Zgoda na przetwarzanie danych osobowych

Przetwarzanie danych osobowych po uzyskaniu zgody osoby, której dane dotyczą, to jedna z najpopularniejszych podstaw przetwarzania danych osobowych (określona w art. 6 ust. 1 p. a RODO^[1]Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)). Administratorzy chętnie korzystają z tej możliwości, zbierając zgody na przetwarzanie nawet, jeżeli istnieje inna podstawa przetwarzania. Niestety często zdarza się, że zgoda nie jest uzyskiwana w prawidłowy sposób. W tym wpisie chciałbym pokazać jak zgodnie z prawem, a tym samym bezpiecznie dla administratora, uzyskać zgodę na przetwarzanie danych osobowych. RODO zawiera szereg wytycznych w tym zakresie. Wystarczy tylko odpowiednio je zastosować.

Treść i forma zgody na przetwarzanie danych osobowych

Zgoda na przetwarzanie danych osobowych przede wszystkim powinna być zrozumiała dla osoby jej udzielającej. Osoba, której dotyczą dane powinna mieć świadomość na co się zgadza – na przetwarzanie jakich danych i w jakim celu. RODO wskazuje wprost, że zapytanie o zgodę musi zostać przedstawione w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Zgodę należy więc sformułować w sposób nieskomplikowany, bez żadnych udziwnień. Jeżeli do treści zgody nie chcemy dodawać zapisów w związku z obowiązkiem informacyjnym, wystarczy jedno krótkie zdanie zaczynające się od „Wyrażam zgodę na przetwarzanie…”, a następnie precyzujące o jakie dane chodzi i w jakim celu będą przetwarzane.

Rzadko kiedy mamy do czynienia z sytuacją, w której ktoś własnoręcznie lub w e-mailu pisze zdanie, że wyraża zgodę na przetwarzanie danych osobowych. Zazwyczaj zgoda jest elementem formularza w formie papierowej lub elektronicznej. W takiej sytuacji należy jeszcze pomyśleć w jaki sposób osoba, której dane dotyczą wyrazi wolę udzielenia zgody. Moim zdaniem najlepszą opcją jest umieszczenie przy treści zgody check-boxa (taki malutki kwadracik), poprzez zakreślenie którego zostanie wyrażona zgoda. Nie można zapomnieć także o podaniu danych osoby udzielającej zgody, a w przypadku formy papierowej – także o podpisie. Jest to bardzo ważne dla identyfikacji osoby, która wyraziła zgodę.

Jeden check-box, jedna zgoda

Łączenie zgody na przetwarzanie danych osobowych z innymi zgodami lub oświadczeniami (np. ze zgodą na otrzymywanie informacji handlowych drogą elektroniczną lub z akceptacją regulaminu) to częsty błąd administratorów. Taka praktyka jest niezgodna z RODO, które wymaga:

1. jeżeli osoba, której dane dotyczą, wyraża zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii – aby zapytanie o zgodę zostało przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii;
2. aby zgoda została udzielona dobrowolnie.

Połączenie kilku zgód w jednym oświadczeniu, sprawia że oba powyższe wymogi nie zostają spełnione. Zgoda na przetwarzanie danych osobowych nie będzie wyraźnie oddzielona od tej drugiej zgody, a brak możliwości udzielenia tylko tej drugiej zgody sprawi, że zgoda na przetwarzanie danych osobowych zostanie wymuszona.

W realizacji powyższych reguł doskonale sprawdza się stosowanie prostej zasady – jeden check-box, jedna zgoda. Jeżeli takie podejście powoduje znaczne rozbudowanie formularza wypełnianego przez użytkownika, warto rozważyć przetwarzanie danych osobowych na innej podstawie niż zgoda. Bardzo często jest to możliwe i pozwala na eliminację jednego check-boxa do zaznaczenia oraz większą wygodę użytkownika.

Zgodę można zawsze cofnąć

Kolejną bardzo ważną zasadą przewidzianą w RODO jest bezwarunkowa możliwość cofnięcia zgody na przetwarzanie przez osobę, której dane dotyczą. Co więcej, RODO wymaga aby wycofanie zgody było równie łatwe, jak jej wyrażenie. Aby spełnić te wymogi należy opracować prostą procedurę cofnięcia zgody – np. poprzez kliknięcie przycisku na kocie użytkownika lub wskazanie adresu e-mail, na który należy wysłać wiadomość z oświadczeniem o cofnięciu zgody.

Po cofnięciu zgody, dane osobowe zazwyczaj powinny zostać usunięte. Zdarzają się jednak sytuacje, że administrator będzie mógł je dalej przetwarzać, jednak na innej podstawie prawnej (oczywiście po uprzednim spełnieniu obowiązku informacyjnego także w zakresie tej podstawy). Wycofanie zgody nie powoduje także, że przetwarzanie danych przed cofnięciem zgody, staje się niezgodne z prawem. Dopiero dalsze przetwarzanie na podstawie zgody będzie sprzeczne z RODO, o ile nie istnieje inna podstawa prawna (np. przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora).

Usługi elektroniczne i wyrażenie zgody przez dziecko

Szczególny reżim przewidziano dla wyrażenia zgody na przetwarzanie danych osobowych przez dziecko w przypadku usług społeczeństwa informacyjnego (tak określono te usługi w RODO, ale ogólnie można je określić jako usługi elektroniczne). W takiej sytuacji skutecznie wyrazić zgodę na przetwarzanie danych może tylko dziecko, które w momencie udzielania zgody ukończyło 16 lat. W przypadku młodszych dzieci, zgodę powinien wyrazić lub zaaprobować opiekun prawny dziecka.

Wykazanie uzyskania zgody przez administratora

RODO wymaga aby administrator był w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Z tego względu uzyskiwanie zgód w formie ustnej nie jest najlepszym sposobem – jeżeli rozmowa nie została nagrana, nie ma żadnego trwałego śladu, że dana osoba wyraziła zgodę. Zdecydowanie lepiej jest uzyskiwać zgody w formie pisemnej, dokumentowej lub jeszcze innej elektronicznej (np. poprzez logi systemowe potwierdzające zaznaczenie odpowiedniego check-boxa w formularzu internetowym), a następnie odpowiednio je archiwizować.