Zgoda na przetwarzanie danych osobowych - czy na pewno potrzebna?

Jedną z najczęściej nadużywanych podstaw prawnych przetwarzania danych osobowych jest zgoda. Z reguły scenariusz wygląda podobnie. Ktoś zada pytanie na jakiej podstawie będą przetwarzane dane osobowe? Odpowiedź brzmi – Nie wiem. To odbierzemy zgodę od osoby.

6 podstaw prawnych przetwarzania danych osobowych

Zgodnie z RODO istnieje aż 5 dodatkowych podstaw prawnych przetwarzania tzw. danych zwykłych oraz 10 podstaw prawnych przetwarzania danych osobowych tzw. wrażliwych. Dlaczego zgoda osoby jako najmniej trwała i najłatwiejsza do podważenia podstawa prawna jest tak popularna? Najprawdopodobniej wynika to z przekonania że jak ktoś wyraził zgodę to później nie będzie miał pytań o podstawę prawną przetwarzania. Jednak zgoda może być odwołana w każdym czasie przez co jej trwałość jest bardzo ulotna. Z drugiej strony czynności wykonane na danych osobowych przed odwołaniem zgody pozostają ważne. W mojej ocenie należy w pierwszej kolejności zawsze szukać innych podstaw prawnych przetwarzania danych osobowych, zgodę traktować jako ostateczność

Zgoda - dobrowolna, konkretną, wyraźna i świadoma.

Kolejnym problemem, który się pojawia to dobrowolność zgody. Czesto można spotkać formularze na stronach internetowych gdzie wymuszane są zgody od osób, co w praktyce pozbawia je mocy prawnej. Podobnie sytuacja wygląda w przypadku odbierania zgody od pracownika przez pracodawcę, gdyż w tej relacji trudno o dobrowolność po stronie pracownika gdyż jest zależny od pracodawcy. Zgody również bardzo często nie są konkretne, gdyż z ich treści nie wynika kto będzie przetwarzał dane? W jakim celu? Czy w jakim zakresie? Ostatecznie co do świadomości osoby na co się godzi znów jest więcej wątpliwości niż konkretów. Może się okazać że zgoda była tak skonstruowana że osoba nie wiedziała na co się godzi.

Zgoda, a prawo do bycia zapomnianymi.

Zgoda jest jedną z tych podstaw prawnych przetwarzania gdzie prawo do bycia zapominamy ma bezwzględne zastosowanie. Innymi słowy jeżeli przetwarzamy dane na podstawie zgody to jak osoba zwróci się o ich usunięcie to podmiot będzie musiał usunąć dane. Nie dość że stracimy możliwość przetwarzania danych to jeszcze będziemy musieli je usunąć że wszystkich miejsc gdzie się znajdują. Włączając w to wszystkie kopię bezpieczeństwa i zasoby podmiotów przetwarzających. Koszty skorzystania ze zgody jako podstawy prawnej przetwarzania w porównaniu z korzyściami zdecydowanie przemawiają za nie odbieraniem zgód.

Zgody marketingowe

Oczywiście nie samo RODO jest źródłem powszechnie obowiązującego prawa. Przepisy tzw. branżowe czyli najczęściej rangi ustawowej często nakazują odbieranie zgodny. Przykładowo ustawa o świadczeniu usług drogą elektroniczną, w razie zamiaru wysyłania informacji handlowych drogą elektroniczną, ustawa prawo telekomunikacyjne, w zakresie wykonywania połączeń telefonicznych mających na celu przedstawienie oferty. Innymi słowy tzw. zgody marketingowe są złem koniecznym, gdzie skorzystanie z alternatywnej podstawy prawnej jest bardzo utrudnione lub wręcz niemożliwe.

Przykład braku dobrowolności przy pobieraniu zgody na przetwarzania danych osobowych.

Zgody, a wizerunek.

Kolejnym przykładem sytuacji gdy zgoda wynika z przepisu branżowego jest zgoda na rozpowszechnianie wizerunku. Należy oczywiście pamiętać o wyłączeniach zgody, czyli sytuacji gdy wizerunek osoby jest jedynie tłem, a nie przedmiotem np. zdjęcia lub nagrania oraz gdy osoba, której wizerunek został rozpowszechniony jest osobą publiczną i nie korzysta w pełni z prawa do prywatności. Ostatecznie warto wspomnieć że zgoda nie jest wymagana jeżeli osoba otrzymała zapłatę za rozpowszechnianie wizerunku.

Cechy zgodny na przetwarzanie danych osobowych.
Najważniejsze cechy zgody jako podstawy prawnej prztwarzania.

Zgoda na przetwarzanie danych wrażliwych.

Ostatnią najpowszechniej występującą sytuacją jest odbieranie zgody na przetwarzanie danych wrażliwych, gdyż często zdarza się iż nie ma innej podstawy prawnej by przetwarzać dane. W takim przypadku warto rozważyć czy odbierać zgodę czy może jednak odstąpić od przetwarzania danych lub chociaż ograniczyć ich zakres do danych zwykłych. W przypadku danych zwykłych zawsze można skorzystać jako ostateczność z podstawy prawnej jaką jest prawnie uzasadniony cel administratora danych, co jest niemożliwe w przypadku danych osobowych wrażliwych.

Podsumowując przepisy same powodują, że po zrobieniu bilansu korzyści i strat pobierania zgody okazuje się że lepiej jej nie odbierać a poświęcić więcej czasu na poszukiwanie innych podstaw przetwarzania danych osobowych. Oczywiście jak zawsze wszelkie komentarze mile widziane…