetwarzanie tych danych. Jak podkreśla dr P. Fajgielski „Przyjęcie takiej konstrukcji prawnej oznacza, że podstawy dopuszczalności przetwarzania szczególnych kategorii danych mają charakter wyjątkowy – i jako takie – nie powinny być interpretowane rozszerzająco. Duża liczba wyjątków (przewidzianych w ust. 2 komentowanego artykułu) potwierdza, że przetwarzanie szczególnych kategorii danych jest w wielu przypadkach dopuszczalne, jednak, w odróżnieniu od przesłanek dopuszczalności przetwarzania tzw. danych zwykłych (określonych w art. 6), podstawy uprawniające do przetwarzania szczególnych kategorii danych odnoszą się jedynie do wskazanych kategorii danych i mają charakter bardziej restrykcyjny” (P. Fajgielski [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2022).
Pierwszą z przesłanek legalizujących przetwarzania danych szczególnej kategorii jest również zgoda osoby, której dane dotyczą. Reguluje ją art. 9 ust. 2 lit. a RODO, zgodnie z którym przetwarzanie danych jest prawnie dopuszczalne jeżeli „osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1”.
Można zauważyć duże podobieństwo do treści art. 6 ust. 1 lit. a RODO. Natomiast w przypadku danych wrażliwych udzielana zgoda musi być „wyraźna”. Cecha wyraźności nie została bliżej określona w przepisach RODO. Według dr P. Litwińskiego powołującego się na innych przedstawicieli doktryny „Wyraźna zgoda w literaturze przeciwstawiana jest >>zwykłej zgodzie<< (simple consent) – wskazuje się, że zgoda wyraźna powinna nie budzić wątpliwości co do faktu jej udzielenia (absolutely clear – por. M. Webster, Data, s. 43). Sama zgoda wyraźna rozumiana jest natomiast jako przyzwolenie (affirmative act) na przetwarzanie danych osobowych, które w niebudzący wątpliwości sposób wyraża wolę osoby (por. Ch. Kuner, European, s. 105)”.
Ponadto, zgodnie z drugą częścią przedmiotowego przepisu, prawo szczególne może przewidywać, że podmiot danych w określonych przypadkach nie może swoją zgodą uchylić generalnego zakazu przetwarzania danych szczególnej kategorii. A zatem RODO umożliwia wprowadzenie prawnego zakazu wyrażenia zgody na przetwarzanie wrażliwych danych w określonych sytuacjach. Miałby on ma przeciwdziałać próbom zalegalizowania przetwarzania co do zasady zabronionego. W praktyce wprowadzenie takiego przepisu wyłączałoby przesłankę przetwarzania zawartą art. 9 ust. 2 lit. a RODO.
Zgoda jako podstawa przetwarzania danych dotyczących wyroków skazujących i czynów zabronionych
Zakresem pojęcia danych osobowych wrażliwych nie zostały objęte dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa. Zasady ich przetwarzania zostały wskazane w art. 10 RODO, zgodnie z którym:
„Przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych”.
Zgodnie ze stanowiskiem przedstawicieli doktryny pojęcie „wyroki skazujące” należy interpretować w rozumieniu art. 413 § 2 ustawy z dnia 6 czerwca 1997 r. Kodeks postępowania karnego (t.j. Dz. U. z 2024 r. poz. 37 z późn. zm, dalej jako „k.p.k.”) albo art 82 ustawy z dnia 24 sierpnia 2001 r. Kodeks postępowania w sprawach o wykroczenia (t.j. Dz. U. z 2022 r. poz. 1124 z późn. zm., dalej jako „k.p.w.”). Są to wyroki skazujące wydane przez sądy zawierające dokładne określenie przypisanego oskarżonemu czynu, jego kwalifikację prawną oraz rozstrzygnięcie co do sankcji. Oznacza to, że art. 10 RODO nie dotyczy wyroków wydanych przez sądy cywilne lub administracyjne.
