Przed rozpoczęciem dowolnego przetwarzania, każdy Administrator danych musi zastanowić się, jaka jest zgodna z prawem podstawa prawna planowanego przetwarzania danych. Zgoda jest jedną z sześciu z nich wymienionych w RODO. Należy jednak pamiętać, że zgodę powinno się zawsze traktować jako podstawę, która stosowana jest jako ostatnia, czyli ta którą stosuje się, kiedy inne podstawy nie są możliwe do zastosowania.
W momencie kiedy Administrator dokonał oceny i uznał, że będzie przetwarzał dane na podstawie zgody, zwracając się o nią ma obowiązek weryfikacji czy spełnił wszystkie wymogi uzyskania jej, co jest dość precyzyjnie określone w RODO.
Przyjrzyjmy się więc samej zgodzie.
W art. 4 pkt 11 RODO definicja zgody brzmi:
"„zgoda” osoby, której dane dotyczą oznacza
- dobrowolne,
- konkretne,
- świadome i
- jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;"
a sam sposób jej wyrażania został zawarty w art. 7:
"Warunki wyrażenia zgody
1.Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
2.Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca.
3.Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
4.Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy."
Więcej szczegółów możemy uzyskać również w motywach RODO nr 32,33,42 i 43.
I tym powyższym zapisom przybliżymy się bliżej w tej serii artykułów.
Zaczniemy od najważniejszego. Zawsze należy pamiętać o tym, że nawet stosując zgodę jako podstawę prawna przetwarzania, zakres danych należy ograniczać tylko do takich, które są konieczne do osiągnięcia określonego celu przetwarzania.
Kolejnym ważnym atrybutem zgody, jest jej dobrowolne wyrażenie. W motywie 43 RODO, jego twórcy wskazują: „Aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna.
Sam przymiot „dobrowolności” zakłada rzeczywistą możliwość wyboru. Jeśli osoba wyrażająca zgodę czuje się do niej w jakikolwiek sposób przymuszona, wywierana jest na niej presja w celu jej wyrażenia lub w przypadku gdyby osoba takiej zgody nie wyraziła i w związku z tym poniosła jakiekolwiek konsekwencje, taka zgoda na gruncie przepisów RODO staje się nieważna.
Musi istnieć również równowaga sił pomiędzy udzielającym, a odbierającym zgodę. O braku takiej równowagi w swoich wytycznych Grupa Robocza Art. 29 mówi w szczególności w przypadku: - stosowania zgody jako podstawy prawnej przetwarzania, w przypadku gdy Administratorem jest podmiot publiczny. Oczywiście dopuszcza ona stosowanie zgody w szczególnych przypadkach, co do zasady podmioty publiczne, powinny unikać tej podstawy prawnej przetwarzania
- w związku z zatrudnieniem, gdzie brak wyrażenia zgody np. na monitoring lub wypełnienie formularza oceny, może wiązać się z konsekwencjami dla pracownika. Sam monitoring rekomendujemy opierać na innej podstawie.
Analizując proces oraz zasadności stosowania zgody, zawsze należy pamiętać w każdej sytuacji, w której zachodzi ryzyko zastraszenia, przymusu lub jakichkolwiek konsekwencji w związku z niewyrażeniem zgody, zgoda na gruncie RODO staje się nieważna.
Dobrowolność wyrażenia zgody wiąże się również z jej szczegółowością.
Jeżeli jedna zgoda wyrażona jest na więcej niż jeden cel przetwarzania danych i nie ma możliwości oddzielenia wyrażenia zgody na każdy cel z osobna, oznacza to, że taka zgoda również jest niewłaściwie skonstruowana i nie jest zgodą, o którą możemy oprzeć przetwarzanie danych.
Trzecim atrybutem dobrowolności, jest brak uzależnienia przekazania danych na podstawie zgody, od wykonania faktycznej umowy. Każdy Administrator musi pamiętać, że jeśli świadczy jakąkolwiek usługę lub wykonuje dla kogoś umowę, to do zrealizowania jej pobiera pewny zakres danych, który w większości przypadków regulowany jest samymi przepisami prawa. Uzależnianie wykonania umowy lub usługi, np. od przekazania danych do wysyłania wiadomości e-mail z ofertami Administratora lub co gorsze zmiana celu przetwarzania, czyli pobranie adresu e-mail w celu przesłania faktury, a w dalszej kolejności przesyłanie ofert handlowych, stoi w sprzeczności z przepisami RODO i jest karalne.
W kolejnym artykule przyjrzymy się kolejnemu atrybutowi samej zgody, czyli konkretności.
Pozdrawiamy,
Zespół rodo.pl
źródła:
Comments