Zgoda na przetwarzanie danych osobowych – co zmienia RODO?
Dnia 24 maja 2016 r. weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane także RODO. Rozporządzenia znajdzie zastosowanie od 25 maja 2018 r. bezpośrednio we wszystkich krajach członkowskich Unii Europejskiej. Wydawać by się mogło, że to termin dość odległy, jednak w związku z ogromem zmian w przetwarzaniu danych osobowych warto już teraz przyjrzeć się zbliżającym się regulacjom, by za niecałe 2 lata przetwarzać dane osobowe zgodnie z prawem.
Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.
– Motyw 32 Preambuły RODO
Na gruncie RODO jedną z przesłanek dopuszczalności przetwarzania będzie nadal uzyskanie zgody osoby, której dane dotyczą. Doprecyzowane zostały jednak warunki, jakie ta zgoda musi spełniać. Na początku warto przyjrzeć się definicji zgody w stosowanej obecnie ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz tej, którą przewidział ustawodawca europejski:
Jak możemy zauważyć, definicja zgody została skonkretyzowana oraz wyraźnie został podkreślony fakt, że to oświadczenie woli musi być dobrowolne, konkretne, świadome i jednoznaczne, co jest zgodne także z treścią motywu 32 Preambuły RODO. Poza pewnymi wytycznymi zawartymi w motywach rozporządzenia, szczegółowe warunki wyrażenia zgody na przetwarzanie danych osobowych zostały uregulowane w przepisie art. 7 RODO.
Aby zgoda była zgodna z regulacjami, które już niebawem będą nas obowiązywać, będzie musiała spełniać następujące warunki:
- Administrator danych osobowych będzie musiał być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. W przypadku np. skargi osoby, której dane dotyczą, do administratora będzie należało udowodnienie, że dana osoba wyraziła zgodę na przetwarzanie przez niego danych.
- Jeżeli zgoda będzie wyrażana w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione:
– w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii,
– w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
Warunek ten jest o tyle istotny, że w przypadku jego niespełnienia, część takiego oświadczenia osoby nie będzie wiążąca. Gdyby zatem administrator, będący na przykład organizatorem szkolenia, umieścił klauzulę zgody na przetwarzanie danych osobowych wśród innych oświadczeń w ten sposób, że nie spełniałaby ona ww. warunków, a rozpocząłby przetwarzanie danych, wówczas należy uznać, że przetwarza te dane bezprawnie.
- Osoba, której dane dotyczą, będzie miała prawo w dowolnym momencie wycofać zgodę. Musi być to tak łatwe, jak samo wyrażenie zgody. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem, o czym osoba powinna zostać poinformowana jeszcze przez wyrażeniem zgody.
W przypadku wycofania zgody, jeśli administrator danych nie ma innej podstawy przetwarzania (którą może być np. niezbędność dla wykonania umowy), musi zaprzestać przetwarzania danych.
- Z uwagi na tak podkreślaną konieczność zapewnienia dobrowolności wyrażenia zgody, przy jej ocenie w jak największym stopniu będzie uwzględniać się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.
Warto także dodać, że w związku ze szczególną ochroną, jaką w rozporządzeniu obejmowane są dzieci, w art. 7 RODO zawarta została szczególna regulacja, określająca warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego. Usługa społeczeństwa informacyjnego oznacza usługę w rozumieniu art. 1 ust. 1 lit. b) dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/1535 a więc usługę normalnie świadczoną za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług. W przypadku zatem świadczenia takich usług, jeżeli usługobiorcą jest dziecko, które nie ukończyło 16 lat, zgodę na przetwarzanie jego danych osobowych w przypadku może wyrazić tylko osoba sprawująca nad nim władzę rodzicielską lub opiekę. Państwa członkowskie mają możliwość obniżenia tej granicy wiekowej, ale nie może być ona niższa niż 13 lat.
Na gruncie nowych przepisów jedną z podstaw przetwarzania danych osobowych nadal będzie zgoda.
Biorąc pod uwagę zarówno definicję, jak i warunki wyrażenia zgody zawarte w przepisach ogólnego rozporządzenia o ochronie danych, należy pamiętać, że od 25 maja 2018 r., aby wyrażenie zgody było zgodnie z prawem, zgoda ta powinna:
- być dobrowolna,
- zostać sformułowana w sposób jasny i zrozumiały,
- być wyrażona w formie oświadczenia bądź poprzez wyraźne i jednoznaczne działanie, np. w Internecie – poprzez zaznaczenie tzw. checkboxa,
- zostać wyrażona na przetwarzanie w określonym celu lub kilku celach,
- wyraźnie odróżniać się od innych treści, jeżeli zawarta jest w oświadczeniu dotyczącym także innych kwestii,
- informować o możliwości jej wycofania,
- umożliwiać wycofanie w łatwy sposób,
- uwzględniać zasady pozyskiwania zgody na przetwarzanie danych osobowych dzieci.
Aby być pewnym, że przetwarzamy dane osobowe w naszej firmie zgodnie z aktualnym prawem warto wziąć udział w profesjonalnym szkoleniu RODO lub zdecydować się na skorzystanie z usług specjalisty, który dokona audytu oraz wdrożenia w naszym przedsiębiorstwie.