Natomiast pojęcie „czyny zabronione” należy rozumieć zgodnie z art. 1 § 2 w związku z art. 115 § 1 ustawy z dnia 6 czerwca 1997 r. Kodeks karny (t.j. Dz. U. z 2024 r. poz. 17 z późn. zm., dalej jako „k.k.”). Zgodnie z tymi przepisami czynem zabronionym jest zachowanie, którego cechy (znamiona) zostały określone w ustawie i którego popełnienie jest zabronione pod groźbą kary. Dane dotyczące „powiązanych środków bezpieczeństwa” rozumie się w kontekście środków zapobiegawczych stosowanych w postępowaniu karnym, określonych w art. 209 k.p.k. Są to narzędzia, które służyć mają zapewnieniu prawidłowego toku postępowania. Należą do nich m.in. tymczasowe aresztowanie oraz dozór policyjny.
Przetwarzanie danych określonych w art. 10 RODO poprzez odesłanie do art. 6 ust. 1 RODO może odbywać się na podstawie przesłanek legalizujących przetwarzanie danych zwykłych, w tym teoretycznie na podstawie zgody. Natomiast do danych z art. 10 RODO nałożono dodatkowy wymóg w postaci przetwarzania pod nadzorem władz publicznych bądź w oparciu o przepisy prawa.
Warunki wyrażenia zgody
Warunki wyrażenia zgody zostały określone w art. 7 RODO, który stanowi doprecyzowanie wymagań wynikających z definicji zgody zawartej w art. 4 pkt 11 RODO. Przepis ten ma na celu wzmocnienie ochrony danych osobowych, które przetwarzane są na podstawie zgody.
Treść art. 7 ust. 1 RODO stanowi wyraz zasady „rozliczalność”. Stanowi o tym, że ciężar dowodu uzyskania zgody osoby, której dane dotyczą spoczywa na administratorze. Rozliczalność w zakresie uzyskania zgody podkreśla motyw (42) RODO, zgodnie z którym: „Jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania. W szczególności w przypadku pisemnego oświadczenia składanego w innej sprawie powinny istnieć gwarancje, że osoba, której dane dotyczą, jest świadoma wyrażenia zgody oraz jej zakresu (…)”.
Na gruncie przepisów RODO administrator ma swobodę w wyborze formy, w jakiej może zostać udzielona zgoda. Natomiast musi mieć on na uwadze konieczność wykazania faktu uzyskania zgody. Administrator może łatwo udowodnić pozyskanie zgody w formie pisemnej, np. przedstawiając stosowny formularz wypełniony przez podmiot danych.
Nie zawsze jednak możliwe jest pozyskanie zgody w formie pisemnej. Przykładowo, dzwoniąc na infolinię banku bądź sądu wyrażamy zgodę na przetwarzanie danych w formie ustnej. Tego typu zgoda jest problematyczna ze względów dowodowych. Dlatego w celu zapewnienia rozliczalności administrator powinien nagrać moment uzyskania zgody, a następnie przechowywać go w celach dowodowych.
W motywie (32) preambuły wyjaśniono, że oświadczenie o zgodzie może polegać na „zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody”.
Szczegółowe wymogi dotyczące pozyskanie zgody w formie pisemnej
Forma pisemna ze względów dowodowych jest dominującą formą pozyskiwania oświadczenia woli dotyczącego wyrażenia zgody na przetwarzanie danych osobowych. Z uwagi na to prawodawca unijny, w art. 7 ust. 2 RODO określił szczegółowe wymogi dotyczące wyrażenia zgody w pisemnego oświadczeniu.
Pierwszy z nich odnosi się do konieczności odróżnienia oświadczenia o zgodzie na przetwarzanie danych od innych informacji zawartych w dokumencie. Ma to na celu zapobiegnięcie praktykom ukrywania oświadczenia o zgodzie wśród innych informacji, np. zapisach umów bądź wniosków. Oczywiście oświadczenie o zgodzie nie musi znajdować się w innym dokumencie. Wystarczające jest wyodrębnienie go w sposób pozwalający wyraźnie odróżnić je od innych treści. Możliwe jest to np. poprzez układ graficzny oświadczenia, który wyraźnie kontrastuje jego treść z resztą dokumentu. Taki efekt można uzyskać np. przez stosowny odstęp bądź wyróżnienie czcionki.
