Polityka i prawo

UODO: zgoda nie musi być podstawą przetwarzania danych

Fot. MaxPixel/CC0
Fot. MaxPixel/CC0

Wyrażenie zgody może stanowić podstawę do przetwarzania danych tylko wtedy, gdy nie występują inne przesłanki legalizujące. W momencie, gdy zgoda ma zastosowanie, musi spełniać określone kryteria, aby rzeczywiście była podstawą przetwarzania.

Wiele osób jest przekonanych, że jeśli nie wyraziło zgody na przetwarzanie danych osobowych, to nie można tego robić. W praktyce jednak zgoda może być podstawą do przetwarzania danych, gdy nie występują inne przesłanki legalizujące, które są określone w art. 6 ust. 1 RODO.

Przepis ten, oprócz zgody, określa, że dane mogą być przetwarzane, gdy jest to niezbędne do wykonania umowy, do wypełnienia obowiązku prawnego ciążącego na administratorze, do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej. Dane mogą być przetwarzane także wtedy, gdy jest to niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi albo administrator musi zrealizować cel wynikający z prawnie uzasadnionych interesów.

Dopiero gdy nie mają zastosowania powyższe przesłanki, to podstawą do przetwarzania danych osobowych może być zgoda. Należy jednak pamiętać, że niedopuszczalne jest odbieranie zgody na przetwarzanie danych osobowych w przypadku istnienia innej przesłanki legalizacyjnej upoważniającej administratora do przetwarzania danych osobowych w tym samym zakresie i celu. Takie działanie wprowadza w błąd osobę, która udziela zgody. Jest bowiem przekonana, że to na tej podstawie przetwarzane są jej dane i gdy ja wycofa, to administrator zaprzestanie dalszego przetwarzania. Tymczasem administrator może mieć wręcz obowiązek przetwarzania naszych danych, gdy mają zastosowania przedstawione powyżej przesłanki. Pozyskiwanie zgody w tej sytuacji może więc prowadzić do naruszenia zasady przejrzystości i rzetelności, o których mowa w art. 5 ust. 1 lit a RODO.

Warunki wyrażenia zgody 

Zgoda, by mogła być podstawą przetwarzania danych, musi spełniać odpowiednie wymagania. W przeciwnym razie może zostać zakwestionowana jako podstawa do przetwarzania danych osobowych.

Pojęcie zgody osoby, której dotyczą dane, definiuje art. 4 pkt 11 RODO i oznacza „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.

Zgoda udzielona przed rozpoczęciem przetwarzania danych osobowych powinna być: wyrażona wprost, określać osobę, która zgody udziela oraz której dane osobowe mają być udostępnione. Osoby te muszą wiedzieć, komu udzielają zgody na przetwarzanie danych, jaki jest ich zakres. Powinny też wiedzieć, przez jaki okres i w jakim celu dane te będą przetwarzane.

Administrator ma obowiązek zadbać o to, by jego działania były zgodne z zasadami przetwarzania danych osobowych, zwłaszcza z art. 5 oraz art. 7 RODO. Powinien ocenić, jakie ryzyka dla praw osób, mogą wiązać się z przetwarzaniem ich danych osobowych w konkretnym celu. Musi również przygotować jasne i rzetelne klauzule informacyjne.

Wymuszenie zgody

Należy pamiętać, że nikt nie ma prawa wymuszać na nikim wyrażenia zgody. Taka zgoda jest nieważna. Warto pamiętać, że z wymuszeniem zgody spotykamy się, gdy klauzula o wyrażeniu zgody znajduje się pomiędzy wieloma innymi punktami umowy. Przykładowo, klauzula o zgodzie na otrzymywanie informacji handlowych nie może znaleźć się we wzorcu wniosku o udzielenie pożyczki pomiędzy innymi postanowieniami oraz formularzem określającym m.in. dane osobowe kredytobiorcy. W tak skonstruowanym dokumencie konsument nie ma możliwości odmowy wyrażenia zgody, ponieważ składa podpis pod całością wniosku, przez co jego zgoda nie jest swobodna i niezależna od innych oświadczeń woli (art. 4 ustawy o świadczeniu usług drogą elektroniczną).

