W tym miesiącu rozpoczynamy nową serię Komunikatów IOD-y poświęconą podstawom przetwarzania danych osobowych, które zostały uregulowane przez prawodawcę unijnego w art. 6 RODO. Jako pierwsza przybliżona zostanie zgoda osoby, której dane dotyczą.
JAK ROZUMIEĆ PODSTAWY PRZETWARZANIA DANYCH OSOBOWYCH
Podstawy przetwarzania danych osobowych odpowiadają na fundamentalne pytanie: kiedy przetwarzanie danych jest dozwolone. Jak słusznie wskazuje dr P. Litwiński „Ochrona danych osobowych polega między innymi na określeniu, kiedy dozwolone, a kiedy zabronione jest ich przetwarzanie” (P. Litwiński [w:] Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, 2021).
Na gruncie RODO przepisy jasno określają, kiedy przetwarzanie danych jest legalne. Istotne jest, że przesłanki wskazane w art. 6 RODO mają charakter alternatywny – wystarczy spełnienie jednej z nich, nie trzeba ich łączyć ani spełniać kilku naraz. Co do zasady są równoważne, ale w praktyce to cel przetwarzania zwykle decyduje, którą z nich należy zastosować.
CHARAKTER ZGODY JAKO PODSTAWY PRZETWARZANIA DANYCH
Kwestię zgody jako podstawy przetwarzania reguluje art. 6 ust. 1 lit. a RODO, zgodnie z którym przetwarzanie danych jest zgodne z prawem, jeżeli „osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów”.
Jeżeli przetwarzanie dotyczy więcej niż jednego opartego na zgodnie celu, oświadczenia zgody powinny być wyraźnie rozdzielone. Każdy cel powinien być przedstawiony w taki sposób, aby osoba mogła precyzyjnie zdecydować, na które działania się zgadza. Łączenie wielu celów w jednym oświadczeniu może prowadzić do sytuacji, że wyrażenie zgody nie będzie w pełni dobrowolne (podmiot danych zgadza się częściowo), a tym samym może zostać zakwestionowana jej legalność.
WARUNKI WYRAŻENIA ZGODY
W przepisach RODO zgoda została określona jako dobrowolne, konkretne, świadome i jednoznaczne wyrażenie woli. Oznacza to, że musi spełniać wszystkie cztery cechy wskazane w art. 4 pkt 11 RODO. Więcej informacji na temat definicji zgody można znaleźć w Komunikacie IOD-y.
Warunki wyrażenia zgody zostały doprecyzowane w art. 7 RODO, który wzmacnia ochronę danych przetwarzanych na tej podstawie. Przede wszystkim na administratorze spoczywa obowiązek wykazania, że zgoda została udzielona. W praktyce oznacza to konieczność takiego zorganizowania procesu zbierania danych, aby możliwe było udowodnienie faktu jej wyrażenia – np. poprzez wypleniony formularz lub nagranie rozmowy.
Administrator ma swobodę wyboru formy pozyskania zgody, jednak musi uwzględnić potrzebę jej udokumentowania. Szczególne znaczenie ma to w przypadku zgody ustnej, która (choć dopuszczalna) jest trudniejsza do udowodnienia i wymaga odpowiedniego zabezpieczenia dowodowego.
Jeżeli zgoda stanowi element szerszego oświadczenia (np. umowy lub formularza), powinna być wyraźnie wyodrębniona i przedstawiona w sposób zrozumiały, łatwo dostępny oraz sformułowana jasnym i prostym językiem. Niedopuszczalne jest jej „ukrywanie” wśród innych treści.
Istotne znaczenie ma również właściwy sposób jej pozyskania. Zgoda powinna wynikać z wyraźnego działania osoby, np. zaznaczenia checkboxa czy wyboru ustawień, a nie z milczenia, braku działania lub domyślnie zaznaczonych pól.
RODO przewiduje także prawo do wycofania zgody w dowolnym momencie, a administrator ma obowiązek poinformować o tym jeszcze przed jej udzieleniem. Wycofanie zgody działa na przyszłość, co oznacza, że nie wpływa ono na zgodność z prawem wykorzystania danych przed jej cofnięciem. Ważne jest, że dokonanie wycofania zgody powinno być tak samo łatwe jak jej udzielenie. Nie można wprowadzać żadnych dodatkowych warunków, utrudnień lub formalizmów. Niedopuszczalne jest także uzależnianie wycofania zgody od podania przyczyny.
PODSUMOWANIE
Zgoda jako podstawa przetwarzania danych nie będzie właściwym wyborem w każdej sytuacji – w wielu przypadkach bardziej adekwatne mogą być inne przesłanki, wynikające np. z umowy czy obowiązku prawnego. Decydując się na oparcie przetwarzania na zgodzie, należy pamiętać o rygorystycznych warunkach jej wyrażenia oraz konieczności ich realnego spełnienia w praktyce. Każde uchybienie w tym zakresie może prowadzić do zakwestionowania legalności przetwarzania.
Dodatkowo zgoda nie daje stabilności przetwarzania danych – osoba, której dane dotyczą, może ją w każdej chwili wycofać. Oznacza to, że administrator musi liczyć się z koniecznością zaprzestania przetwarzania danych i nie może traktować zgody jako trwałej podstawy działania.
Osoby zainteresowane pogłębioną analizą tematu, więcej informacji mogą znaleźć w tym artykule.