Zaloguj się Zaloguj się

Zgoda na przetwarzanie danych osobowych - jak powinna wyglądać?

Przeczytasz w 12 min.
Opublikowano
06-09-2019
Zaktualizowano
06-09-2019
Zgoda na przetwarzanie danych osobowych jest jedną z przesłanek legalizujących przetwarzanie zarówno zwykłych danych, jak i danych szczególnych kategorii, zwanych niekiedy danymi wrażliwymi. Przesłanki te zostały ujęte w art. 6 ust. 1 oraz 9 ust. 2 rozporządzenia ogólnego o ochronie danych osobowych (dalej: „RODO”).
Pokaż więcej

Pojęcie i definicja zgody na przetwarzanie danych osobowych

Zgodnie z art. 4 pkt. 11 RODO zgoda to „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, w którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”. W oparciu o tę definicję wyróżnić można następujące podstawowe cechy zgody:

a) dobrowolność,

b) konkretność,

c) świadomość,

d) jednoznaczność.

Dobrowolność zgody oznacza, że podmiot danych, czyli osoba, która wyraża zgodę i której dane dotyczą, ma rzeczywisty wybór co do udzielenia zgody i może jej odmówić lub ją wycofać bez niekorzystnych konsekwencji. Zgoda nie będzie dobrowolna, gdy istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym. W pewnych przypadkach brak dobrowolności zgody może zachodzić również w relacji pracodawca – pracownik. Naruszeniem przesłanki dobrowolności może być także działanie administratora polegające na żądaniu wyrażenia zgody na przetwarzanie danych w celu realizacji umowy lub wykonania usługi.

Aby zgoda mogła zostać uznana za konkretną, powinna w sposób zrozumiały, wyraźny i precyzyjny określać cel i zakres przetwarzania. Formuła zgody nie może być zatem ogólna ani blankietowa. Zgoda powinna być udzielania odrębnie dla każdego celu przetwarzania danych i wyraźnie oddzielać informacje związane z uzyskaniem zgody od innych informacji.

Świadomość zgody jest ściśle związana z przejrzystością, będącą jedną z podstawowych zasad przetwarzania danych. Administrator odbierający zgodę od udostępniającego dane powinien zadbać o przedstawienie mu wszystkich niezbędnych informacji o istotnych aspektach przetwarzania. Jak wynika z motywu 32 RODO, minimalnymi wymaganiami dla zapewnienia świadomości zgody, jest ujawnienie osobie, której dane dotyczą, tożsamości administratora oraz zamierzonych celów przetwarzania danych, choć w pewnych wypadkach konieczne może się okazać przekazanie szerszego katalogu informacji.

Jednoznaczność zgody sprowadza się do uznania, że udzielona zgoda nie pozostawia wątpliwości co do intencji osoby ją wyrażającej. Jednoznaczność wiąże się więc ze sposobem udzielania zgody. Zgoda - aby mogła być uznana za jednoznaczną - nie musi być wyrażona w formie słownego oświadczenia. Wystarczające będzie każde aktywne działanie, chociażby konkludentne (dorozumiane), które w sposób jednoznaczny i klarowny potwierdza intencję osoby, której dane dotyczą. Natomiast brak takiej aktywności nigdy nie będzie mógł być poczytywany jako zgoda. Zgodą nie będzie więc milczenie ani domyślnie zaznaczone okienko (checkbox).

Czynność udzielenia zgody może polegać na przykład na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej lub na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Takim zachowaniem może być np. przesuwanie po ekranie, machanie przed kamerą, itp., o ile udpostępniający dane został uprzednio pouczony o skutkach takiego zachowania.

Należy także zwrócić uwagę, że w pewnych wypadkach zgoda musi być nie tylko jednoznaczna, ale również wyraźna. Wymóg ten jest szczególnie istotny w przypadku zgód na przetwarzanie danych szczególnych kategorii, np. o stanie zdrowia lub pochodzeniu rasowym. Zgoda wyraźna nie może być wyrażona poprzez działania dorozumiane. Wskazuje się, że wyraźna zgoda na przetwarzanie danych wrażliwych powinna zostać udzielona w formie oświadczenia słownego, choć niekoniecznie pisemnego.

Mówiąc prościej, każda zgoda na przetwarzanie danych musi być jednoznaczna, czyli musi z niej jasno wynikać wola właściciela danych, przy czym zwykła zgoda nie musi mieć formy słownej. Może zostać wyrażona np. poprzez kiwnięcie głową. Natomiast w przypadkach, gdy przepisy wymagają, by dodatkowo zgoda była także wyraźna, dorozumiana forma wyrażenia zgody nie wystarczy. Zgoda powinna wówczas zostać wyrażona przy użyciu słów – ustnie lub pisemnie. Nie może być konkludentna ani domyślna.