Kolejnym wymogiem jest forma oświadczenia. Przedmiotowy przepis wskazuje, że zapytanie o zgodę musi być zrozumiałe, łatwo dostępne oraz wyrażone jasnym i prostym językiem. Oznacza to, że administrator powinien unikać skomplikowanego języka prawniczego bądź technicznego, który jest często niezrozumiały dla przeciętnej osoby. Powinno unikać się również wyrazów, które są niezrozumiałe bądź dwuznaczne. Pomocna w tym zakresie może być opinia 15/2011 Grupy Roboczej art. 29 (obecnie EROD) w sprawie definicji zgody.
Przestrzeganie powyższych wymagań jest niezwykle istotne, ponieważ zgoda udzielana z ich naruszeniem nie jest wiążąca. A zatem podejmowanie przetwarzania danych osobowych w oparciu o nieprawidłowo pozyskaną zgodę jest nielegalne. Przykładowo, jeśli podmiot danych zarzuci ADO, że nie zrozumiał treści oświadczenia lub zapytania o zgodę, która faktycznie była skomplikowana, trudno będzie administratorowi wykazać fakt przeciwny.
Prawo do wycofania zgody
Prawo do wycofania zgody zostało uregulowane w art. 7 ust. 3 RODO. Jest ono ponownie wyrazem samo decydowania o przetwarzaniu danych osobowych oraz autonomii informacyjnej podmiotu danych. Zgodnie z komentowanym przepisem zgoda może zostać odwołana w dowolnym momencie. Na administratorze ciąży obowiązek informowania o tej możliwości jeszcze przed wyrażeniem zgody. Stanowi to element obowiązku informacyjnego.
Należy pamiętać, że wycofanie (prawidłowo uzyskanej) zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na jej podstawie wcześniej (czyli przed jej wycofaniem). Oznacza to, że wycofanie zgody wywołuje skutek od momentu jej wycofania na przyszłość. W związku z tym nie odnosi się do czynności sprzed wycofania zgody. Osoba, której dane dotyczą powinna być o tym informowana na etapie udzielania zgody, np. poprzez zamieszczenie takiej informacji w klauzuli informacyjnej lub przy zapytaniu o zgodę (składanym oświadczeniu).
Zgodnie z przedmiotowym przepisem wycofanie zgody powinno być tak łatwe, jak jej udzielenie. Nie oznacza to jednak konieczności stosowania tego samego trybu wycofania zgody co jej pozyskania. Wystarczające wydaje się umożliwienie osobie, której dane dotyczą możliwości wycofania zgody w sposób niesprawiający trudności. Niedopuszczalne są więc działania utrudniające wycofanie zgody np. poprzez nadmierny formalizm lub ich większą złożoność. Niewłaściwe będzie wymaganie złożenia oświadczenia w formie pisemnej, gdy wyrażenie zgody nastąpiło poprzez kliknięcie okienka wyboru na stronie internetowej.
Niedopuszczalne jest również żądanie uzasadnienia decyzji o odwołaniu zgody. W tej kwestii stanowisko zajął Prezes UODO w decyzji z dnia 16 października 2019 roku, w którym nałożył administracyjną karę pieniężną na ClickQuickNow Sp. z o.o. Ukarany podmiot umożliwiał wycofanie zgody wyłącznie za pomocą specjalnego formularza internetowego i pod warunkiem podania powodu takiej decyzji. Niespełnienie równocześnie obu tych warunków skutkowało uniemożliwieniem wycofania zgody. W ocenie organu nadzorczego „Nie jest uprawnione wymaganie by osoba, która składa oświadczenie o odwołaniu zgody wskazała powód swojego żądania, zwłaszcza gdy nieudzielenie odpowiedzi na to pytanie nie pozwala na kontynuację procesu odwołania zgody, co skutkuje tym, że zgoda nie jest odwołana”.
Ocena dobrowolności wyrażenia zgody
Prawodawca unijny w art. 7 ust. 4 RODO zawarł wskazówki pomocne w ocenie dobrowolności uzyskanej zgody. Ta cecha jest jednym z wymogów prawnych odnoszących się do zgody, określonych już w jej definicji. Zdarzają się przypadki, kiedy administrator ogranicza osobie, której dane dotyczą swobodę w udzieleniu zgody i ją niejako wymusza. Jest to dość często spotykane w relacji pracodawca – pracownik. Przedmiotowy przepis ma ograniczyć tę praktykę. Znaczenie dobrowolności zgody podkreśla motyw (43) RODO, zgodnie z którym:
„Aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna”.
