Zgoda według RODO - jak i kiedy pobierać zgodę na przetwarzanie danych osobowych?

Jednym z najczęściej poruszanych problemów w zakresie ochrony danych osobowych jest problem zgody na przetwarzanie danych osobowych. Czym w praktyce jest więc zgoda wg RODO?

Zgoda jest przede wszystkim jedną z przesłanek umożliwiających przetwarzanie danych osobowych (art. 6 ust.1 pkt a RODO) oraz danych osobowych szczególnych kategorii (art. 9 ust.2 pkt a RODO). Jest przy tym podstawą, która jest zdecydowanie najczęściej nadużywana i źle pojmowana w procesach przetwarzania danych osobowych. Z czego to wynika? Przede wszystkim zapewne z niewiedzy i nieumiejętnego stosowania (a w zasadzie braku stosowania) innych podstaw prawnych umożliwiających przetwarzanie danych osobowych. 

Pamiętać należy o tym, że przesłanek przetwarzania danych osobowych nie kumulujemy – zawsze szukamy tej jednej właściwej. W praktyce biznesowej najczęściej stosowanymi przesłankami przetwarzania danych osobowych powinny być art. 6 ust.1 pkt b RODO (czynności podejmowane na żądanie podmiotu danych przed zawarciem umowy lub czynności podejmowane w ramach realizacji zawartej umowy) oraz art. 6 ust.1 pkt f RODO (prawnie uzasadniony interes administratora). W niektórych obszarach – np. procesów związanych z zatrudnianiem pracowników – często stosowaną przesłanką jest ponadto art. 6 ust.1 pkt c RODO (realizacja obowiązku prawnego).

W stosunku do danych osobowych szczególnych kategorii (np. dotyczących zdrowia, przynależności związkowej) RODO wyróżnia odrębny zestaw przesłanek legalizujących przetwarzanie – w praktyce najczęściej stosowanymi są art. 9 ust.2 pkt b RODO (przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej) oraz art. 9 ust.2 pkt f RODO (przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń). 

Do czego prowadzi nadużywanie zgody jako podstawy przetwarzania danych osobowych? Wymienić można w szczególności następujące możliwe niepożądane konsekwencje:

  • Wprowadzanie w błąd podmiotu danych i związaną z tym niewłaściwą realizację obowiązku informacyjnego (art. 13, 14 RODO);

  • Niewłaściwe ustalanie okresu przetwarzania danych osobowych (dane przetwarzane na podstawie zgody możemy przetwarzać do czasu jej wycofania – inaczej sytuacja ma się przy przetwarzaniu danych w oparciu o inne podstawy prawne);

  • Uzależnienie możliwości przetwarzania danych od woli podmiotu danych (gdy podmiot danych odmówi zgody lub ją wycofa, nie możemy przetwarzać jego danych);

  • Utratę dowodów niezbędnych do dochodzenia roszczeń lub obrony przed roszczeniami – jako konsekwencję wycofania zgody na przetwarzanie danych osobowych przez podmiot danych (ryzyko np. pozwu o dyskryminację po zakończeniu rekrutacji);

  • Wprowadzanie niepotrzebnego zamieszania organizacyjnego związanego z niepotrzebnym pozyskiwaniem zgód na przetwarzanie danych osobowych.

Pierwszą i podstawową zasadą, którą należy zapamiętać jest to, iż zgodę na przetwarzanie danych osobowych pozyskujemy tylko wówczas gdy brak innej podstawy umożliwiającej przetwarzanie danych osobowych. Zgoda jest bowiem „najsłabszą” z przesłanek prawnych pozwalających na przetwarzanie danych osobowych – gdy zostanie wycofana (a może zostać wycofana w każdym czasie) – prowadzi do zakazu dalszego przetwarzania danych.

Przetwarzając dane osobowe na podstawie zgody podmiotu danych należy pamiętać, że:

  • Pobieramy odrębne zgody dla odrębnych celów przetwarzania danych osobowych – nie łączymy zgód;

  • Pytanie o zgodę musi być jasne, zrozumiałe i nie może w żadnej mierze wprowadzać w błąd;