Z wymuszeniem zgody mamy również do czynienia, gdy instytucja publiczna lub niepubliczna realizująca zadanie publiczne uzależnia jego realizację od zgody, pomimo że z przepisów wynika uprawnienie lub obowiązek przetwarzania danych dla tych celów. Przykładowo: podczas rejestracji samochodu w urzędzie, urząd ten nie może żądać od nas wyrażenia zgody i uzależnić od niej wydanie decyzji o rejestracji pojazdu, bo z przepisów wynika obowiązek przetwarzania danych dla tego celu.

Wycofanie zgody

W myśl art. 7 ust. 3 RODO zgoda jest odwoływalna i uprawnienie to przysługuje osobie, której dane dotyczą, w każdym czasie. Osoba ta ma więc prawo w dowolnym momencie wycofać zgodę. Przepis nakłada na administratora obowiązek poinformowania osoby o tym prawie, zanim wyrazi zgodę. Wycofanie zgody musi być tak samo łatwe jak jej wyrażenie. Dlatego jeżeli np. na stronie internetowej istniał mechanizm do wyrażenia zgody, to powinien być również podobny do jej wycofania. Rozwiązanie takie nie powinno być w żaden sposób ukryte. Podobnie gdy administrator odbierał zgodę drogą mailową czy telefoniczną, to w tym wypadku jej odwołanie powinno być możliwe w ten sam sposób.

Uprawnienie osoby do rzeczywistego wycofania zgody łączy się z wymogiem dobrowolności zgody.

Zgoda na kontakt marketingowy

Szczególną czujnością kierujmy się, gdy mamy do czynienia z działaniami marketingowymi. O ile zgoda na marketing bezpośredni nie jest wymagana, o tyle sytuacja się zmienia, gdy taka forma komunikacji jest realizowana telefonicznie.

Prawo telekomunikacyjne w art. 172 zakazuje wykonywania połączeń do celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na nie zgodę.

Ustawienia domyślne

Należy pamiętać również o tym, że wszelkie modele wykorzystujące bierność, milczenie osoby, której dane dotyczą, lub jej nieuwagę, a także ustawienia domyślne, domyślnie zaznaczone okienka zgód itp., są niedopuszczalne. Wskazał na to m.in. Europejski Trybunał Sprawiedliwości w wyroku z 1 października 2019 r. (sygn. akt. C-673/17).

Grupa Robocza Art. 29 w Wytycznych dotyczących zgody na mocy rozporządzenia 2016/679 wskazała, że osoba wyrażająca zgodę musi podjąć celowe działanie, aby wyrazić zgodę na określone przetwarzanie jej danych.

Każda osoba sama musi decydować o tym na co się zgadza i świadomie to zaznacza. Tymczasem domyślnie zaznaczone okienka można przez nieuwagę i pośpiech pominąć.

Przetwarzanie danych niezgodnie z prawem

Każdy, kto uważa, że jego dane osobowe są przetwarzane niezgodnie z prawem, może dochodzić swoich praw przed sądem powszechnym (art. 79 RODO). Jeżeli dana osoba uzna, że w wyniku naruszenia przepisów RODO poniosła szkodę majątkową lub niemajątkową, ma też prawo żądać od administratora lub podmiotu przetwarzającego odszkodowania (art. 82 RODO).

Możliwość skorzystania z powyższych praw w przypadku zgody może mieć miejsce, gdy np. wycofujemy zgodę, a administrator to utrudnia albo nie respektuje naszego żądania i w dalszym ciągu przetwarza nasze dane, a nie ma innej przesłanki legalizującej takie działanie. Również, gdy dana osoba kwestionuje dobrowolność wyrażonej zgody, to może skorzystać z przysługujących jej praw.

Informacja prasowa UODO

Komentarze