Ponadto, zwracając się do konkretnej osoby (podmiotu danych) o udzielenie zgody, administrator powinien używać jasnego, prostego i jednoznacznego języka. Komunikaty i zapytania należy formułować w sposób odpowiedni do odbiorców – inaczej zatem powinny brzmieć komunikaty kierowane do dorosłych, a inaczej do dzieci. Administratorzy nie mogą stosować nieczytelnych polityk prywatności lub oświadczeń sformułowanych językiem prawniczym. Zgoda musi być jasna i dać się odróżnić od pozostałych kwestii.

Dodatkowo koniecznym jest także wskazanie, że w przypadkach, gdy administrator świadczy usługi społeczeństwa informacyjnego oferowane bezpośrednio do dzieci, które nie skończyły lat 16, może się to odbywać wyłącznie w oparciu o zgodę wyrażoną lub zaaprobowaną przez osobę sprawującą władzę rodzicielską lub opiekę nad dzieckiem. Przez usługę społeczeństwa informacyjnego rozumie się każdą usługę normalnie świadczoną za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie usługobiorcy. Usługa skierowana jest bezpośrednio do dzieci, gdy ma wywołać zainteresowanie dziecka i interakcję z dzieckiem. Jako przykłady wskazać tu należy portale edukacyjne dla dzieci, magazyny dziecięce w wersji elektronicznej, a także platformy internetowe z grami. Przykładem usługi społeczeństwa informacyjnego kierowanej bezpośrednio do dzieci nie będzie natomiast handel elektroniczny skierowany do osób pełnoletnich, nawet jeżeli dzieci skorzystają z takiej usługi.

Forma udzielenia zgody na przetwarzanie danych osobowych

Prawodawca unijny nie sformułował wymogów co do formy zgody. Zgoda nie musi zatem zostać złożona na piśmie.

Zgoda może także przybrać formę ustną lub elektroniczną, która to forma na gruncie RODO została de facto zrównana z formą pisemną. W tym miejscu należy jednakże zauważyć, iż zgodnie z zasadą rozliczalności oraz treścią art. 7 ust. 1 RODO, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Tym samym, w przypadku przetwarzania danych w oparciu np. o zgodę ustną, administrator może napotkać trudności w wykazaniu, że zgoda została udzielona. Jest to szczególnie istotne w przypadku zgody na przetwarzanie danych osobowych szczególnych kategorii, która musi być wyraźna.

Wybór formy uzyskiwania zgody należy zatem do administratora, który powinien jednak kierować się zasadą rozliczalności. Zasada ta oznacza, że administrator jest odpowiedzialny za przestrzeganie przepisów RODO i musi być w stanie wykazać ich przestrzeganie. To administratora obciąża zatem ciężar dowodu uzyskania zgody od podmiotu danych. Istotne jest, by sposób uzyskiwania zgody był jednoznaczny i w tym sensie realizował zasadę przejrzystości, o której mowa w art. 5 ust. 1 lit. a RODO. Administrator powinien zatem pamiętać o utrwaleniu faktu uzyskania zgody w celu wykazania, w szczególności przed organem nadzorczym, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych, ale też przed samym podmiotem danych, że otrzymał zgodę na przetwarzanie danych osobowych. Z tego też względu szczególnie istotne jest, aby w przypadku braku innych przesłanek legalizacyjnych przetwarzanie, administrator nie rozpoczynał przetwarzania danych przed pozyskaniem zgody. Zgoda musi mieć charakter uprzedni, a nie następczy.

Wycofanie zgody na przetwarzanie danych osobowych

Zgodnie z art. 7 ust. 3 RODO osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę, co nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Co ważne powinna zostać poinformowana o tym uprawnieniu zanim wyrazi zgodę.

Wycofanie zgody musi być równie łatwe jak jej wyrażenie. Grupa Robocza art. 29 wskazuje, że tam, gdzie zgoda jest uzyskiwana za pomocą interfejsu użytkownika specyficznego dla danej usługi za pośrednictwem strony internetowej, witryny, aplikacji, konta logowania lub za pomocą e-mail, podmiot danych musi mieć możliwość wycofania zgody za pośrednictwem tego samego interfejsu elektronicznego, gdyż przejście na inny interfejs jedynie w celu wycofania zgody, wymagałoby zbędnego wysiłku. Ponadto, administrator powinien umożliwić wycofanie zgody bezpłatnie lub bez obniżenia poziomu świadczonej usługi.

Po wycofaniu zgody na przetwarzanie danych, administrator powinien zadbać o usunięcie danych, które były przetwarzane w oparciu o zgodę, oraz wszelkich ich kopii, niezależnie od formy utrwalenia. Administrator powinien usunąć również zgromadzone w przeszłości dowody świadczące o prawidłowości odebrania zgody.