  • Zgoda musi być dobrowolna – nie możemy np. uzależniać realizacji usługi od pozyskania zgody na przetwarzanie danych osobowych – pamiętać należy, iż właściwą podstawą prawną dla przetwarzania danych osobowych w celu realizacji usługi jest najczęściej art. 6 ust.1 pkt b RODO. Dopuszcza się przy tym jak dotychczas płacenie za usługi zgodą na przetwarzanie danych osobowych (w szczególności w zakresie tzw. rabatów marketingowych przyznawanych chociażby przez operatorów telekomunikacyjnych). Coraz częściej pojawiają się jednak stanowiska, iż praktyki takie powinny zostać zabronione, godzą bowiem poniekąd w dobrowolność zgody (gdy mamy do wyboru płacić za daną usługę kwotę X lub wielokrotność tej kwoty w razie odmowy wyrażenia zgody na przetwarzanie danych osobowych, trudno mówić o pełnej dobrowolności zgody na przetwarzanie tych danych);

  • Pozyskiwanie zgód należy dokumentować – nie istnieją przy tym konkretne wymogi co do formy pozyskania zgody na przetwarzanie danych osobowych jednakże należy mieć świadomość, że pozyskiwanie zgód w formie ustnej będzie sprzeczne z podstawową dla RODO zasadą rozliczalności – nie będziemy w stanie udokumentować faktu pozyskania zgody. Zasada ta ma zastosowanie w szczególności dla pozyskiwania zgód na przetwarzanie danych osobowych szczególnych kategorii lub na transfer danych osobowych do państwa trzeciego – RODO wymaga wówczas „wyraźnej” zgody podmiotu danych;

  • Wycofanie zgody dopuszczalne jest w każdym czasie i skutkuje zakazem dalszego przetwarzania danych przetwarzanych w oparciu o wycofaną zgodę; wycofanie zgody nie może być przy tym trudniejsze i bardziej uciążliwe dla podmiotu danych niż jej udzielenie.

Podmioty świadczące usługi społeczeństwa informacyjnego pamiętać muszą ponadto, iż oferować mogą je dziecku, które nie ukończyło 16 lat, tylko wówczas, gdy osoba sprawująca nad dzieckiem władzę rodzicielską lub opiekę wyraziła na to zgodę. Pobieranie takich zgód jest oczywiście sporym wyzwaniem. Pojawiły się pomysły by dostęp do takich usług umożliwić dziecku jedynie jeśli jego opiekun prześle skan swojego dowodu osobistego – w naszej ocenie prowadziłoby to jednak do absurdalnie nadmiarowego przetwarzania danych opiekunów dzieci. Przy szczególnej opiece jaką otoczyć należy bezpieczeństwo danych osobowych dzieci, skorzystanie przez dziecko z portalu pozwalającego np. recenzować czy komentować bajki lub umawiać się na grę w piłkę na osiedlowym boisku nie uzasadnia w naszej ocenie przetwarzania danych zawartych w dowodach osobistych opiekunów dzieci. Nie trudno wyobrazić sobie przy tym sytuacje, w których dzieci skanowałyby dokumenty swoich opiekunów i wysyłały ich skany bez zgody samych opiekunów – wykrycie takiej sytuacji byłoby w zasadzie niemożliwe. Pomysł prowadzić mógłby natomiast do wyłudzania przez oszustów lub innego rodzaju przestępców danych z dowodów osobistych opiekunów dzieci.

Kończąc temat zgód na przetwarzanie danych osobowych, zaawizować należy ponadto, iż najprawdopodobniej na ostatniej prostej są prace nad unijnym rozporządzeniem e-privacy, które wprowadzi przepisy szczególne w stosunku do RODO i zawierać będzie dodatkowe regulacje dotyczące tego kiedy konieczne będzie pobieranie zgód podmiotów danych.

W osobnym wpisie powiemy więcej o przetwarzaniu danych osobowych w ramach prowadzenia marketingu bezpośredniego i problematyce zgód na przetwarzanie danych osobowych w ramach działań marketingowych. Temat ten dotyka bowiem ponadto innych regulacji prawnych (w szczególności ustawy o świadczeniu usług drogą elektroniczną oraz prawa telekomunikacyjnego) i wymaga odrębnego omówienia.

Wpisy powiązane:

Naruszenie ochrony danych osobowych.

Obowiązek informacyjny RODO.

Kary pieniężne RODO w Polsce w 2019 r.

Kary pieniężne wynikające z RODO.

Zasady RODO.

Zasada rozliczalności.

Zasada legalizmu.

Wdrożenie RODO.

RODO - podstawowe informacje.

Polityka ochrony danych osobowych.

Zgoda marketingowa wg RODO.

Zgoda w stosunkach pracy.

Data publikacji: 14.08.2018.

radca prawny Paweł Borek | radca prawny Krzysztof Doliński

Audyt i wdrożenie RODO | Poznań, Warszawa, Bydgoszcz