Zgoda jako podstawa prawna przetwarzania danych osobowych. Kiedy należy ją stosować?

Zgoda jako podstawa prawna przetwarzania danych osobowych. Kiedy należy ją stosować?

Przetwarzanie danych osobowych osób fizycznych przez administratora danych osobowych (dalej: ADO lub administrator) wiąże się ze spełnieniem określonych obowiązków na gruncie przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dn. 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 2016 Nr 119, s. 1, zwanego dalej RODO), ustawy z dn. 10.05.2018 r. o ochronie danych osobowych (Dz. U. z 2019, poz. 1781 tj. z późn. zm.), a także innych ustaw szczególnych, tzw. sektorowych, czy też kodeksów branżowych.

Wskazanie podstawy prawnej przetwarzania danych osobowych jest niejako punktem wyjścia w procesie zgodnego z prawem przetwarzania danych osobowych.

Jedną z podstaw prawnych legalizujących przetwarzanie danych osobowych osób fizycznych przez ADO jest zgoda osoby, której dane dotyczą, na przetwarzanie danych osobowych.

Zgoda na przetwarzanie danych zwykłych i szczególnych kategorii 

Ogólna definicja danych osobowych znajduje się w art. 4 pkt 1 RODO. Zgodnie z nią „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.

W przypadku danych osobowych istotny jest ich podział na dane osobowe zwykłe i dane osobowe szczególnych kategorii. Wprowadzenie takiego rozróżnienia będzie miało swoje przełożenie na podstawy prawne przetwarzania danych osobowych. Dane zwykłe są przetwarzane na podstawie art. 6 ust. 1 RODO. Z kolei dane szczególnych kategorii – art. 9 ust. 2 RODO.

Przechodząc do omówienia zgody jako podstawy prawnej przetwarzania danych osobowych zwykłych, czyli takich jak np. imię i nazwisko, numer telefonu, adres, adres e-mail, NIP, PESEL, czyli takich danych, które umożliwiają identyfikację osoby fizycznej, należy wskazać, że zgodnie z art. 6 ust. 1 lit. a RODO:

Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

1. a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.

W dalszej kolejności należy wyliczyć szczególne kategorie danych osobowych. W świetle art. 9 ust. 1 RODO:

Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Wskazana powyżej regulacja wymienia jako dane osobowe szczególnych kategorii, czyli ujawniające pochodzenie rasowe lub etniczne, o stanie zdrowia, seksualności, orientacji seksualnej, poglądach politycznych, dane biometryczne itp.

Zgoda na przetwarzanie danych osobowych szczególnych kategorii to podstawa prawna, która wynika z art. 9 ust. 2 lit. a RODO. Zgodnie z tym przepisem prawnym:

Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:

1. a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1

Zgoda a inne podstawy przetwarzania danych osobowych

Każda z przesłanek przetwarzania danych osobowych wskazana w art. 6 ust. 1 i art. 9 ust. 2 RODO ma charakter samodzielny i niezależny.

W sytuacji, gdy ADO ma inną przesłankę przetwarzania danych osobowych niż zgoda, to wtedy nie powinien pozyskiwać zgody.

Pozyskiwanie zgody „na zapas” lub „na wszelki wypadek”, przy posiadaniu innych podstaw prawnych, powoduje, że taka zgoda jest nieważna. Co więcej, zbieranie zgód na zapas to naruszenie zasady rzetelności i transparentności w procesie przetwarzania danych osobowych.

ADO ma obowiązek posiadać właściwą podstawę prawną do każdego z określonych celów przetwarzania oraz zakresów danych osobowych[1].

Zgoda na przetwarzanie danych osobowych – co oznacza?

Zgodnie z art. 4 pkt 11 RODO zgoda to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia woli lub wyraźnego działania potwierdzającego przyzwala na przetwarzanie dotyczących jej danych osobowych.

Cechy zgody

Przechodząc do omówienia cech zgody, warto zwrócić uwagę na znaczenie, jakie przedstawia każda z nich.

Dobrowolność zgody – to nic innego jak rzeczywista i wolna od form przymusu/nacisku możliwość dokonania wyboru udzielenia zgody, odmowy udzielenia zgody lub jej cofnięcia na późniejszym etapie przetwarzania danych osobowych.

„Zgoda nie będzie dobrowolna np. w sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem (…) motyw 43 RODO. W wytycznych Grupy Roboczej art. 29 jako przypadek nierównowagi wskazano także relację pracodawca – pracownik, lecz nie wykluczono możliwości udzielenia zgody przez pracownika, jednak jedynie, gdy może uczynić to rzeczywiście dobrowolnie”[2].

