RODO: Warunki udzielenia zgody na przetwarzanie danych osobowych
Zgoda osoby fizycznej na przetwarzanie danych osobowych, które jej dotyczą staje się koniecznością. Jest to podstawowa przesłanka dopuszczalności przetwarzania danych. Jakie warunki RODO stawia względem zgody na przetwarzanie danych osobowych i czy zgoda uzyskana na podstawie przepisów będących skutkiem komplementacji już nieobowiązującej dyrektywy 95/46/WE do krajowego porządku prawnego jest ważna po wejściu w życie RODO?
Odwołując się do istotnego w tej kwestii motywu 171 preambuły RODO, który stanowi, że: przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów. Jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia. Warto wskazać, że wyrażenie ponownej zgody od osoby, która taką zgodę już wcześniej wyraziła nie będzie wymagane. Stanie się tak w przypadku, gdy sposób oraz warunki udzielenia zgody czynią zadość wymaganiom stawianym przez RODO.
Warunki ważności zgody – kryteria formalne i materialne
Prowadząc analizę zmian warunków ważności zgody, które będą obowiązywały po wejściu w życie RODO, należy przede wszystkim wziąć pod uwagę następujące grupy kryteriów: formalne (forma i sposób wyrażenia zgody, pouczenie o możliwości jej wycofania) oraz materialne (dobrowolność). Należy mieć również na uwadze grupę kryteriów dotyczących sytuacji szczególnych. Odnosi się to np. do sytuacji wyrażania zgody przez dzieci.
Udzielenie zgody – kiedy wymagana jest forma pisemna?
Mówiąc o zmianach w kwestiach formy udzielenia zgody, należy przede wszystkim powiedzieć o tym, że RODO nie ustanawia wymogu formy pisemnej. Zgodnie z art. 7 ust. 1 RODO: jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Odwołując się do treści motywu 32 preambuły RODO, należy stwierdzić, że rozporządzenie nie stawia szczególnie rygorystycznych wymogów co do formy udzielenia zgody, zwłaszcza używając wyrazu zgoda […] ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia.
Polska ustawa o ochronie danych osobowych zaś dokonywała pewnego stopnia gradacji, wskazując, iż w przypadku danych osobowych zwykłych, zgoda może być wyrażona w jakiejkolwiek formie, natomiast w przypadku danych osobowych wrażliwych musi ona być wyrażona w formie pisemnej. Wyrażenie zgody na przekazywanie danych do państwa trzeciego również musi być wyrażone na piśmie.
Szczególne wymagania z kolei RODO stawia zgodom wyrażonym na piśmie. Zwłaszcza, jeżeli osoba fizyczna wyraża zgodę na przetwarzanie danych osobowych w pisemnym oświadczeniu, które także dotyczy innych kwestii. Wówczas zapytanie o zgodę musi być przedstawione w sposób pozwalający na jego odróżnienie od pozostałych kwestii. Musi ono być sformułowane w sposób: zrozumiały, jasny, prosty i w łatwo dostępnej formie. Oznacza to, że nie można ukrywać oświadczenia o zgodzie wśród innych oświadczeń. Przykładem naruszenia powyższych wymogów jest drukowanie oświadczenia dotyczącego zgody małą nieczytelną czcionką. Wynikiem naruszenia wskazanej normy będzie możliwość zakwestionowania zgody. W konsekwencji może się ona stać nieważna.
Czasem nie wystarczy jedna zgoda…
Należy również wskazać, że zgodnie z motywem 32 preambuły RODO, zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli zaś przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie wymienione cele. Osoba składająca oświadczenie o zgodzie musi znać przynajmniej tożsamość administratora danych osobowych oraz cele przetwarzania danych (jak wskazano wyżej).
Kolejnym wymogiem stawianym przez art. 7 ust. 3 RODO jest możliwość wycofania zgody przez osobę, która jej udzieliła. Instytucja ta nie stanowi nowości w polskim prawie, ponieważ już funkcjonowała w ustawie o ochronie danych osobowych. Ustawodawca unijny rozszerzył jednak zakres jej zastosowania. Istotny jest bowiązek uprzedniego poinformowania osoby, której dane dotyczą, o możliwości wycofania zgody. Wycofanie zgody musi być równie łatwe jak i jej udzielenie. Przykładowo, nie można ustanawiać wymogu wycofania zgody udzielonej ustnie w formie aktu notarialnego. Niedopuszczalne jest również żądanie wycofania zgody udzielonej w okienku internetowym podczas przeglądania strony przez osobiste stawienie się w siedzibie przedsiębiorstwa w celu odwołania wcześniej wyrażonej zgody. Są to zatem istotne zmiany względem wcześniej obowiązujących przepisów. Wymagają one szczególnego uwzględnienia i dostosowania się do np. wzorców umownych.
Kryterium dobrowolności
Przechodząc do grupy kryteriów materialnych, należy wskazać, że najważniejsze w tym zakresie jest kryterium dobrowolności. Jest ono obecne w art. 7 ust. 4 RODO. Warto przywołać jego brzmienie: oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.
Nie można, jak za tym przemawia treść preambuły RODO, uznać za dopuszczalną zgodę, której osoba udzielająca nie może odmówić lub wycofać bez niekorzystnych konsekwencji. Może się bowiem zadarzyć, że taka osoba nie ma w takiej sytuacji rzeczywistego wyboru. Będzie to zatem traktowane jako zgoda, która nie jest dobrowolna. Nie sposób jest również przyjąć, iż w przypadku braku możliwości wyrażenia osobnej zgody na różne operacje przetwarzania danych osobowych, zgoda jest dobrowolna. Również jest niedopuszczalna w świetle przepisów RODO sytuacja, w której od udzielenia zgody jest uzależnione wykonanie zawartej umowy lub sposób jej wykonania.
Zwykłe dane osobowe a dane wrażliwe
Zgodnie z art. 9 ust. 1 RODO, przetwarzanie danych osobowych wrażliwych jest zakazane. Może być ono jednak dopuszczalne. Taką sytuację stanowi przypadek, w którym dana osoba udziela zgody na przetwarzanie tychże danych.
W przypadku korzystania z usług sieci internetowej, oferowanych bezpośrednio dziecku, które ukończyło lat 16, zgodne z prawem jest również przetwarzanie danych osobowych dziecka. Musi ono jednak na to wyrazić zgodę. Jeżeli dziecko nie ukończyło lat 16, taka zgoda również jest konieczna. Staje się ona ważna w momencie, gdy została zaaprobowana przez ustawowego opiekuna lub osobę sprawującą władzę rodzicielską. Ustawodawca unijny także zastrzegł dla ustawodawstw krajowych możliwość obniżenia wskazanej przez siebie granicy wieku do lat 13. Wprowadzenie takiej regulacji jest nowością dla polskiego prawa ochrony danych osobowych.
By móc przetwarzać dane osobowe konieczna jest uprzednia zgoda osoby, której te dane dotyczą. Stanowi to podstawę do zgodnego z prawem przetwarzania danych osobowych. Zgoda natomiast powinna odpowiadać wyżej wskazanym warunkom jej udzielenia. Należy pamiętać zarówno o warunkach formalnych, jak i materialnych, z uwzględnieniem sytuacji szczególnych. Zgoda uzyskana na podstawie przepisów obowiązujących przed wejściem w życie RODO również może być podstawą przetwarzania danych. Stanie się tak wówczas, gdy spełnia wszystkie wymogi stawiane przez ogólne rozporządzenie o ochronie danych.
