Zgoda jako podstawa przetwarzania danych osobowych

W sytuacji gdy nie znajdują zastosowania inne przesłanki przetwarzania danych osobowych, podstawą przetwarzania danych osobowych może być zgoda. Pisałam już o tym w innym artykule.

Wymagania konieczne do wyrażenia zgody

Aby zgoda mogła stać się podstawą przetwarzania danych, musi spełniać odpowiednie wymagania. W innym wypadku może zostać zakwestionowana.

Poprzez zgodę rozumiemy

„dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych” (art. 4 pkt 11 RODO).

Zatem taka zgoda powinna wskazywać osobę, która udziela zgody oraz której dane osobowe mają być udostępnione. Powinna zostać udzielona przed rozpoczęciem przetwarzania danych osobowych.
Osoba, która udziela zgody powinna wiedzieć, komu udziela zgody na przetwarzanie danych, jaki jest zakres tej zgody, przez jaki okresw jakim celu jej dane będą przetwarzane.

Celem realizacji powyższych obowiązków administrator danych osobowych powinien przygotować jasne i przejrzyste klauzule informacyjne, dzięki którym zapewni on realizację zasad przetwarzania danych osobowych (art. 5 oraz art. 7 RODO).

Domyślne ustawienia

Niestety sytuacje, w których administrator danych osobowych wykorzystuje bierność, nieuwagę, czy milczenie osoby, której dane dotyczą, a także ustawienia domyślne strony internetowej np. domyślnie zaznaczone checkbox-y tj. okienka zgód są bardzo częste.

Jest to niedopuszczalne.

Osoba wyrażająca zgodę musi podjąć celowe działanie, aby wyrazić zgodę na określone przetwarzanie jej danych osobowych (wskazała na to Grupa Robocza Art. 29 w Wytycznych dotyczących zgody, o której mowa w rozporządzeniu z 2016/679).

Powyższe potwierdził Europejski Trybunał Sprawiedliwości w wyroku z 1 października 2019 r. (sygn. akt. C-673/17).

Wymuszenie zgody

Należy pamiętać, że nikt nie ma prawa wymuszać na nikim wyrażenia zgody. Jeżeli to robi to taka zgoda jest nieważna. Kiedy mamy do czynienia z wymuszeniem wyrażenia zgody? 

Spotykamy się z tym, gdy przykładowo klauzula o wyrażeniu zgody znajduje się pomiędzy wieloma innymi punktami umowy, co powoduje, że osoba nie ma możliwości odmowy wyrażenia zgody, ponieważ składa podpis pod całością dokumentu. Zatem zgoda, którą wyraża nie jest swobodna i niezależna od innych oświadczeń woli (art. 4 ustawy o świadczeniu usług drogą elektroniczną).

Prawo do wycofania zgody

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę w sposób tak samo łatwy jak jej wyrażenie (art. 7 ust. 3 RODO). Istotne jest, że administrator danych osobowych ma obowiązek poinformowania osoby o tym prawie, przed wyrażeniem przez nią zgody. 

Przykładowo:
Jeżeli na stronie internetowej istnieje mechanizm do wyrażenia zgody, to powinien istnieć również zbliżony mechanizm do jej wycofania.

Podobnie gdy administrator odebrał zgodę drogą mailową czy telefoniczną, jej odwołanie powinno być możliwe do wykonania w ten sam sposób.