Przykładowo nie można uzależnić wykonania usługi od udzielenia zgody na działania marketingowe. Wymóg dobrowolności nie wyklucza jednak stosowania przez administratora tzw. zachęt do udzielenia zgody. Dopuszczalne jest np. przyznanie zniżki w zamian za zapisanie się do grona subskrybentów newsletteru.
Zgoda na przetwarzanie danych udzielona przez dziecko
Na gruncie art. 8 RODO osoba, która ukończyła 16 lat może już udzielić zgody na przetwarzanie danych osobowych. Treść przepisu jednak wprost wskazuje, że ma on zastosowanie jedynie w przypadku usług „społeczeństwa informacyjnego”. Pojęcie to zostało zdefiniowane w art. 4 pkt 25 RODO, który z kolei odnosi się do art. 1 pkt b dyrektywy 2015/15352. Zgodnie z tymi przepisami usługa społeczeństwa informacyjnego oznacza każdą usługę świadczoną za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług. Może być to np. płatna subskrypcja serwisu streamingowego.
Przepis dopuszcza również wyrażenie zgody przez dziecko, które nie ukończyło 16 lat. W tym przypadku konieczne jest dodatkowe wyrażenie zgody lub zaaprobowanie oświadczenia woli dziecka przez osobę sprawującą władzę rodzicielką lub opiekę nad małoletnim. Przepis wskazuje, że państwa członkowskie w prawie krajowym mogą określić niższą dolną granicę wieku, jednak nie może ona wynosić mniej niż 13 lat.
W Polsce podczas prac nad projektem ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781, dalej jako „u.o.d.o”) zakładano obniżenie dolnej granicy wieku do lat 13. Według Ministerstwa Cyfryzacji takie rozwiązanie byłoby spójne z polskim Kodeksem cywilnym, a konkretniej z art. 15. Przepis ten stanowi, że ograniczoną zdolność do czynności prawnych mają małoletni, którzy ukończyli lat 13. Natomiast zawierane przez nich umowy w bieżących sprawach życia codziennego nie wymagają potwierdzenia przez przedstawiciela ustawowego. Jednak proponowane obniżenie wieku napotkało na sprzeciw w doktrynie, której przedstawiciele opowiadali się za utrzymaniem granicy na poziomie 16 lat. Z tego względu nie wprowadzono przepisów szczególnych i stosuje się wprost art. 8 RODO.
Podsumowanie
Zgoda jest jedną z kilku możliwych przesłanek legalizujących przetwarzanie danych osobowych. Wielu administratorów zakłada, że jest ona „najłatwiejszą” do uzyskania podstawą przetwarzania danych osobowych. W praktyce oparcie legalności przetwarzania danych na zgodzie jest ryzykowne nie tylko pod kątem udowodnienia jej otrzymania, ale również dobrowolności i zapewnienia prawidłowej formy jej pozyskania. Komplikacje może wywoływać również możliwość wycofania zgody przez osobę, której dane dotyczą w dowolnym momencie oraz zagwarantowanie przez ADO mechanizmów umożliwiających łatwe dokonanie tej czynności.
Dlatego zanim administrator oprze legalność przetwarzania danych na zgodzie powinien zbadać, czy nie istnieją inne możliwe podstawy (np. prawnie uzasadniony interes). Mogą być to nie tylko przesłanki zawarte bezpośrednio w art. 6 ust. 1 bądź art. 9 ust. 2 RODO, ale również w szczególnych przepisach prawa. Na przykład w przypadku danych kandydatów do pracy przepisem takim jest art. 221 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (t.j. Dz. U. z 2023 r. poz. 1465, dalej jako „k.p.”). Wskazuje on wprost zakres danych, jaki pracodawca obowiązkowo pozyskuje od kandydata oraz pracownika. Jednocześnie art. 221a k.p. zezwala na zbieranie innych danych na podstawie zgody osoby, której one dotyczą.