Jednoznaczność zgody – osoba fizyczna, która udziela zgody ADO dokonuje tego poprzez złożenie oświadczenia woli lub wyraźne działanie potwierdzające, które nie budzą żadnych wątpliwości co do celu wyrażenia zgody na przetwarzanie danych osobowych (podjęcie celowych działań).

Formy wyrażenia woli w postaci wyraźnych działań potwierdzających, nie należy łączyć ze zgodą na przetwarzanie danych osobowych szczególnych kategorii (tutaj pamiętamy o tym, że zgoda ma być wyraźna).

Co stanowi zatem celowe działanie osoby w kontekście jednoznaczności zgody?

„Podpis, kliknięcie okienka, wysłanie e-maila, odpisanie na smsa lub inny komunikat, wypowiedzenie „zgadzam się” zarejestrowane, kliknięcie w przycisk „zgadzam się”. Grupa Robocza wspomina nawet o możliwości robienia ósemek smartfonem 6 (w domyśle zakładając, że smartfon ma akcelerometr)”[3].

Konkretność zgody – to jasne określenie, jaki jest cel i zakres przetwarzania danych osobowych przez ADO w kontekście odebranej zgody. Chodzi tutaj o takie cechy jak zrozumiałość, wyraźność i precyzyjność.

„Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jak wyjaśniono w motywie 32 RODO, jeżeli przetwarzanie ma służyć różnym celom, potrzebna jest zgoda na każdy z tych celów. Związane to jest także z realizacją zasady ograniczonego celu z art. 5 ust. 1 lit. b RODO, zgodnie z którą dane muszą być „zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami”[4].

Świadomość zgody – wiąże się z przejrzystością przekazania osobie przed odebraniem zgody, informacji w zakresie podejmowanych przez ADO względem tej osoby czynności wpisujących się w proces przetwarzania danych osobowych.

„Istotnym czynnikiem mogącym wpływać na stan świadomości podmiotu danych jest realizacja obowiązku informacyjnego, dzięki któremu osoba może poznać okoliczności przetwarzania i podjąć decyzję w kwestii zgody, zdając sobie sprawę z następstw wyrażenia zgody”[5]. Chodzi o obowiązek informacyjny o którym mowa w art. 13 lub 14 RODO.

W motywie 42 preambuły RODO wskazano, że:

Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych.

Wyraźne działanie potwierdzające – kiedy możemy o nim mówić?

Przedstawiona powyżej definicja zgody (art. 4 pkt 11 RODO) wskazuje, że występują dwie formy wyrażenia zgody: oświadczenie woli lub wyraźne działanie potwierdzające.

Osoba fizyczna może wyrazić zgodę na przetwarzanie danych osobowych przez wyraźne działania potwierdzające.

Oznacza to, że taka osoba przez czynność dorozumianą, np. zaznaczenie okna wyboru na stronie internetowej (tzw. checkboxa), wybór ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub inne działania, które w konkretnej sytuacji wskazują, że osoba zaakceptowała proponowane jej przetwarzanie danych osobowych – może wyrazić zgodę na przetwarzanie danych osobowych przez wyraźne działania potwierdzające. W motywie 32 preambuły RODO zostały wymienione właśnie takie sytuacje. Co więcej, wskazano tam, że: „Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody”.

Wszelkie modele wykorzystujące bierność, milczenie osoby, której dane dotyczą̨, lub jej nieuwagę̨, a także ustawienia domyślne, domyślnie zaznaczone okienka zgód itp., są niedopuszczalne. Wskazał na to m.in. Trybunał Sprawiedliwości Unii Europejskiej w wyroku z 1.10.2019 r. (sygn. akt. C-673/17).[6]

Najważniejsze przy tej formie wyrażenia zgody jest to, że osoba fizyczna ma wiedzieć w sposób jednoznaczny i wyraźny, na co tak naprawdę się zgadza. W szczególności będzie tutaj chodziło o cel i zakres przetwarzania danych osobowych, na które została wyrażona taka zgoda.

Wyrażenie zgody jako warunek zawarcia umowy – czy jest to dopuszczalne?

ADO zawiera umowę z klientem (osobą fizyczną) na realizację usług związanych z jego działalnością gospodarczą. W treści umowy, jako jedno z postanowień zawarte jest oświadczenie, że klient wyraża zgodę na przetwarzanie jego danych osobowych zawartych w treści umowy i tych, które pojawią się na etapie jej realizacji. Dodatkowo mamy zastrzeżenie, że ww. zgoda jest warunkiem zawarcia umowy.

Czy taki sposób pozyskania zgody i wskazania zgody jako podstawy prawnej przetwarzania danych jest prawidłowy?

Odpowiedź jest krótka – NIE. Przejdźmy teraz do analizy tego zagadnienia.

Jedną z fundamentalnych cech zgody jest jej dobrowolność. W przedstawionym stanie faktycznym nie możemy stwierdzić, że zgoda ma charakter dobrowolny. Zgoda jest przez ADO wymuszona.

