Zgoda

 Art. 4 pkt 11 RODO

„Zgoda” osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

 

Zgoda to jedna z przesłanek zgodnego z prawem przetwarzania danych osobowych.

Zgodna powinna być:

  1. Dobrowolna
  2. Konkretna
  3. Świadoma
  4. Jednoznaczna

Aby można było mówić o zgodnym z prawem przetwarzania danych osobowych na podstawie zgody, wyrażona zgoda musi spełniać wszystkie cztery elementy.

Zgoda musi być dobrowolna

Motyw 42 zdanie czwarte RODO

Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.

 

Zgoda to decyzja podjęta z własnej inicjatywy przez osobę, wobec której nie wywarto żadnego przymusu, np. społecznego, finansowego, psychologicznego, czy groźby.

Osoba, która wyraża zgodę musi mieć realny wybór co do jej udzielenia. Oznacza to, że może odmówić wyrażenia zgody. Osoba musi mieć także możliwość wycofania zgody w dowolnym momencie. Wycofanie zgody nie może wpływać na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.

Przed wyrażaniem zgody, osoba, której dane dotyczą musi zostać poinformowana o prawie do jej cofnięcia. Musimy także pamiętać, że wycofanie zgody musi być równie łatwe jak jej wyrażenie.

Motyw 32 RODO (fragment)

Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody.

 

Zgoda musi być konkretna

Osoba wyrażająca zgodę na przetwarzanie swoich danych osobowych musi być świadoma jakie dane osobowe będą przetwarzane (zakres przetwarzania), przez jakiego administratora, a także w jakich celach, które powinny być określone w sposób wyraźny, uzasadniony. 

Jeżeli zatem na stronie internetowej formułujemy określone oświadczenia, np. informacje przy tzw. checkbox’ie to nie mogą one mieć charakteru ogólnego.

Przykład:

Samo stwierdzenie „Wyrażam zgodę na przetwarzanie danych osobowych” jest zbyt ogólne. Osoba, która udziela takiej zgody nie wie – komu udziela zgody, na co udziela zgodę, w jakim celu udziela zgodę, jakie dane osobowe przekazuje itd.

Zgoda musi być świadoma

 Motyw 42 zdanie drugie i trzecie RODO

Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna. Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych.

 

Osoba, która wyraża zgodę na przetwarzanie danych osobowych musi mieć możliwość kontrolowania swoich danych osobowych. Dlatego też administrator, które chce przetwarzać dane osobowe na podstawie zgody w momencie zwracania się o jej wyrażenie musi przedstawić wszystkie niezbędne informacje istotnych aspektów przetwarzania. Chodzi o to, by osoba wyrażająca zgodę wiedziała co będzie działo się z jej danymi osobowymi. 

Aby można było mówić o świadomie wyrażonej zgodzie katalog niezbędnych informacji musi spełnić dwa wymagania. 

Po pierwsze, informacje dotyczące istotnych aspektów przetwarzania te muszą być przedstawione w sposób zrozumiały dla osoby wyrażającej zgodę. Inaczej rzecz ujmując, zapytanie dotyczące zgody powinno zostać przedstawione „w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem”, czyli zrozumiały dla przeciętnego człowieka. Powinniśmy zatem unikać zbyt specjalistycznych sformułowań, tzw. żargonu.

Po drugie, informacje te muszą być dostępne i widoczne, dla osoby, która wyraża zgodę na przetwarzanie danych osobowych. Widoczność ta odnosić się może także do wielkości i koloru czcionki.

Zgoda musi być jednoznaczna

Jednoznaczna, czyli taka, która nie budzi wątpliwości. Jednoznaczna, czyli niedwuznaczna. Administrator nie może mieć wątpliwości, że intencją osoby było udzielenie mu zgody na przetwarzanie danych osobowych. Jeżeli udzieloną zgodę można interpretować w różny sposób, to zgoda nie jest jednoznaczna.

Po drugie, zgoda musi być weryfikowalna. To na administratorze ciąży obowiązek wykazania, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

Forma wyrażenia zgody

Zgoda to inaczej okazanie woli. Wola podmiotu danych (osoby, której dane osobowe będą przetwarzane) może być wyrażona na dwa sposoby. Poprzez złożenie oświadczenia albo poprzez tzw. działanie potwierdzające. Te dwa sposoby mogą być wyrażone w sposób dowolny.

Co to oznacza?

Oznacza to, że oświadczenie może być złożone w formie pisemnej, w formie dokumentowej, poprzez zaznaczenie checkboxa, a nawet ustnie, choć z tym ostatnim bym uważała. Podobnie dotyczy to działania potwierdzającego.

Pamiętajmy jednak, że o ile administrator ma swobodę w zakresie wyboru sposobu i formy uzyskania zgody to jednak musi być on w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

Z uwagi na to, administrator powinien wdrożyć środki organizacyjne lub techniczne umożliwiające udowodnienie, że otrzymał zgodę podmiotu danych. Przykładowym mechanizmem (bardzo popularnym przy newsletterach) jest mechanizm double-opt-in.

Motyw nr 32 RODO

Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

 

Warunki wyrażenia zgody zostały szczegółowo opisane w art. 7 RODO, zaś dodatkowe wymogi wyrażania zgody przez dziecko w art. 8 RODO.

Zachęcam do lektury!

Przykłady złych zgód:

  • Domyślnie zaznaczony checkbox
  • Samo sformułowanie „Wyrażam zgodę na przetwarzanie danych osobowych”
  • Zgoda napisana niezrozumiałym językiem, np. prawniczym żargonem
  • Brak pouczenia o możliwości wycofania zgody w każdym czasie
 

Źródła: 

  1. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.), Lex.
  2. Figielski, Komentarz do art. 4 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/We (ogólne rozporządzenie o ochronie danych [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, pod red. P. Figielski, Wydawnictwo Wolters Kluwer, Warszawa 2018, Lex.
  3. Komentarz do art. 4 [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, pod red. E. Bielak-Jomaa, D. Lubasz, Wydawnictwo Wolters Kluwer, Warszawa 2018, Lex