tel/fax +48 22 6229966     

fivestarlaw.png

38. Jak prawidłowo pozyskać zgody na przetwarzanie danych osobowych

Autor: adw. Jakub Siwczyk

Czy zgoda osoby, której dane dotyczą jest jedyną podstawą do przetwarzania danych osobowych ?

Odpowiedź na to pytanie, w świetle obowiązujących przepisów z zakresu ochrony danych osobowych nie może być twierdząca. Otóż zgoda może być podstawą przetwarzania danych tylko wtedy, gdy nie występują inne przesłanki legalizujące. Gdy jednak zgoda ma zastosowanie, to musi spełniać określone warunki, by rzeczywiście była podstawą przetwarzania. Przyjrzyjmy się zatem, jak poruszone zagadnienie funkcjonuje w obrocie prawnym.

W praktyce często spotykać się można z sytuacją, gdy wiele osób jest przekonanych, że skoro nie wyraziło zgody na przetwarzanie swoich danych osobowych, to inne podmioty przetwarzające dane nie mogą tego czynić. Otóż zaznaczyć należy, iż zgoda może być podstawą do przetwarzania naszych danych, jednak gdy nie występują inne przesłanki legalizujące, które są określone w art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanym dalej: „RODO”). Wskazany przepis oprócz zgody, określa, że nasze dane mogą być przetwarzane, np. gdy:

  • jest to niezbędne do wykonania umowy,
  • do wypełnienia obowiązku prawnego ciążącego na administratorze,
  • do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej.

Nasze dane mogą być przetwarzane także wtedy, gdy jest to niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi albo administrator musi zrealizować cel wynikający z prawnie uzasadnionych interesów. Stąd też, w momencie, gdy nie mają zastosowania powyższe przesłanki, wówczas podstawą do przetwarzania danych osobowych może być zgoda. Należy jednak pamiętać, że niedopuszczalne jest odbieranie zgody na przetwarzanie naszych danych osobowych w przypadku istnienia innej przesłanki legalizacyjnej upoważniającej administratora do przetwarzania danych osobowych w tym samym zakresie i celu.

Zgoda musi być faktyczna i świadoma. Warunki wyrażenia zgody

Zgoda, by mogła być podstawą przetwarzania danych, musi spełniać odpowiednie kryteria. W przeciwnym razie może zostać zakwestionowana jako podstawa do przetwarzania danych osobowych. Zgoda powinna zostać wyrażona dobrowolnie. Oznacza to, że udzielona przed rozpoczęciem przetwarzania danych osobowych powinna być: wyrażona wprost, określać osobę, która zgody udziela oraz, której dane osobowe mają być udostępnione. A zatem z powyższego wynika, iż osoby wyrażające zgody muszą wiedzieć, komu jej udzielają, jaki jest ich cel i zakres a nadto powinny wiedzieć przez jaki okres trwać będzie przetwarzanie danych.

Wartym podkreślenia jest to, że przy wyrażeniu zgody na przetwarzanie danych administrator danych osobowych powinien zapewnić faktyczną dobrowolność. Wyrażenia zgody nie sposób uznać za dobrowolną w momencie, gdy osoba, której dane dotyczą nie ma faktycznego i wolnego wyboru oraz, gdy nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.

Zarazem, co kluczowe nikt nie ma prawa wymuszać na nikim wyrażenia zgody. Wówczas taka zgoda jest bezwzględnie nieważna. Tutaj wartym zaznaczenia jest, że z wymuszeniem zgody spotykamy się chociażby, gdy klauzula o wyrażeniu zgody znajduje się pomiędzy wieloma innymi punktami umowy. Z wymuszeniem zgody mamy również do czynienia, gdy instytucja publiczna lub niepubliczna realizująca zadanie publiczne uzależnia jego realizację od zgody, pomimo że z przepisów wynika uprawnienie lub obowiązek przetwarzania danych dla tych celów. Przykładowo: podczas rejestracji samochodu w urzędzie, bowiem urząd ten nie może żądać od nas wyrażenia zgody i uzależnić od niej wydania decyzji o rejestracji pojazdu, gdyż z przepisów wynika obowiązek przetwarzania danych dla tego celu.