Co więcej, ADO powinien powołać się na inną podstawę prawną przetwarzania np. art. 6 ust. 1 lit. b RODO (przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy) i pozostałe, w zależności od celu oraz zakresu przetwarzania. Należy pamiętać, że gdy występują inne niż zgoda podstawy prawne przetwarzania danych osobowych, to należy powołać się na nie.

Prezes Urzędu Ochrony Danych Osobowych (dalej PUODO) wskazuje, że nikt nie ma prawa wymuszać na nikim wyrażenia zgody. Taka zgoda jest nieważna[7]. 

Przykłady nieprawidłowego zastosowania zgody jako podstawy przetwarzania danych osobowych

Jako przykład nieprawidłowego zastosowania zgody możemy wskazać właśnie omówioną powyżej sytuację. Zgoda na przetwarzanie danych osobowych znajduje się pomiędzy innymi postanowieniami w treści umowy.

W kontekście tego tematu odniesiemy się po raz kolejny do stanowiska PUODO:

„(..) klauzula o zgodzie na otrzymywanie informacji handlowych nie może znaleźć się we wzorcu wniosku o udzielenie pożyczki pomiędzy innymi postanowieniami oraz formularzem określającym m.in. dane osobowe kredytobiorcy. W tak skonstruowanym dokumencie konsument nie ma możliwości odmowy wyrażenia zgody, ponieważ składa podpis pod całością wniosku, przez co jego zgoda nie jest swobodna i niezależna od innych oświadczeń woli (art. 4 ustawy o świadczeniu usług drogą elektroniczną)”[8].

W dalszej kolejności takim przykładem może być ustawienie domyślnego okienka zgody na stronie internetowej.

Częstym przypadkiem niewłaściwego zastosowania zgody jest wyrażanie zbiorczej zgody na wszystkie działania związane z przetwarzaniem danych osobowych, np. połączenie zgody na komunikację elektroniczną ze zgodą na przekazywanie danych innej firmie z grupy przedsiębiorstw[9].

Przykłady właściwego zastosowania zgody

Zgodę na przetwarzanie danych osobowych stosujemy wtedy, gdy nie ma innych podstaw legalizujących przetwarzanie danych osobowych w tym samym celu i zakresie.

Jeżeli ADO przetwarza dane osobowe szczególnych kategorii i nie zachodzi inna podstawa z art. 9 ust. 2 lit. b-j RODO, to powinien powołać się na zgodę z art. 9 ust. 2 lit. a RODO, np. zgoda na przetwarzania danych osobowych o stanie zdrowia ze względu na świadczone przez ADO usługi rehabilitacji.

Przykładem właściwego zastosowania zgody przez ADO może być pozyskanie zgody osoby ubiegającej się o zatrudnienie lub pracownika na przetwarzanie przez pracodawcę innych danych osobowych niż te określone w art. 22¹ § 1 i 3 kodeksu pracy, z wyjątkiem danych osobowych, o których mowa w art. 10 RODO (np. informacja o niekaralności) – tak stanowi art. 22^1a § 1 kodeksu pracy.

Poza tym zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 9 ust. 1 RODO (np. informacji o stanie zdrowia, przynależności związkowej). W tym zakresie stosowne regulacje znajdziemy w art. 22^1b kodeksu pracy.

Co więcej, przykładem prawidłowego zastosowania zgody może być także możliwość zaznaczenia okienka wyboru na stronie internetowej (tzw. checkboxa).

Działania marketingowe – zgoda, prawnie uzasadniony interes czy niezbędność do wykonania umowy?

Działania marketingowe możemy podzielić na:

1. realizowane dla celów innych niż przesyłanie informacji handlowych drogą elektroniczną oraz innych niż marketing bezpośredni w świetle prawa telekomunikacyjnego[10],
2. realizowane dla celów marketingu bezpośredniego, w szczególności elektronicznego (ustawa o świadczeniu usług drogą elektroniczną oraz prawo telekomunikacyjne).

W przypadku pierwszego rodzaju działań marketingowych pozyskanie od osoby fizycznej zgody na przetwarzanie danych osobowych jest uzasadnione. Co więcej, powinna to być zgoda na przetwarzanie danych osobowych wyraźnie dla osiągnięcia celu tego marketingu i w tym zakresie. Nie należy łączyć takiej zgody z podstawą prawną przetwarzania danych z art. 6 ust. 1 lit. b RODO – niezbędność do wykonania umowy czy z art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes administratora.

Drugi rodzaj działań marketingowych, czyli marketing bezpośredni, omówimy na przykładzie e-marketingu.

W 47 motywie preambuły RODO zostało wskazane, że:

Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.

