Zgoda na przetwarzanie danych osobowych - czy na pewno potrzebna?

Jedną z najczęściej nadużywanych podstaw prawnych przetwarzania danych osobowych jest zgoda. Z reguły scenariusz wygląda podobnie. Ktoś zada pytanie na jakiej podstawie będą przetwarzane dane osobowe? Odpowiedź brzmi – Nie wiem. To odbierzemy zgodę od osoby.

6 podstaw prawnych przetwarzania danych osobowych

Zgodnie z RODO istnieje aż 5 dodatkowych podstaw prawnych przetwarzania tzw. danych zwykłych oraz 10 podstaw prawnych przetwarzania danych osobowych tzw. wrażliwych. Dlaczego zgoda osoby jako najmniej trwała i najłatwiejsza do podważenia podstawa prawna jest tak popularna? Najprawdopodobniej wynika to z przekonania że jak ktoś wyraził zgodę to później nie będzie miał pytań o podstawę prawną przetwarzania. Jednak zgoda może być odwołana w każdym czasie przez co jej trwałość jest bardzo ulotna. Z drugiej strony czynności wykonane na danych osobowych przed odwołaniem zgody pozostają ważne. W mojej ocenie należy w pierwszej kolejności zawsze szukać innych podstaw prawnych przetwarzania danych osobowych, zgodę traktować jako ostateczność

Zgoda - dobrowolna, konkretną, wyraźna i świadoma.

Kolejnym problemem, który się pojawia to dobrowolność zgody. Czesto można spotkać formularze na stronach internetowych gdzie wymuszane są zgody od osób, co w praktyce pozbawia je mocy prawnej. Podobnie sytuacja wygląda w przypadku odbierania zgody od pracownika przez pracodawcę, gdyż w tej relacji trudno o dobrowolność po stronie pracownika gdyż jest zależny od pracodawcy. Zgody również bardzo często nie są konkretne, gdyż z ich treści nie wynika kto będzie przetwarzał dane? W jakim celu? Czy w jakim zakresie? Ostatecznie co do świadomości osoby na co się godzi znów jest więcej wątpliwości niż konkretów. Może się okazać że zgoda była tak skonstruowana że osoba nie wiedziała na co się godzi.

Zgoda, a prawo do bycia zapomnianymi.

Zgoda jest jedną z tych podstaw prawnych przetwarzania gdzie prawo do bycia zapominamy ma bezwzględne zastosowanie. Innymi słowy jeżeli przetwarzamy dane na podstawie zgody to jak osoba zwróci się o ich usunięcie to podmiot będzie musiał usunąć dane. Nie dość że stracimy możliwość przetwarzania danych to jeszcze będziemy musieli je usunąć że wszystkich miejsc gdzie się znajdują. Włączając w to wszystkie kopię bezpieczeństwa i zasoby podmiotów przetwarzających. Koszty skorzystania ze zgody jako podstawy prawnej przetwarzania w porównaniu z korzyściami zdecydowanie przemawiają za nie odbieraniem zgód.

"1. Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. 2. Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca. 3. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. 4. Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy."

Art. 7 RODO

Zgody marketingowe

Oczywiście nie samo RODO jest źródłem powszechnie obowiązującego prawa. Przepisy tzw. branżowe czyli najczęściej rangi ustawowej często nakazują odbieranie zgodny. Przykładowo ustawa o świadczeniu usług drogą elektroniczną, w razie zamiaru wysyłania informacji handlowych drogą elektroniczną, ustawa prawo telekomunikacyjne, w zakresie wykonywania połączeń telefonicznych mających na celu przedstawienie oferty. Innymi słowy tzw. zgody marketingowe są złem koniecznym, gdzie skorzystanie z alternatywnej podstawy prawnej jest bardzo utrudnione lub wręcz niemożliwe.

Przykład braku dobrowolności przy pobieraniu zgody na przetwarzania danych osobowych.

Zgody, a wizerunek.

Kolejnym przykładem sytuacji gdy zgoda wynika z przepisu branżowego jest zgoda na rozpowszechnianie wizerunku. Należy oczywiście pamiętać o wyłączeniach zgody, czyli sytuacji gdy wizerunek osoby jest jedynie tłem, a nie przedmiotem np. zdjęcia lub nagrania oraz gdy osoba, której wizerunek został rozpowszechniony jest osobą publiczną i nie korzysta w pełni z prawa do prywatności. Ostatecznie warto wspomnieć że zgoda nie jest wymagana jeżeli osoba otrzymała zapłatę za rozpowszechnianie wizerunku.

Cechy zgodny na przetwarzanie danych osobowych.
Najważniejsze cechy zgody jako podstawy prawnej prztwarzania.

"Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy."

Motyw (32) RODO

Zgoda na przetwarzanie danych wrażliwych.

Ostatnią najpowszechniej występującą sytuacją jest odbieranie zgody na przetwarzanie danych wrażliwych, gdyż często zdarza się iż nie ma innej podstawy prawnej by przetwarzać dane. W takim przypadku warto rozważyć czy odbierać zgodę czy może jednak odstąpić od przetwarzania danych lub chociaż ograniczyć ich zakres do danych zwykłych. W przypadku danych zwykłych zawsze można skorzystać jako ostateczność z podstawy prawnej jaką jest prawnie uzasadniony cel administratora danych, co jest niemożliwe w przypadku danych osobowych wrażliwych.

Podsumowując przepisy same powodują, że po zrobieniu bilansu korzyści i strat pobierania zgody okazuje się że lepiej jej nie odbierać a poświęcić więcej czasu na poszukiwanie innych podstaw przetwarzania danych osobowych. Oczywiście jak zawsze wszelkie komentarze mile widziane…

Konrad Gałaj-Emiliańczyk

Konrad Gałaj-Emiliańczyk

Ekspert ds. ochrony danych
tel. 514 747 434
mail. kontakt@chron-dane.eu