Odróżnienie zgody od innych przesłanek legalizacyjnych

Jak wskazano we wprowadzeniu do niniejszego artykułu, zgoda na przetwarzanie danych jest tylko jedną z przesłanek legalizujących przetwarzanie danych zwykłych i tzw. danych wrażliwych. Dla zapewnienia legalności przetwarzania danych wystarczające jest spełnienie tylko jednej z przesłanek wymienionych w art. 6 ust. 1 (w przypadku danych zwykłych) oraz w art. 9 ust. 2 RODO (w przypadku danych szczególnych kategorii). Tym samym nie ma potrzeby odbierania zgody w każdym przypadku przetwarzania danych i jako błąd należy ocenić odbieranie zgody na przetwarzanie danych w sytuacji, gdy występuje inna przesłanka legalizująca przetwarzanie określonych danych w konkretnym celu.

Przykładem takiego błędu może być sytuacja, gdy przesłanką legalizującą przetwarzanie jest zawarcie lub wykonanie umowy pomiędzy administratorem a osobą, której dane dotyczą, np. umowy sprzedaży. Jako nieprawidłowe należy ocenić zachowanie sprzedawcy, który przed zawarciem umowy żąda od kupującego zgody na przetwarzanie danych w celu zawarcia umowy sprzedaży. Przesłanką przetwarzania danych jest bowiem niezbędność przetwarzania danych do zawarcia umowy (art. 6 ust. 1 lit. b RODO), nie zaś zgoda (art. 6 ust. 1 lit. a RODO). Warto wskazać, że tego rodzaju błąd może mieć poważne konsekwencje. Wystarczy tu wskazać chociażby na to, że osoba, której dane przetwarzane są w oparciu o zgodę, może tę zgodę w każdej chwili wycofać, wskutek czego administrator zobowiązany jest do usunięcia wszelkich danych podmiotu danych. Jeżeli kupujący po zawarciu umowy wycofałby zgodę na przetwarzanie danych, sprzedawca musiałby usunąć dane kupującego, w tym umowę sprzedaży oraz fakturę, podczas gdy przechowywanie tych dokumentów jest w pewnych wypadkach niezbędne, chociażby dla celów rozliczeniowych i podatkowych.

W konsekwencji przyjąć należy, że korzystanie ze zgody jako przesłanki legalizującej przetwarzanie danych powinno następować w tych przypadkach, gdy oparcie przetwarzania na innej przesłance (tj. przesłance z art. 6 ust. 1 lit. b-f oraz art. 9 ust. 2 lit. b-j RODO), nie jest możliwe. Zgoda powinna być zatem odbierana w ostatniej kolejności, po wyczerpaniu możliwości skorzystania z pozostałych przesłanek legalizacyjnych. Należy zrezygnować z praktyki polegającej na odbieraniu zgody na przetwarzanie danych osobowych w każdym przypadku, gdy administrator zbiera dane osobowe.

Przykłady oświadczeń o wyrażeniu zgody

Wyrażenie zgody na przetwarzanie danych zwykłych

Przykładem zgody na przetwarzanie danych zwykłych może być zgoda odbierana przez pracodawcę od osoby, która podaje swoje dane w celu wzięcia udziału w przyszłych rekrutacjach organizowanych przez tego pracodawcę (bez korelacji z konkretnym ogłoszeniem rekrutacyjnym). Klauzula zgody może wyglądać tak:

„ Wyrażam zgodę;  Nie wyrażam zgody

na przetwarzanie podanych przeze mnie w dokumentach aplikacyjnych danych osobowych przez ABC Sp. z o.o. z siedzibą w Warszawie, zwaną dalej „Administratorem”, dla celów wzięcia udziału w przyszłych rekrutacjach prowadzonych przez Administratora. W każdej chwili mogę wycofać tę zgodę”.

W celu zapewnienia świadomości wyrażenia zgody, powyższej zgodzie powinno towarzyszyć spełnienie obowiązku informacyjnego zgodnego z art. 13 RODO.