Należy pamiętać jednak o tym, że oprócz podstawy prawnej z art. 6 ust. 1 lit f RODO, jaką jest prawnie uzasadniony interes administratora na przetwarzanie danych osobowych, są także potrzebne inne postawy prawne:

1. zgoda na przesyłanie informacji handlowej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą komunikacji elektronicznej – art. 10 ustawy o świadczeniu usług drogą elektroniczną;
2. zgoda na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego – art. 172 ustawy prawo telekomunikacyjne.

Warto zwrócić uwagę na to, że marketing bezpośredni z wykorzystaniem środków elektronicznych przez przedsiębiorcę, który nie uzyskał zgody potencjalnego klienta, stanowi czyn nieuczciwej konkurencji w rozumieniu przepisów art. 24 ust. 2 ustawy o ochronie konkurencji i konsumentów[11].

Ze względu na spoczywający na ADO obowiązek udowodnienia legalności swoich działań, powinien on zawsze wykazać, że uzyskał zgodę na przetwarzanie do celów marketingowych.

Łączenie zgód marketingowych - wyrok NSA III OSK 161/21[12]

Rozstrzygnięcie istotne z punktu widzenia sposobu pozyskiwania zgód w celach marketingu bezpośredniego, przedstawia Naczelny Sąd Administracyjny w wyroku w sprawie sygnatura akt: III OSK 161/21.

Powyższa sprawa dotyczyła tego, „czy na gruncie obowiązujących przepisów jest dopuszczalne wyrażenie jednej zgody na dokonywanie przetwarzania danych osobowych w celu marketingu bezpośredniego produktów V. Sp. z o.o. i innych podmiotów należących do grupy kapitałowej "(...)" oraz używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących w celu prowadzenia tego marketingu, o której mowa w art. 172 ust. 1 Ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne”[13].

Naczelny Sąd Administracyjny orzekł, że:

• zawarcie kilku zgód w treści jednego oświadczenia prowadzi do tego, że osoba, której dane dotyczą, nie ma pełnej swobody w dysponowaniu swoimi danymi osobowymi;
• podmiot zwracający się do osoby fizycznej o wyrażenie zgody w celach marketingowych musi to zrobić w sposób wyraźny, jednoznaczny, wyróżniający się spośród innych pochodzących od tego podmiotu informacji i oświadczeń;
• osoba wyrażająca zgodę musi zrozumieć istotę zgody, jej cel i skutki, posiadać pełne rozeznanie konkretnie przez kogo i w jakim ściśle określonym celu jej dane będą przetwarzane.

Podsumowując: ADO, przetwarzając dane osobowe osób fizycznych, jeżeli będzie chciał powołać się na zgodę jako przesłankę legalizującą przetwarzanie danych osobowych, zawsze powinien pamiętać o wszystkich tych elementach, które zostały omówione w tym artykule.

Oktawia Zarzecka

radca prawny i szkoleniowiec, właścicielka Kancelarii Radcy Prawnego Oktawia Zarzecka, pomagam mikro i małym przedsiębiorcom w legalnym prowadzeniu działalności offline oraz online

Przeczytaj więcej takich artykułów w strefie Wiedzy PARP

Artykuł pochodzi z Biuletynu Euro Info 7/2021

---

[1] A. Sagan-Jeżowska, Klauzule RODO. Wzory klauzul z praktycznym komentarzem, Warszawa 2018, s. 32.

[2] D. Lubasz, Zgoda jako przesłanka legalizacyjna przetwarzanie danych osobowych, LEX/el. 2018.

[3] M. Gawroński, Zgoda jako podstawa prawna przetwarzania danych, Lex/el.2018.

[4] D. Lubasz, Zgoda (…) tamże.

[5] P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2018, art. 4.

[6] Prezes Urzędu Ochrony Danych Osobowych, Zgoda nie zawsze jest podstawą przetwarzania danych, LEX/el. 2020.

[7] Prezes Urzędu Ochrony Danych Osobowych, Zgoda (…) tamże.

[8] Prezes Urzędu Ochrony Danych Osobowych, Zgoda (…) tamże.

[9] M. Gawroński, Zgoda (…) tamże.

[10] Ustawa z dn. 18.07.2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020, poz. 344   t. j. z późn. zm.)

[10] Ustawa z dn. 16.07.2004 r. Prawo telekomunikacyjne (Dz. U. z 2021, poz. 576 t. j. z późn. zm.)

[11] S. Czub-Kiełczewska, Okiem IOD-a: marketing bezpośredni a RODO, LEX/el. 2019.

[12] Wyrok Naczelnego Sądu Administracyjnego z dn. 20.04.2021 r. sygn. akt: III OSK 161/21, LEX nr 3169386.

[13] Wyrok Naczelnego Sądu Administracyjnego z dn. 20.04.2021 r. (…) tamże.