Obowiązki administratora danych osobowych w pozyskiwaniu zgody na przetwarzanie danych.

Aby móc przetwarzać dane osobowe, administrator musi mieć ku temu ważną podstawę prawną, jak chociażby tą wynikającą z art. 5 lub art. 7 RODO. Ze wskazanych przepisów wynika, że powinien ocenić, jakie ryzyka dla praw osób mogą wiązać się z przetwarzaniem ich danych osobowych w konkretnym celu. Nadto musi przygotować jasne i rzetelne klauzule informacyjne. Zarazem taką podstawą może być też zgoda osoby, która przekazuje swoje dane w momencie, gdy nie innej podstawy prawnej do przetwarzania danych osobowych. Administrator może rozpocząć ich przetwarzanie w przypadkach danych zwykłych tj. gdy uzyska on zgodę na przetwarzanie danych w ściśle określonych celach bądź w przypadku danych wrażliwych w sytuacji, gdy uzyska on wyraźną zgodę osoby, której dane dotyczą na ich przetwarzanie w jednym lub kilku konkretnych celach chyba, że prawo Unii Europejskiej bądź prawo państwa członkowskiego przewiduje, że osoba ta nie może uchylić zgodą zakazu przetwarzania danych wrażliwych.

Podstawowym obowiązkiem spoczywającym na administratorze danych osobowych jest to, że każdorazowo musi on wykazać, iż osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych, zgodnie z zasadą rozliczalności. Przykładowo odnosi się to do tego, że administrator danych osobowych powinien być w posiadaniu podpisanego przez osobę, której dane dotyczą oświadczenia o zgodzie lub w przypadku udzielenia jej w formie elektronicznej może on odtworzyć adres IP wraz z datą zaznaczenia pola wyboru dotyczącego zgody.

Wartym podkreślenia jest również to, że jeżeli przetwarzanie danych opieramy na zgodzie, to należy mieć na względzie to, że osoba której dane dotyczą może swoją zgodę w dowolnym momencie wycofać, co wprost wynika z art. 7 ust. 3 RODO, statuujący, że zgoda jest odwoływalna i uprawnienie to przysługuje osobie, której dane dotyczą, w każdym czasie. Dostrzec należy, iż wycofanie zgody nie wpływa na zgodność z prawem przetwarzania danych, którego administrator dokonywał na podstawie zgody jeszcze przed jej wycofaniem. Nie mniej jednak administrator danych osobowych ma obowiązek poinformować osobę, której dane dotyczą o możliwości wycofania zgody na przetwarzanie swoich danych. Co więcej, wycofanie zgody musi być łatwe, jak jej wyrażenie. Z praktycznego punktu widzenia oznacza to konieczność przygotowania bądź dostosowania odpowiednich dokumentów lub technologii, tak aby umożliwić sprawne wycofanie zgody.

Na uwagę zasługuje także kwestia tego, gdy mamy do czynienia z działaniami marketingowymi ze strony zewnętrznych podmiotów. Otóż o ile zgoda na marketing bezpośredni nie jest wymagana, o tyle sytuacja się zmienia, gdy taka forma komunikacji jest realizowana telefonicznie. Prawo telekomunikacyjne w art. 172 zakazuje wykonywania połączeń do celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na nie zgodę.

Przetwarzanie danych niezgodnie z prawem

Każdy, kto uważa, że jego dane osobowe są przetwarzane niezgodnie z prawem, może dochodzić swoich praw przed sądem powszechnym, co wyrażone zostało w art. 79 RODO. Jeżeli dana osoba uzna, że w wyniku naruszenia przepisów RODO poniosła szkodę majątkową lub niemajątkową, ma też prawo żądać od administratora lub podmiotu przetwarzającego odszkodowania (art. 82 RODO).

 

Ta strona używa plików Cookies. Dowiedz się więcej o celu ich używania i możliwości zmiany ustawień Cookies w przeglądarce. Czytaj więcej...

Zapisz się do newslettera
Kontakt w sprawie usług i działalności szkoleniowo-edukacyjnej Kancelarii oraz zapisu do newslettera