Wzór zgody na przetwarzanie danych szczególnych kategorii

Jako przykład sytuacji, w której konieczne jest odebranie zgody na przetwarzanie danych szczególnych kategorii można wskazać przypadek, gdy administrator jest podmiotem prowadzącym np. laboratorium, do którego dostęp mogą mieć wyłącznie ściśle określone osoby o odpowiednich kwalifikacjach. W tym celu zastosował zabezpieczenie ograniczające dostęp do laboratorium polegające na zainstalowaniu urządzeń rozpoznających linie papilarne osób próbujących wejść na teren laboratorium. W braku innej przesłanki legalizacyjnej dla tego rodzaju pozyskania danych, konieczne jest odebranie zgody, która może wyglądać następująco:

□ Wyrażam zgodę □ Nie wyrażam zgody

na przetwarzanie przez ABC Sp. z o.o. z siedzibą w Warszawie, zwaną dalej „Administratorem” moich danych osobowych szczególnych kategorii, tj. danych biometrycznych w postaci informacji o moich liniach papilarnych w celu:

  • umożliwienia Administratorowi rozpoznania i identyfikacji osób wchodzących do laboratorium znajdującego się przy ul. Warszawskiej 1 w Warszawie,
  • zapewnienia bezpieczeństwa danych i mienia znajdujących się w laboratorium,
  • ograniczenia dostępu do laboratorium.

W każdej chwili mogę wycofać tę zgodę.

Podobnie jak w przypadku zgody na przetwarzanie danych zwykłych, powyższej zgodzie również powinno towarzyszyć spełnienie obowiązku informacyjnego zgodnego z art. 13 RODO.

Proponowane formuły zgód mogą być użyte w różnych formach. Mogą na przykład zostać ręcznie podpisane przez osobę, której dane dotyczą, udzielone poprzez kliknięcie na stronie internetowej odpowiedniego pola wyboru lub zawarte w treści wiadomości mailowej. Formuła może zostać ograniczona do jednego pola wyboru „wyrażam zgodę”, bez konieczności dokonywania wyboru pomiędzy wyrażeniem lub niewyrażeniem zgody. Tak jak wcześniej wspomniano, może być ona odebrana nawet w formie ustnej, jednakże może to powodować istotne trudności przy wykazaniu faktu i prawidłowości odbioru zgody.

Autor:

Lubasz i Wspólnicy - Kancelaria Radców Prawnych sp.k.

Lubasz i Wspólnicy to wywodząca się z Łodzi kancelaria o szerokim zasięgu działania, kierująca się zasadą "Nowocześnie dla biznesu". Specjalizuje się w ochronie danych osobowych, prawie e-commerce, prawie IT, a także prawie gospodarczym, prawie nieruchomości i compliance. Zaufali jej polscy przedsiębiorcy i międzynarodowe korporacje. Dzięki zagranicznym partnerom działa również międzynarodowo.

Rekomendowana w międzynarodowych rankingach

Kancelaria to tegoroczny laureat „The Legal 500” w kategorii „Data Privacy and Data Protection”. Rekomendowana przez Global Law Experts w zakresie ochrony danych osobowych.

Dr Dominik Lubasz – radca prawny i wspólnik zarządzający od 2018 r. jest wyróżniany w rankingu Chambers and Partners w kategorii „TMT: Data Protection”. W rankingu "The Legal 500" wyróżniony w latach 2021-2020 jako "Leading Individual" w kategorii “Data Privacy and Data Protection”. Rekomendowany jako “Global Leader” w rankingu WWL w kategorii “Data Privacy & Protection 2021”.

Kancelaria o nowoczesnym podejściu

W czasie pandemii Kancelaria rozszerzyła swoje działania o kompleksowe rozwiązywanie problemów prawnych wywołanych przez COVID-19. W tym celu powołała Specgrupę – dedykowany zespół ekspertów prawnych, który świadczy wsparcie prawne będące odpowiedzią na epidemię SARS-CoV-2 w Polsce.

Kancelaria Lubasz i Wspólnicy realizuje cykl webinarów dla przedsiębiorców „Rzeczowo o Prawie”, podczas których doświadczeni adwokaci i radcowie prawni omawiają aktualne zagadnienia prawne i prezentują interpretacje przepisów ważnych dla przedsiębiorców, właścicieli firm i kadry zarządzającej.

Więcej na lubasziwspolnicy.pl

Dowiedz się więcej

Wszelkie materiały znajdujące się na niniejszej stronie zamieszczone są w jedynie w celu informacyjnym i nie mogą być traktowane jako porada prawna w żadnej konkretnej sprawie, aczkolwiek dokładamy wszelkich starań, aby informacje tu zawarte były kompletne, prawdziwe i aktualne. Czytając artykuł należy zwrócić uwagę na datę publikacji i ostatniej aktualizacji treści.

Właściciel portalu nie ponosi odpowiedzialności za żadne stwierdzenie zawarte w treści niniejszej strony, jak również za ewentualne błędy lub braki w zamieszczonych materiałach, ani też za ewentualne rezultaty działań podjętych w oparciu o nie. Odwiedzający niniejszą witrynę powinni zasięgnąć indywidualnej porady prawnej we wszystkich sprawach w jakikolwiek sposób odnoszących się do ich praw i obowiązków.

Nasi Partnerzy

logo
logo
logo
logo
logo
logo