Umów się na spotkanie: +48 535 202 564
Umów się na spotkanie: +48 535 202 564
Autor: Malgorzata Cwynar pod red. Marcina Soczko — w kategorii Komunikaty IOD-y — 7 września 2024
We wrześniu kontynuujemy serie poświęconą pojęciom, które zostały przez prawodawcę unijnego zdefiniowane w art. 4 RODO. Najnowszy odcinek newsletteru zostanie poświęcony bardzo ważnemu i problematycznemu pojęciu, jakim jest „zgoda”.
Właściwe zdefiniowanie „zgody” jest istotne, ponieważ stanowi ona jedną z kliku przesłanek dopuszczalności przetwarzania danych (o czym więcej informacji można znaleźć w tym artykule).
Generalnie zgoda może być oparta na dwóch przeciwnych modelach. Jednakże na gruncie przepisów RODO tylko jeden z nich jest dopuszczalny jako prawidłowa zgoda na przetwarzanie danych osobowych. Chodzi tu o model opt-in, który oznacza aktywne działanie podmiotu danych poprzez uprzednie wyrażenie zgody. W odróżnieniu od drugiej metody, tj. opt-out, która opiera się na założeniu, że brak sprzeciwu oznacza przyzwolenie. Zgodnie z tym modelem przetwarzanie danych jest domyślnie dopuszczalne, zanim podmiot danych się temu nie sprzeciwi.
W RODO akurat zgoda na przetwarzanie danych osobowych została oparta tylko na zasadzie opt-in. Zatem musi być ona wyrażona przez jednoznaczne, konkretne i wyraźne działanie. Natomiast biernego zachowania i milczenia nie można uznać za wyrażenie zgody na przetwarzanie danych osobowych.
Zgodnie z art. 4 pkt. 11 RODO „>>zgoda<< osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”. Z definicji wynika, że wszystkie cechy zgody, tj. dobrowolność, konkretność, świadomość i jednoznaczność muszą występować łącznie.
Dobrowolność oznacza swobodę wyrażenia zgody, czyli brak przymusu i możliwość odmowy jej wyrażenia. Najprościej mówiąc zgoda nie powinna być wymuszona przez administratora bądź inną osobę lub instytucję. Podmiot danych powinien mieć możliwość wyboru czy wyrazi zgodę bądź nie. Pojęcie dobrowolności jest doprecyzowane w kilku motywach preambuły RODO.
Zgodnie z motywem (42) „wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji”. Z kolei zgodnie z motywem (43) „(…) aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach”.
Konkretność oznacza, że treść oświadczenia o wyrażeniu zgody nie powinna być ogólnikowa. W praktyce oznacza to, że oświadczenie o zgodzie powinno odpowiadać zakresowi i celowi zbieranych danych. Oświadczenie nie może składać się jedynie z ogólnego sformułowania typu „wyrażam zgodę na przetwarzanie danych osobowych”. Według dr P. Fajgielskiego „(…) zgoda nie może zostać udzielona w sposób abstrakcyjny, bez odwołania się do konkretnych okoliczności towarzyszących zgodzie i charakteryzujących przetwarzanie danych na jej podstawie” (P. Litwiński [w:] Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, 2021). Z kolei w opinii Grupy Roboczej Art. 29 w sprawie definicji zgody (WP 187) wskazano, że „niedopuszczalna jest ogólna zgoda bez określenia dokładnego celu przetwarzania“.
Świadomość oznacza, że osoba wyrażająca zgodę powinna mieć wiedzę na temat tego, na co jest ona udzielana. Podmiot danych powinien wiedzieć jakie mogą być konsekwencje takiego działania. Na świadomość osoby, której dane dotyczą istotny wpływ ma realizacja obowiązku informacyjnego przez administratora. W motywie (42) preambuły RODO wyjaśniono, że „aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych”.
Jak tłumaczy dr hab. M. Sakowska-Baryła „W praktyce oznacza to, że aby zgoda spełniała wymóg świadomości, administrator w chwili zwracania się o zgodę musi przedstawić wszystkie niezbędne informacje i powinny one dotyczyć istotnych aspektów przetwarzania. Świadomość wyrażenia zgody konkretyzuje się zatem w postaci wiedzy podmiotu danych na temat istotnych aspektów przetwarzania jej danych osobowych” (dr hab. M. Sakowska – Baryła [w:] „Ogólne rozporządzenie o ochronie danych osobowych. Komentarz”).
Jednoznaczność oznacza, że wyrażenie zgody nie powinno budzić wątpliwości co do zamiaru osoby składającej takie oświadczenie. Wątpliwość co do spełnienia omawianej przesłanki może zachodzić, jeżeli oświadczenie o zgodzie można różnie interpretować i wyciągać z niego odmienne wnioski. W motywie (32) preambuły RODO wyjaśniono: „Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele”.
Treść analizowanego przepisu dopuszcza dwie formy wyrażenia zgody – oświadczenie oraz wyraźne działanie potwierdzające. Prawodawca unijny nie wymaga, aby zgoda została wyrażona w konkretnej formie. Natomiast najczęściej oświadczenie o zgodzie przybiera formę pisemną. Zgoda może zostać wyrażona również ustnie, natomiast forma ta może być problematyczna ze względów dowodowych.
Zgodnie z motywem (32) preambuły RODO wyrażenie zgody może również polegać „(…) na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych”.